Windows 10 supporterà nativamente DNS su HTTPS
DNS-over-HTTPS è un protocollo web relativamente giovane, implementato circa due anni fa. Ha lo scopo di aumentare la privacy e la sicurezza degli utenti prevenendo l'intercettazione e la manipolazione dei dati DNS da parte di attacchi man-in-the-middle utilizzando il protocollo HTTPS per crittografare i dati tra il client DoH e il DNS basato su DoH risolutore.
Il team di Windows Core Networking è impegnato con l'aggiunta del supporto DoH al sistema operativo. Ecco i loro principi guida su come prendere decisioni sul tipo di crittografia DNS che Windows supporterà e su come verrà configurato.
Annuncio
- Il DNS di Windows deve essere il più privato e funzionale possibile per impostazione predefinita senza la necessità dell'utente o configurazione dell'amministratore perché il traffico DNS di Windows rappresenta un'istantanea della navigazione dell'utente storia. Per gli utenti Windows, ciò significa che la loro esperienza sarà resa il più privata possibile da Windows immediatamente. Per Microsoft, ciò significa che cercheremo opportunità per crittografare il traffico DNS di Windows senza modificare i resolver DNS configurati impostati dagli utenti e dagli amministratori di sistema.
- Gli utenti e gli amministratori di Windows attenti alla privacy devono essere guidati alle impostazioni DNS anche se non sanno ancora cosa sia il DNS. Molti utenti sono interessati a controllare la propria privacy e cercano impostazioni incentrate sulla privacy come le autorizzazioni delle app per la fotocamera e posizione ma potrebbe non essere a conoscenza o conoscere le impostazioni DNS o capire perché sono importanti e potrebbe non cercarle nel dispositivo impostazioni.
- Gli utenti e gli amministratori di Windows devono essere in grado di migliorare la propria configurazione DNS con il minor numero di semplici azioni possibili. Dobbiamo assicurarci di non richiedere conoscenze o sforzi specializzati da parte degli utenti Windows per beneficiare del DNS crittografato. I criteri aziendali e le azioni dell'interfaccia utente dovrebbero essere qualcosa che devi fare solo una volta invece di doverti mantenere.
- Gli utenti e gli amministratori di Windows devono consentire esplicitamente il fallback dal DNS crittografato una volta configurato. Una volta che Windows è stato configurato per utilizzare il DNS crittografato, se non riceve altre istruzioni dagli utenti o dagli amministratori di Windows, dovrebbe presumere che sia vietato ricorrere a DNS non crittografati.
Sulla base di questi principi, il team sta pianificando l'adozione DNS su HTTPS (o DoH) nel client DNS di Windows. Come piattaforma, Windows Core Networking cerca di consentire agli utenti di utilizzare tutti i protocolli di cui hanno bisogno, quindi siamo aperti ad avere altre opzioni come DNS su TLS (DoT) in futuro. A partire da ora, stanno lavorando per supportare DoH perché consentirà loro di riutilizzare la loro infrastruttura HTTPS esistente.
Per la prima pietra miliare, useranno DoH per i server DNS che Windows è già configurato per l'uso. Ora ci sono diversi server DNS pubblici che supportano DoH e se un utente Windows o un amministratore del dispositivo ne configura uno oggi, Windows utilizzerà semplicemente il DNS classico (senza crittografia) su quel server. Tuttavia, poiché questi server e le loro configurazioni DoH sono ben note, Windows può eseguire automaticamente l'aggiornamento a DoH utilizzando lo stesso server. Il team rivendica i seguenti vantaggi da questo cambiamento:
- Non apporteremo alcuna modifica a quale server DNS Windows è stato configurato per l'utilizzo da parte dell'utente o della rete. Oggi, utenti e amministratori decidono quale server DNS utilizzare selezionando la rete a cui si uniscono o specificando direttamente il server; questo traguardo non cambierà nulla al riguardo. Molte persone usano l'ISP o il filtro dei contenuti DNS pubblici per fare cose come bloccare i siti Web offensivi. La modifica silenziosa dei server DNS affidabili per eseguire le risoluzioni di Windows potrebbe inavvertitamente ignorare questi controlli e frustrare i nostri utenti. Riteniamo che gli amministratori dei dispositivi abbiano il diritto di controllare la destinazione del loro traffico DNS.
- Molti utenti e applicazioni che desiderano la privacy inizieranno a ottenere i vantaggi senza dover conoscere il DNS. In linea con il principio 1, le query DNS diventano più private senza alcuna azione da parte di app o utenti. Quando entrambi gli endpoint supportano la crittografia, non c'è motivo di aspettare il permesso di usare la crittografia!
- Possiamo iniziare a vedere le sfide nel far rispettare la linea di preferire l'errore di risoluzione al fallback non crittografato. In linea con il principio 4, questo utilizzo di DoH verrà applicato in modo che un server confermato da Windows per supportare DoH non venga consultato tramite DNS classico. Se questa preferenza per la privacy rispetto alla funzionalità causa interruzioni negli scenari web comuni, lo scopriremo presto.
In futuro, Windows 10 includerà la possibilità di configurare esplicitamente i server DoH.
Fonte
