Windows 10 støtter DNS over HTTPS naturlig
DNS-over-HTTPS er en relativt ung nettprotokoll, implementert for omtrent to år siden. Det er ment å øke brukernes personvern og sikkerhet ved å forhindre avlytting og manipulering av DNS-data av man-in-the-middle-angrep ved å bruke HTTPS-protokollen for å kryptere dataene mellom DoH-klienten og den DoH-baserte DNS-en løser.
Windows Core Networking-teamet er opptatt med å legge til DoH-støtte til operativsystemet. Her er deres veiledende prinsipper for å ta avgjørelser hva slags DNS-kryptering Windows vil støtte og hvordan den skal konfigureres.
Annonse
- Windows DNS må være så privat og funksjonelt som mulig som standard uten behov for bruker eller adminkonfigurasjon fordi Windows DNS-trafikk representerer et øyeblikksbilde av brukerens surfing historie. For Windows-brukere betyr dette at deres opplevelse blir gjort så privat som mulig av Windows ut av esken. For Microsoft betyr dette at vi vil se etter muligheter for å kryptere Windows DNS-trafikk uten å endre de konfigurerte DNS-oppløsningene satt av brukere og systemadministratorer.
- Personverninnstilte Windows-brukere og -administratorer må veiledes til DNS-innstillinger selv om de ikke vet hva DNS er ennå. Mange brukere er interessert i å kontrollere personvernet sitt og ser etter personvernsentrerte innstillinger som apptillatelser til kamera og plassering, men kanskje ikke er klar over eller vet om DNS-innstillinger eller forstår hvorfor de betyr noe og kan ikke lete etter dem på enheten innstillinger.
- Windows-brukere og -administratorer må kunne forbedre DNS-konfigurasjonen med så få enkle handlinger som mulig. Vi må sørge for at vi ikke krever spesialkunnskap eller innsats fra Windows-brukere for å dra nytte av kryptert DNS. Både bedriftspolicyer og UI-handlinger bør være noe du bare trenger å gjøre én gang i stedet for å vedlikeholde.
- Windows-brukere og -administratorer må eksplisitt tillate fallback fra kryptert DNS når den er konfigurert. Når Windows er konfigurert til å bruke kryptert DNS, hvis det ikke får andre instruksjoner fra Windows-brukere eller administratorer, bør det anta at det er forbudt å falle tilbake til ukryptert DNS.
Basert på disse prinsippene legger teamet planer for å adoptere DNS over HTTPS (eller DoH) i Windows DNS-klienten. Som en plattform søker Windows Core Networking å gjøre det mulig for brukere å bruke de protokollene de trenger, så vi er åpne for å ha andre alternativer som DNS over TLS (DoT) i fremtiden. Per nå jobber de med å støtte DoH fordi det vil tillate dem å gjenbruke sin eksisterende HTTPS-infrastruktur.
For den første milepælen vil de bruke DoH for DNS-servere som Windows allerede er konfigurert til å bruke. Det er nå flere offentlige DNS-servere som støtter DoH, og hvis en Windows-bruker eller enhetsadministrator konfigurerer en av dem i dag, vil Windows bare bruke klassisk DNS (uten kryptering) til den serveren. Men siden disse serverne og deres DoH-konfigurasjoner er velkjente, kan Windows automatisk oppgradere til DoH mens du bruker samme server. Teamet hevder følgende fordeler fra denne endringen:
- Vi vil ikke gjøre noen endringer i hvilken DNS-server Windows ble konfigurert til å bruke av brukeren eller nettverket. I dag bestemmer brukere og administratorer hvilken DNS-server som skal brukes ved å velge nettverket de kobler seg til eller spesifisere serveren direkte; denne milepælen vil ikke endre noe på det. Mange bruker ISP eller offentlig DNS-innholdsfiltrering for å gjøre ting som å blokkere støtende nettsteder. Stille endring av DNS-servere som er klarert til å gjøre Windows-oppløsninger, kan utilsiktet omgå disse kontrollene og frustrere brukerne våre. Vi mener enhetsadministratorer har rett til å kontrollere hvor DNS-trafikken deres går.
- Mange brukere og applikasjoner som ønsker personvern vil begynne å få fordelene uten å måtte vite om DNS. I tråd med prinsipp 1 blir DNS-spørringene mer private uten handling fra verken apper eller brukere. Når begge endepunktene støtter kryptering, er det ingen grunn til å vente på tillatelse til å bruke kryptering!
- Vi kan begynne å se utfordringene med å håndheve linjen om å foretrekke oppløsningssvikt fremfor ukryptert fallback. I tråd med prinsipp 4 vil denne DoH-bruken håndheves slik at en server som er bekreftet av Windows å støtte DoH, ikke vil bli konsultert via klassisk DNS. Hvis denne preferansen for personvern fremfor funksjonalitet forårsaker forstyrrelser i vanlige nettscenarier, finner vi ut tidlig.
I fremtiden vil Windows 10 inkludere muligheten til å konfigurere DoH-servere eksplisitt.
Kilde