Windows 10은 기본적으로 HTTPS를 통한 DNS를 지원합니다
DNS-over-HTTPS는 약 2년 전에 구현된 비교적 젊은 웹 프로토콜입니다. DNS 데이터의 도청 및 조작을 방지하여 사용자의 개인 정보 보호 및 보안을 강화하기 위한 것입니다. DoH 클라이언트와 DoH 기반 DNS 사이의 데이터를 암호화하기 위해 HTTPS 프로토콜을 사용하는 메시지 가로채기(man-in-the-middle) 공격 해결사.
Windows Core Networking 팀은 DoH 지원을 OS에 추가하는 작업으로 분주합니다. 다음은 Windows가 지원할 DNS 암호화 유형과 구성 방법을 결정하는 데 대한 지침입니다.
광고
- Windows DNS는 기본적으로 사용자가 필요 없이 비공개로 작동해야 합니다. 또는 Windows DNS 트래픽이 사용자 탐색의 스냅샷을 나타내기 때문에 관리자 구성 역사. Windows 사용자에게 이는 Windows에서 즉시 사용 가능한 경험을 비공개로 설정한다는 것을 의미합니다. Microsoft의 경우 이는 사용자 및 시스템 관리자가 설정한 구성된 DNS 확인자를 변경하지 않고 Windows DNS 트래픽을 암호화할 기회를 찾을 것임을 의미합니다.
- 프라이버시를 중시하는 Windows 사용자와 관리자는 아직 DNS가 무엇인지 모르더라도 DNS 설정으로 안내해야 합니다. 많은 사용자가 개인 정보를 제어하는 데 관심이 있으며 카메라에 대한 앱 권한과 같은 개인 정보 중심 설정을 찾고 있습니다. 위치는 있지만 DNS 설정을 알지 못하거나 알지 못하거나 DNS 설정이 중요한 이유를 이해하지 못하고 장치에서 찾지 못할 수 있습니다. 설정.
- Windows 사용자와 관리자는 가능한 한 적은 수의 간단한 작업으로 DNS 구성을 개선할 수 있어야 합니다. 암호화된 DNS의 이점을 얻기 위해 Windows 사용자 측에서 전문적인 지식이나 노력이 필요하지 않은지 확인해야 합니다. 엔터프라이즈 정책과 UI 작업은 모두 유지 관리할 필요 없이 한 번만 수행하면 됩니다.
- Windows 사용자와 관리자는 일단 구성되면 암호화된 DNS의 대체를 명시적으로 허용해야 합니다. Windows가 암호화된 DNS를 사용하도록 구성되면 Windows 사용자 또는 관리자로부터 다른 지시를 받지 못하면 암호화되지 않은 DNS로의 폴백이 금지된 것으로 가정해야 합니다.
이러한 원칙을 바탕으로 팀은 HTTPS를 통한 DNS (또는 DoH) Windows DNS 클라이언트. 플랫폼으로서 Windows Core Networking은 사용자가 필요한 모든 프로토콜을 사용할 수 있도록 하므로 향후 DoT(DNS over TLS)와 같은 다른 옵션을 제공할 수 있습니다. 현재로서는 DoH를 지원하기 위해 노력하고 있습니다. DoH를 통해 기존 HTTPS 인프라를 재사용할 수 있기 때문입니다.
첫 번째 이정표에서는 Windows가 이미 사용하도록 구성된 DNS 서버에 DoH를 사용할 것입니다. 현재 DoH를 지원하는 여러 공용 DNS 서버가 있으며 Windows 사용자 또는 장치 관리자가 오늘 그 중 하나를 구성하면 Windows는 해당 서버에 대해 암호화 없이 클래식 DNS를 사용합니다. 그러나 이러한 서버와 해당 DoH 구성은 잘 알려져 있기 때문에 Windows는 동일한 서버를 사용하면서 자동으로 DoH로 업그레이드할 수 있습니다. 팀은 이 변경으로 인해 다음과 같은 이점이 있다고 주장합니다.
- 사용자 또는 네트워크에서 사용하도록 Windows가 구성된 DNS 서버를 변경하지 않습니다. 오늘날 사용자와 관리자는 연결할 네트워크를 선택하거나 서버를 직접 지정하여 사용할 DNS 서버를 결정합니다. 이 이정표는 그것에 대해 아무 것도 변경하지 않습니다. 많은 사람들이 ISP 또는 공용 DNS 콘텐츠 필터링을 사용하여 공격적인 웹사이트 차단과 같은 작업을 수행합니다. Windows 확인을 수행하도록 신뢰할 수 있는 DNS 서버를 자동으로 변경하면 의도하지 않게 이러한 제어를 우회하여 사용자를 좌절시킬 수 있습니다. 우리는 장치 관리자가 자신의 DNS 트래픽이 어디로 가는지 제어할 권리가 있다고 믿습니다.
- 프라이버시를 원하는 많은 사용자와 애플리케이션은 DNS에 대해 알지 않고도 혜택을 받기 시작할 것입니다. 원칙 1에 따라 DNS 쿼리는 앱이나 사용자의 조치 없이 더욱 비공개가 됩니다. 두 끝점이 모두 암호화를 지원하면 암호화 사용 권한을 기다릴 이유가 없습니다!
- 암호화되지 않은 폴백보다 해결 실패를 선호하는 라인을 시행하는 데 어려움이 있음을 확인할 수 있습니다. 원칙 4에 따라 DoH를 지원하는 것으로 Windows에서 확인된 서버가 클래식 DNS를 통해 참조되지 않도록 이 DoH 사용이 시행됩니다. 기능보다 개인 정보 보호에 대한 이러한 선호로 인해 일반적인 웹 시나리오에 장애가 발생하면 조기에 알아낼 것입니다.
향후 Windows 10에는 DoH 서버를 명시적으로 구성하는 기능이 포함될 것입니다.
원천