„Windows 10“ palaikys DNS per HTTPS

DNS-over-HTTPS yra palyginti jaunas žiniatinklio protokolas, įdiegtas maždaug prieš dvejus metus. Juo siekiama padidinti vartotojų privatumą ir saugumą, užkertant kelią pasiklausymui ir manipuliavimui DNS duomenimis „Man-in-the-middle“ atakos naudojant HTTPS protokolą duomenims tarp DoH kliento ir DoH pagrįsto DNS užšifruoti sprendėjas.

„Windows Core Networking“ komanda yra užsiėmusi DoH palaikymo pridėjimu prie OS. Štai jų pagrindiniai principai priimant sprendimus, kokį DNS šifravimą palaikys „Windows“ ir kaip jis bus sukonfigūruotas.

• Pagal numatytuosius nustatymus „Windows“ DNS turi būti kuo privatesnis ir funkcionalesnis, nereikalaujant vartotojo arba administratoriaus konfigūracija, nes „Windows“ DNS srautas yra vartotojo naršymo momentinė nuotrauka istorija. „Windows“ naudotojams tai reiškia, kad jų patirtis bus kuo privatesnė naudojant „Windows“. „Microsoft“ tai reiškia, kad ieškosime galimybių užšifruoti „Windows“ DNS srautą nekeisdami vartotojų ir sistemos administratorių nustatytų sukonfigūruotų DNS sprendimų.
• Į privatumą žiūrintys „Windows“ vartotojai ir administratoriai turi būti nukreipti į DNS nustatymus, net jei jie dar nežino, kas yra DNS. Daugelis vartotojų domisi savo privatumo valdymu ir ieško į privatumą orientuotų nustatymų, pvz., programų leidimų fotoaparatui ir vietą, bet gali nežinoti arba nežinoti apie DNS nustatymus arba suprasti, kodėl jie svarbūs, ir gali jų neieškoti įrenginyje nustatymus.
• „Windows“ naudotojai ir administratoriai turi turėti galimybę patobulinti savo DNS konfigūraciją atlikdami kuo mažiau paprastų veiksmų. Turime užtikrinti, kad iš „Windows“ naudotojų nereikėtų specialių žinių ar pastangų, kad gautume naudos iš užšifruoto DNS. Įmonės politiką ir vartotojo sąsajos veiksmus turėtumėte atlikti tik vieną kartą, o ne prižiūrėti.
• „Windows“ naudotojai ir administratoriai turi aiškiai leisti grįžti į užšifruotą DNS, kai tik sukonfigūruotas. Sukonfigūravus „Windows“ naudoti šifruotą DNS, jei ji negauna jokių kitų „Windows“ naudotojų ar administratorių nurodymų, ji turėtų manyti, kad grįžti prie nešifruoto DNS yra draudžiama.

Remdamasi šiais principais, komanda rengia priėmimo planus DNS per HTTPS (arba DoH) Windows DNS kliente. Kaip platforma, „Windows Core Networking“ siekia, kad vartotojai galėtų naudoti bet kokius jiems reikalingus protokolus, todėl esame pasirengę ateityje turėti kitų parinkčių, pvz., DNS per TLS (DoT). Nuo šiol jie stengiasi palaikyti DoH, nes tai leis pakartotinai naudoti esamą HTTPS infrastruktūrą.

Pirmuoju etapu jie naudos DoH DNS serveriams, kuriuos Windows jau sukonfigūravo naudoti. Dabar yra keli viešieji DNS serveriai, palaikantys DoH, ir jei „Windows“ vartotojas arba įrenginio administratorius sukonfigūruoja vieną iš jų šiandien, „Windows“ tiesiog naudos klasikinį DNS (be šifravimo) tam serveriui. Tačiau kadangi šie serveriai ir jų DoH konfigūracijos yra gerai žinomi, „Windows“ gali automatiškai atnaujinti į DoH, naudodama tą patį serverį. Komanda teigia, kad šis pakeitimas turės šiuos privalumus:

• Mes neatliksime jokių pakeitimų, kurį DNS serverį Windows sukonfigūravo naudoti vartotojas arba tinklas. Šiandien vartotojai ir administratoriai nusprendžia, kokį DNS serverį naudoti, pasirinkdami tinklą, prie kurio prisijungia, arba tiesiogiai nurodydami serverį; šis etapas nieko nepakeis. Daugelis žmonių naudoja IPT arba viešąjį DNS turinio filtravimą, kad galėtų blokuoti įžeidžiančias svetaines. Tyliai pakeitus DNS serverius, kuriais patikėta atlikti „Windows“ skiriamąją gebą, galima netyčia apeiti šiuos valdiklius ir nuvilti vartotojus. Manome, kad įrenginių administratoriai turi teisę kontroliuoti, kur nukreipiamas jų DNS srautas.
• Daugelis vartotojų ir programų, norinčių privatumo, pradės gauti naudos net nežinodami apie DNS. Pagal 1 principą DNS užklausos tampa privatesnės, be jokių programų ar vartotojų veiksmų. Kai abu galutiniai taškai palaiko šifravimą, nėra jokios priežasties laukti leidimo naudoti šifravimą!
• Galime pradėti matyti iššūkius, kylančius įgyvendinant liniją, kad skiriamoji geba būtų teikiama pirmenybę, o ne nešifruotą atsarginį variantą. Laikantis 4 principo, šis DoH naudojimas bus vykdomas taip, kad su serveriu, patvirtintu Windows, kad jis palaiko DoH, nebus konsultuojamasi per klasikinį DNS. Jei dėl privatumo pirmenybės, o ne funkcionalumo, sutrinka įprastas žiniatinklio scenarijus, sužinosime anksti.

Ateityje „Windows 10“ turės galimybę aiškiai konfigūruoti DoH serverius.

Šaltinis