O Windows 10 oferecerá suporte nativo a DNS sobre HTTPS
DNS-over-HTTPS é um protocolo da Web relativamente novo, implementado há cerca de dois anos. Destina-se a aumentar a privacidade e segurança do usuário, evitando espionagem e manipulação de dados DNS por ataques man-in-the-middle usando o protocolo HTTPS para criptografar os dados entre o cliente DoH e o DNS baseado em DoH resolver.
A equipe do Windows Core Networking está ocupada adicionando o suporte DoH ao sistema operacional. Aqui estão seus princípios orientadores sobre a tomada de decisões sobre que tipo de criptografia DNS o Windows oferecerá suporte e como ela será configurada.
- O DNS do Windows precisa ser o mais privado e funcional possível por padrão, sem a necessidade do usuário ou configuração de administrador porque o tráfego DNS do Windows representa um instantâneo da navegação do usuário história. Para os usuários do Windows, isso significa que sua experiência se tornará a mais privada possível pelo Windows pronto para uso. Para a Microsoft, isso significa que procuraremos oportunidades para criptografar o tráfego DNS do Windows sem alterar os resolvedores DNS configurados pelos usuários e administradores de sistema.
- Os usuários e administradores do Windows que se preocupam com a privacidade precisam ser orientados para as configurações de DNS, mesmo que ainda não saibam o que é DNS. Muitos usuários estão interessados em controlar sua privacidade e procuram configurações centradas na privacidade, como permissões de aplicativos para a câmera e localização, mas pode não estar ciente ou saber sobre as configurações de DNS ou entender por que são importantes e pode não procurá-los no dispositivo definições.
- Os usuários e administradores do Windows precisam ser capazes de melhorar sua configuração de DNS com o mínimo de ações simples possível. Devemos garantir que não exijamos conhecimento especializado ou esforço por parte dos usuários do Windows para se beneficiar do DNS criptografado. As políticas corporativas e as ações da interface do usuário devem ser algo que você só precisa fazer uma vez, em vez de manter.
- Os usuários e administradores do Windows precisam permitir explicitamente o fallback do DNS criptografado, uma vez configurado. Uma vez que o Windows tenha sido configurado para usar DNS criptografado, se ele não obtiver outras instruções de usuários ou administradores do Windows, ele deve assumir que voltar para DNS não criptografado é proibido.
Com base nesses princípios, a equipe está fazendo planos para adotar DNS sobre HTTPS (ou DoH) no cliente DNS do Windows. Como plataforma, o Windows Core Networking visa permitir que os usuários usem quaisquer protocolos de que necessitem, portanto, estamos abertos a ter outras opções, como DNS sobre TLS (DoT) no futuro. A partir de agora, eles estão trabalhando para oferecer suporte ao DoH porque isso permitirá que eles reutilizem sua infraestrutura HTTPS existente.
Para a primeira etapa, eles usarão o DoH para servidores DNS que o Windows já está configurado para usar. Existem agora vários servidores DNS públicos que oferecem suporte a DoH e, se um usuário do Windows ou administrador de dispositivo configurar um deles hoje, o Windows usará apenas o DNS clássico (sem criptografia) nesse servidor. No entanto, como esses servidores e suas configurações de DoH são bem conhecidos, o Windows pode atualizar automaticamente para DoH ao usar o mesmo servidor. A equipe reivindica os seguintes benefícios com essa mudança:
- Não faremos nenhuma alteração em qual servidor DNS o Windows foi configurado para uso pelo usuário ou rede. Hoje, os usuários e administradores decidem qual servidor DNS usar escolhendo a rede a que se conectam ou especificando o servidor diretamente; este marco não mudará nada sobre isso. Muitas pessoas usam ISP ou filtragem de conteúdo DNS público para fazer coisas como bloquear sites ofensivos. Alterar silenciosamente os servidores DNS confiáveis para fazer as resoluções do Windows pode inadvertidamente ignorar esses controles e frustrar nossos usuários. Acreditamos que os administradores de dispositivos têm o direito de controlar para onde vai seu tráfego DNS.
- Muitos usuários e aplicativos que desejam privacidade começarão a obter os benefícios sem precisar saber sobre DNS. De acordo com o princípio 1, as consultas DNS se tornam mais privadas sem nenhuma ação de aplicativos ou usuários. Quando ambos os terminais suportam criptografia, não há razão para esperar pela permissão para usar a criptografia!
- Podemos começar a ver os desafios de impor a linha de preferência por falha de resolução em vez de fallback não criptografado. De acordo com o princípio 4, esse uso de DoH será aplicado de forma que um servidor confirmado pelo Windows para oferecer suporte a DoH não seja consultado por meio do DNS clássico. Se essa preferência por privacidade em vez de funcionalidade causar qualquer interrupção em cenários comuns da web, descobriremos o quanto antes.
No futuro, o Windows 10 incluirá a capacidade de configurar servidores DoH explicitamente.
Fonte