Windows 10 atbalstīs DNS, izmantojot HTTPS sākotnēji

DNS-over-HTTPS ir salīdzinoši jauns tīmekļa protokols, kas ieviests apmēram pirms diviem gadiem. Tas ir paredzēts, lai palielinātu lietotāju privātumu un drošību, novēršot DNS datu noklausīšanos un manipulācijas ar tiem vidus uzbrukumi, izmantojot HTTPS protokolu, lai šifrētu datus starp DoH klientu un uz DoH balstītu DNS atrisinātājs.

Windows Core Networking komanda ir aizņemta ar DoH atbalsta pievienošanu OS. Šeit ir norādīti viņu pamatprincipi lēmumu pieņemšanai, kāda veida DNS šifrēšanu sistēma Windows atbalstīs un kā tā tiks konfigurēta.

• Windows DNS pēc noklusējuma ir jābūt pēc iespējas privātākam un funkcionālam bez lietotāja nepieciešamības vai administratora konfigurācija, jo Windows DNS trafika ir lietotāja pārlūkošanas momentuzņēmums vēsture. Windows lietotājiem tas nozīmē, ka operētājsistēma Windows viņu pieredzi padarīs pēc iespējas privātāku. Microsoft tas nozīmē, ka mēs meklēsim iespējas šifrēt Windows DNS trafiku, nemainot lietotāju un sistēmas administratoru iestatītos konfigurētos DNS risinātājus.
• Uz privātumu domājošiem Windows lietotājiem un administratoriem ir jānorāda DNS iestatījumi, pat ja viņi vēl nezina, kas ir DNS. Daudzi lietotāji ir ieinteresēti kontrolēt savu privātumu un meklē uz privātumu orientētus iestatījumus, piemēram, lietotņu atļaujas kamerai un atrašanās vietu, bet var nezināt vai nezināt par DNS iestatījumiem vai saprast, kāpēc tie ir svarīgi, un var nemeklēt tos ierīcē iestatījumi.
• Windows lietotājiem un administratoriem ir jāspēj uzlabot DNS konfigurācija, veicot pēc iespējas mazāk vienkāršu darbību. Mums ir jānodrošina, ka Windows lietotājiem nav vajadzīgas īpašas zināšanas vai pūles, lai gūtu labumu no šifrētā DNS. Uzņēmuma politikām un lietotāja interfeisa darbībām vajadzētu būt kaut kas, kas jums jādara tikai vienu reizi, nevis jāuztur.
• Windows lietotājiem un administratoriem ir skaidri jāatļauj atkāpšanās no šifrētā DNS, kad tas ir konfigurēts. Kad sistēma Windows ir konfigurēta izmantot šifrētu DNS, ja tā nesaņem citus norādījumus no Windows lietotājiem vai administratoriem, tai vajadzētu pieņemt, ka atgriešanās pie nešifrēta DNS ir aizliegta.

Pamatojoties uz šiem principiem, komanda plāno adoptēt DNS, izmantojot HTTPS (vai DoH) Windows DNS klientā. Kā platforma Windows Core Networking cenšas ļaut lietotājiem izmantot visus nepieciešamos protokolus, tāpēc mēs esam gatavi izmantot citas iespējas, piemēram, DNS, izmantojot TLS (DoT). Šobrīd viņi strādā, lai atbalstītu DoH, jo tas ļaus viņiem atkārtoti izmantot esošo HTTPS infrastruktūru.

Pirmajā posmā viņi izmantos DoH DNS serveriem, kurus Windows jau ir konfigurējis lietošanai. Tagad ir vairāki publiski DNS serveri, kas atbalsta DoH, un, ja Windows lietotājs vai ierīces administrators šodien konfigurēs kādu no tiem, Windows šim serverim izmantos klasisko DNS (bez šifrēšanas). Tomēr, tā kā šie serveri un to DoH konfigurācijas ir labi zināmas, Windows var automātiski jaunināt uz DoH, vienlaikus izmantojot to pašu serveri. Komanda apgalvo, ka no šīm izmaiņām ir šādas priekšrocības:

• Mēs neveiksim nekādas izmaiņas DNS serverī, kuru Windows konfigurēja lietošanai lietotājs vai tīkls. Mūsdienās lietotāji un administratori izlemj, kuru DNS serveri izmantot, izvēloties tīklu, kuram viņi pievienojas, vai tieši norādot serveri; šis pavērsiens neko nemainīs. Daudzi cilvēki izmanto ISP vai publisko DNS satura filtrēšanu, lai veiktu tādas darbības kā aizskarošu vietņu bloķēšana. Klusi mainot DNS serverus, kuriem uzticas Windows izšķirtspējas, var nejauši apiet šīs vadīklas un sagraut mūsu lietotājus. Mēs uzskatām, ka ierīču administratoriem ir tiesības kontrolēt viņu DNS trafika virzienu.
• Daudzi lietotāji un lietojumprogrammas, kas vēlas privātumu, sāks iegūt priekšrocības, nezinot par DNS. Saskaņā ar 1. principu DNS vaicājumi kļūst privātāki, neveicot nekādas darbības no lietotnēm vai lietotājiem. Ja abi galapunkti atbalsta šifrēšanu, nav iemesla gaidīt atļauju izmantot šifrēšanu!
• Mēs varam sākt saskatīt problēmas, kas rodas, ieviešot līniju, kas dod priekšroku izšķirtspējas kļūmei, nevis nešifrētai atkāpšanās iespējai. Saskaņā ar 4. principu šī DoH izmantošana tiks ieviesta tā, lai serveris, ko sistēma Windows apstiprinājis, lai atbalstītu DoH, netiktu apspriests, izmantojot klasisko DNS. Ja šī privātuma priekšroka, nevis funkcionalitāte, radīs traucējumus izplatītajos tīmekļa scenārijos, mēs to uzzināsim agri.

Nākotnē Windows 10 ietvers iespēju skaidri konfigurēt DoH serverus.

Avots