Windows 10 יתמוך ב-DNS דרך HTTPS באופן מקורי

DNS-over-HTTPS הוא פרוטוקול אינטרנט צעיר יחסית, מיושם לפני כשנתיים. היא נועדה להגביר את פרטיות המשתמש והאבטחה על ידי מניעת האזנות ומניפולציות של נתוני DNS על ידי התקפות man-in-the-middle באמצעות פרוטוקול HTTPS כדי להצפין את הנתונים בין לקוח DoH ל-DNS מבוסס DoH פותר.

צוות Windows Core Networking עסוק בהוספת תמיכת DoH למערכת ההפעלה. להלן העקרונות המנחים שלהם בקבלת החלטות באיזה סוג של הצפנת DNS תתמוך Windows וכיצד היא תוגדר.

• DNS של Windows צריך להיות פרטי ופונקציונלי ככל האפשר כברירת מחדל ללא צורך במשתמש או תצורת אדמין מכיוון שתעבורת DNS של Windows מייצגת תמונת מצב של הגלישה של המשתמש הִיסטוֹרִיָה. למשתמשי Windows, משמעות הדבר היא שהחוויה שלהם תיעשה פרטית ככל האפשר על ידי Windows מחוץ לקופסה. עבור מיקרוסופט, זה אומר שנחפש הזדמנויות להצפין תעבורת DNS של Windows מבלי לשנות את פותרי ה-DNS המוגדרים על ידי משתמשים ומנהלי מערכת.
• משתמשי ומנהלי Windows בעלי חשיבה על פרטיות צריכים להיות מודרכים להגדרות DNS גם אם הם עדיין לא יודעים מהו DNS.
   משתמשים רבים מעוניינים לשלוט בפרטיות שלהם והולכים לחפש הגדרות ממוקדות פרטיות כגון הרשאות אפליקציה למצלמה ו מיקום אבל אולי לא מודע או יודע לגבי הגדרות DNS או מבין למה הן חשובות ואולי לא יחפש אותן במכשיר הגדרות.
• משתמשי ומנהלי Windows צריכים להיות מסוגלים לשפר את תצורת ה-DNS שלהם עם כמה שפחות פעולות פשוטות. עלינו לוודא שאיננו דורשים ידע מיוחד או מאמץ מצד משתמשי Windows כדי ליהנות מ-DNS מוצפן. מדיניות ארגונית ופעולות ממשק משתמש כאחד צריכות להיות משהו שאתה צריך לעשות רק פעם אחת ולא צריך לתחזק.
• משתמשי ומנהלי מערכת של Windows צריכים לאפשר במפורש חזרה מ-DNS מוצפן לאחר הגדרת התצורה. לאחר ש-Windows הוגדרה להשתמש ב-DNS מוצפן, אם היא לא מקבלת הוראות אחרות ממשתמשי Windows או ממנהלי מערכת, היא אמורה להניח שהחזרה ל-DNS לא מוצפן אסורה.

בהתבסס על עקרונות אלה, הצוות מכין תוכניות לאימוץ DNS דרך HTTPS (או DoH) בלקוח DNS של Windows. כפלטפורמה, Windows Core Networking שואפת לאפשר למשתמשים להשתמש בכל הפרוטוקולים שהם צריכים, כך שאנו פתוחים לאפשרויות אחרות כגון DNS over TLS (DoT) בעתיד. נכון לעכשיו, הם פועלים לתמוך ב-DoH מכיוון שזה יאפשר להם לעשות שימוש חוזר בתשתית ה-HTTPS הקיימת שלהם.

עבור אבן הדרך הראשונה, הם הולכים להשתמש ב-DoH עבור שרתי DNS של Windows כבר מוגדר להשתמש. ישנם כעת מספר שרתי DNS ציבוריים התומכים ב-DoH, ואם משתמש Windows או מנהל מכשיר מגדיר אחד מהם היום, Windows פשוט ישתמש ב-DNS הקלאסי (ללא הצפנה) לשרת זה. עם זאת, מכיוון שהשרתים הללו ותצורות ה-DoH שלהם ידועות היטב, Windows יכול לשדרג אוטומטית ל-DoH תוך שימוש באותו שרת. הצוות טוען ליתרונות הבאים משינוי זה:

• לא נבצע שינויים באיזה שרת DNS Windows הוגדר לשימוש על ידי המשתמש או הרשת. כיום, משתמשים ומנהלי מערכת מחליטים באיזה שרת DNS להשתמש על ידי בחירת הרשת שאליהם הם מצטרפים או ציון השרת ישירות; ציון הדרך הזה לא ישנה שום דבר בקשר לזה. אנשים רבים משתמשים ב-ISP או סינון תוכן DNS ציבורי כדי לעשות דברים כמו חסימת אתרים פוגעניים. שינוי בשקט של שרתי ה-DNS האמינים לעשות את החלטות Windows עלול לעקוף בטעות את הפקדים הללו ולתסכל את המשתמשים שלנו. אנו מאמינים שלמנהלי מכשירים יש את הזכות לשלוט לאן תעבורת ה-DNS שלהם עוברת.
• משתמשים ויישומים רבים שרוצים פרטיות יתחילו לקבל את היתרונות מבלי לדעת על DNS. בהתאם לעיקרון 1, שאילתות ה-DNS הופכות לפרטיות יותר ללא פעולה מצד אפליקציות או משתמשים. כאשר שתי נקודות הקצה תומכות בהצפנה, אין סיבה לחכות לרשות להשתמש בהצפנה!
• אנו יכולים להתחיל לראות את האתגרים באכיפת הקו להעדפת כישלון ברזולוציה על פני חזרה לא מוצפנת. בהתאם לעיקרון 4, שימוש ב-DoH זה ייאכף כך ששרת שאושר על-ידי Windows לתמוך ב-DoH לא ייעץ באמצעות DNS קלאסי. אם העדפה זו לפרטיות על פני פונקציונליות גורמת להפרעה כלשהי בתרחישי אינטרנט נפוצים, נגלה זאת מוקדם יותר.

בעתיד, Windows 10 תכלול את היכולת להגדיר שרתי DoH באופן מפורש.

מָקוֹר