Windows 10 მხარს დაუჭერს DNS-ს HTTPS-ის საშუალებით

DNS-over-HTTPS არის შედარებით ახალგაზრდა ვებ პროტოკოლი, რომელიც დანერგილია დაახლოებით ორი წლის წინ. ის მიზნად ისახავს მომხმარებლის კონფიდენციალურობისა და უსაფრთხოების გაზრდას DNS მონაცემების მოსმენისა და მანიპულირების თავიდან ასაცილებლად ადამიანის შუაგულში შეტევები HTTPS პროტოკოლის გამოყენებით DoH კლიენტსა და DoH-ზე დაფუძნებულ DNS-ს შორის მონაცემების დაშიფვრისთვის. გადამწყვეტი.

Windows Core Networking-ის გუნდი დაკავებულია OS-სთვის DoH მხარდაჭერის დამატებით. აქ არის მათი სახელმძღვანელო პრინციპები გადაწყვეტილების მიღების შესახებ, თუ რა სახის DNS დაშიფვრას დაუჭერს მხარს Windows და როგორ იქნება მისი კონფიგურაცია.

• Windows DNS უნდა იყოს რაც შეიძლება პირადი და ფუნქციონალური ნაგულისხმევად მომხმარებლის საჭიროების გარეშე ან ადმინისტრატორის კონფიგურაცია, რადგან Windows DNS ტრაფიკი წარმოადგენს მომხმარებლის დათვალიერების სურათს ისტორია. Windows-ის მომხმარებლებისთვის ეს ნიშნავს, რომ მათი გამოცდილება მაქსიმალურად კონფიდენციალური გახდება Windows-ის მიერ. Microsoft-ისთვის ეს ნიშნავს, რომ ჩვენ ვეძებთ Windows DNS ტრაფიკის დაშიფვრის შესაძლებლობებს მომხმარებლებისა და სისტემის ადმინისტრატორების მიერ დაყენებული კონფიგურირებული DNS გადამწყვეტების შეცვლის გარეშე.
• Windows-ის მომხმარებლებმა და ადმინისტრატორებმა კონფიდენციალურობისკენ მიდრეკილი უნდა იხელმძღვანელონ DNS პარამეტრებზე, მაშინაც კი, თუ მათ ჯერ არ იციან რა არის DNS. ბევრი მომხმარებელი დაინტერესებულია მათი კონფიდენციალურობის კონტროლით და ეძებს კონფიდენციალურობაზე ორიენტირებულ პარამეტრებს, როგორიცაა აპების ნებართვები კამერაზე და მდებარეობა, მაგრამ შეიძლება არ იცოდეს ან არ იცოდეს DNS პარამეტრების შესახებ, ან გაიგოს, რატომ არის ისინი მნიშვნელოვანი და შეიძლება არ მოძებნოს ისინი მოწყობილობაში პარამეტრები.
• Windows-ის მომხმარებლებს და ადმინისტრატორებს უნდა შეეძლოთ გააუმჯობესონ თავიანთი DNS კონფიგურაცია რაც შეიძლება ნაკლები მარტივი მოქმედებებით. ჩვენ უნდა დავრწმუნდეთ, რომ არ გვჭირდება სპეციალიზებული ცოდნა ან ძალისხმევა Windows-ის მომხმარებლების მხრიდან დაშიფრული DNS-ით სარგებლობისთვის. საწარმოს პოლიტიკა და ინტერფეისის მოქმედებები ერთნაირად უნდა იყოს ის, რაც მხოლოდ ერთხელ უნდა გააკეთოთ და არა შენარჩუნება.
• Windows-ის მომხმარებლებმა და ადმინისტრატორებმა მკაფიოდ უნდა დაუშვან უკან დაბრუნება დაშიფრული DNS-დან კონფიგურაციის შემდეგ. მას შემდეგ, რაც Windows კონფიგურირებულია დაშიფრული DNS-ის გამოსაყენებლად, თუ ის არ მიიღებს სხვა ინსტრუქციებს Windows-ის მომხმარებლებისგან ან ადმინისტრატორებისგან, უნდა ვივარაუდოთ, რომ დაშიფრული DNS-ზე დაბრუნება აკრძალულია.

