Windows 10 ondersteunt native DNS via HTTPS
DNS-over-HTTPS is een relatief jong webprotocol, ongeveer twee jaar geleden geïmplementeerd. Het is bedoeld om de privacy en veiligheid van gebruikers te vergroten door afluisteren en manipuleren van DNS-gegevens te voorkomen door: man-in-the-middle-aanvallen door het HTTPS-protocol te gebruiken om de gegevens tussen de DoH-client en de op DoH gebaseerde DNS te versleutelen oplosser.
Het Windows Core Networking-team is druk bezig met het toevoegen van DoH-ondersteuning aan het besturingssysteem. Hier zijn hun leidende principes bij het nemen van beslissingen wat voor soort DNS-codering Windows zal ondersteunen en hoe deze zal worden geconfigureerd.
Advertentie
- Windows DNS moet standaard zo privé en functioneel mogelijk zijn zonder dat een gebruiker nodig is of beheerdersconfiguratie omdat Windows DNS-verkeer een momentopname is van het browsen van de gebruiker geschiedenis. Voor Windows-gebruikers betekent dit dat hun ervaring direct door Windows zo privé mogelijk wordt gemaakt. Voor Microsoft betekent dit dat we op zoek gaan naar mogelijkheden om Windows DNS-verkeer te versleutelen zonder de geconfigureerde DNS-resolvers te wijzigen die zijn ingesteld door gebruikers en systeembeheerders.
- Privacybewuste Windows-gebruikers en -beheerders moeten naar DNS-instellingen worden geleid, zelfs als ze nog niet weten wat DNS is. Veel gebruikers zijn geïnteresseerd in het beheren van hun privacy en gaan op zoek naar privacygerichte instellingen zoals app-machtigingen voor camera en locatie, maar zijn mogelijk niet op de hoogte van of weten niet van DNS-instellingen of begrijpen waarom ze belangrijk zijn en zoeken er mogelijk niet naar op het apparaat instellingen.
- Windows-gebruikers en -beheerders moeten hun DNS-configuratie kunnen verbeteren met zo min mogelijk eenvoudige handelingen. We moeten ervoor zorgen dat we geen gespecialiseerde kennis of inspanning van Windows-gebruikers nodig hebben om te profiteren van versleutelde DNS. Zowel bedrijfsbeleid als UI-acties zouden iets moeten zijn dat u maar één keer hoeft te doen in plaats van te onderhouden.
- Windows-gebruikers en -beheerders moeten expliciet toestaan dat terugval van versleutelde DNS eenmaal is geconfigureerd. Als Windows eenmaal is geconfigureerd om versleutelde DNS te gebruiken en het geen andere instructies krijgt van Windows-gebruikers of -beheerders, moet het ervan uitgaan dat terugvallen op niet-versleutelde DNS verboden is.
Op basis van deze principes maakt het team plannen voor adoptie DNS via HTTPS (of DoH) in de Windows DNS-client. Als platform probeert Windows Core Networking gebruikers in staat te stellen alle protocollen te gebruiken die ze nodig hebben, dus we staan open voor andere opties, zoals DNS over TLS (DoT) in de toekomst. Vanaf nu werken ze aan het ondersteunen van DoH omdat het hen in staat zal stellen hun bestaande HTTPS-infrastructuur opnieuw te gebruiken.
Voor de eerste mijlpaal gaan ze DoH gebruiken voor DNS-servers waarvoor Windows al is geconfigureerd. Er zijn nu verschillende openbare DNS-servers die DoH ondersteunen, en als een Windows-gebruiker of apparaatbeheerder er vandaag een configureert, gebruikt Windows alleen klassieke DNS (zonder codering) voor die server. Aangezien deze servers en hun DoH-configuraties algemeen bekend zijn, kan Windows echter automatisch upgraden naar DoH terwijl dezelfde server wordt gebruikt. Het team claimt de volgende voordelen van deze wijziging:
- We zullen geen wijzigingen aanbrengen in de DNS-server die Windows is geconfigureerd voor gebruik door de gebruiker of het netwerk. Tegenwoordig beslissen gebruikers en beheerders welke DNS-server ze gebruiken door het netwerk te kiezen waar ze lid van worden of door de server rechtstreeks te specificeren; daar verandert deze mijlpaal niets aan. Veel mensen gebruiken ISP- of openbare DNS-inhoudsfiltering om bijvoorbeeld aanstootgevende websites te blokkeren. Het stilzwijgend wijzigen van de DNS-servers die worden vertrouwd om Windows-resoluties uit te voeren, kan deze controles per ongeluk omzeilen en onze gebruikers frustreren. Wij zijn van mening dat apparaatbeheerders het recht hebben om te bepalen waar hun DNS-verkeer naartoe gaat.
- Veel gebruikers en applicaties die privacy willen, zullen de voordelen beginnen te krijgen zonder dat ze iets van DNS hoeven te weten. In overeenstemming met principe 1 worden de DNS-query's meer privé zonder actie van apps of gebruikers. Wanneer beide eindpunten codering ondersteunen, is er geen reden om te wachten op toestemming om codering te gebruiken!
- We kunnen de uitdagingen beginnen te zien bij het afdwingen van de lijn om de voorkeur te geven aan het mislukken van de resolutie boven niet-versleutelde terugval. In lijn met principe 4 zal dit DoH-gebruik worden afgedwongen, zodat een door Windows bevestigde server die DoH ondersteunt niet via klassieke DNS wordt geraadpleegd. Als deze voorkeur voor privacy boven functionaliteit enige verstoring veroorzaakt in veelvoorkomende webscenario's, komen we daar vroeg achter.
In de toekomst zal Windows 10 de mogelijkheid bieden om DoH-servers expliciet te configureren.
Bron