ამ პრინციპებიდან გამომდინარე, გუნდი აყალიბებს გეგმების მიღებას DNS HTTPS-ზე (ან DoH) Windows DNS კლიენტში. როგორც პლატფორმა, Windows Core Networking ცდილობს მომხმარებლებს საშუალება მისცეს გამოიყენონ ნებისმიერი პროტოკოლი, რომელიც მათ სჭირდებათ, ამიტომ ჩვენ მზად ვართ მომავალში გქონდეთ სხვა ვარიანტები, როგორიცაა DNS TLS (DoT) მეშვეობით. ამ დროისთვის, ისინი მუშაობენ DoH-ის მხარდასაჭერად, რადგან ეს საშუალებას მისცემს მათ ხელახლა გამოიყენონ არსებული HTTPS ინფრასტრუქტურა.

პირველი ეტაპისთვის, ისინი გამოიყენებენ DoH-ს DNS სერვერებისთვის Windows უკვე კონფიგურირებულია გამოსაყენებლად. ახლა არის რამდენიმე საჯარო DNS სერვერი, რომლებიც მხარს უჭერენ DoH-ს და თუ Windows-ის მომხმარებელი ან მოწყობილობის ადმინისტრატორი დღეს ერთ-ერთ მათგანს დააკონფიგურირებს, Windows უბრალოდ გამოიყენებს კლასიკურ DNS-ს (დაშიფვრის გარეშე) ამ სერვერზე. თუმცა, რადგან ეს სერვერები და მათი DoH კონფიგურაციები კარგად არის ცნობილი, Windows-ს შეუძლია ავტომატურად განახლდეს DoH-ზე იმავე სერვერის გამოყენებისას. გუნდი აცხადებს შემდეგ სარგებელს ამ ცვლილებისგან:

• ჩვენ არ განვახორციელებთ არანაირ ცვლილებებს, რომელზედაც Windows-ის DNS სერვერი იყო კონფიგურირებული მომხმარებლის ან ქსელის მიერ გამოსაყენებლად. დღეს მომხმარებლები და ადმინისტრატორები წყვეტენ, რომელი DNS სერვერი გამოიყენონ, არჩევენ ქსელს, რომელსაც უერთდებიან ან პირდაპირ მიუთითებენ სერვერზე; ეს ეტაპი არაფერს შეცვლის. ბევრი ადამიანი იყენებს ISP-ს ან საჯარო DNS შინაარსის ფილტრაციას ისეთი მოქმედებების შესასრულებლად, როგორიცაა შეურაცხმყოფელი ვებსაიტების დაბლოკვა. Windows-ის რეზოლუციებისთვის სანდო DNS სერვერების ჩუმად შეცვლამ შეიძლება უნებლიედ გადალახოს ეს კონტროლი და გააფუჭოს ჩვენი მომხმარებლები. ჩვენ გვჯერა, რომ მოწყობილობის ადმინისტრატორებს აქვთ უფლება გააკონტროლონ სად მიდის მათი DNS ტრაფიკი.
• ბევრი მომხმარებელი და აპლიკაცია, რომლებსაც სურთ კონფიდენციალურობა, დაიწყებენ უპირატესობების მიღებას DNS-ის შესახებ ცოდნის გარეშე. 1-ლი პრინციპის შესაბამისად, DNS მოთხოვნები ხდება უფრო პირადი, აპებისა და მომხმარებლების მოქმედების გარეშე. როდესაც ორივე ბოლო წერტილი მხარს უჭერს დაშიფვრას, არ არსებობს მიზეზი, რომ დაველოდოთ დაშიფვრის გამოყენების ნებართვას!
• ჩვენ შეგვიძლია დავიწყოთ გამოწვევების დანახვა ხაზის აღსრულებაში, რომელიც ანიჭებს უპირატესობას რეზოლუციის წარუმატებლობას დაშიფრული სარეზერვო ნაცვლად. მე-4 პრინციპის შესაბამისად, DoH-ის ეს გამოყენება განხორციელდება ისე, რომ Windows-ის მიერ დადასტურებული სერვერის მხარდაჭერა DoH არ იქნება კონსულტაციები კლასიკური DNS-ით. თუ კონფიდენციალურობის ეს უპირატესობა ფუნქციონალურობაზე იწვევს რაიმე შეფერხებას საერთო ვებ სცენარებში, ამას ადრევე გავარკვევთ.

მომავალში, Windows 10 მოიცავს DoH სერვერების ცალსახად კონფიგურაციის შესაძლებლობას.

წყარო