Windows 10 va accepta DNS prin HTTPS nativ

DNS-over-HTTPS este un protocol web relativ tânăr, implementat acum aproximativ doi ani. Acesta are scopul de a crește confidențialitatea și securitatea utilizatorilor prin prevenirea interceptării și manipulării datelor DNS de către atacuri man-in-the-middle prin utilizarea protocolului HTTPS pentru a cripta datele dintre clientul DoH și DNS-ul bazat pe DoH rezolutor.

Echipa Windows Core Networking este ocupată cu adăugarea suportului DoH la sistemul de operare. Iată principiile lor directoare pentru luarea deciziilor ce fel de criptare DNS va accepta Windows și cum va fi configurată.

• DNS Windows trebuie să fie cât mai privat și funcțional posibil în mod implicit, fără a fi nevoie de utilizator sau configurația admin, deoarece traficul DNS Windows reprezintă un instantaneu al navigării utilizatorului istorie. Pentru utilizatorii de Windows, aceasta înseamnă că experiența lor va fi cât mai privată posibil de către Windows din cutie. Pentru Microsoft, aceasta înseamnă că vom căuta oportunități de a cripta traficul DNS Windows fără a modifica soluțiile DNS configurate setate de utilizatori și administratorii de sistem.
• Utilizatorii și administratorii Windows care au grijă de confidențialitate trebuie să fie ghidați către setările DNS, chiar dacă nu știu încă ce este DNS. Mulți utilizatori sunt interesați să-și controleze confidențialitatea și caută setări centrate pe confidențialitate, cum ar fi permisiunile aplicației pentru cameră și locație, dar este posibil să nu cunoască sau să știe despre setările DNS sau să înțeleagă de ce acestea contează și este posibil să nu le caute în dispozitiv setări.
• Utilizatorii și administratorii Windows trebuie să își poată îmbunătăți configurația DNS cu cât mai puține acțiuni simple posibil. Trebuie să ne asigurăm că nu avem nevoie de cunoștințe sau efort specializat din partea utilizatorilor Windows pentru a beneficia de DNS criptat. Politicile de întreprindere și acțiunile UI deopotrivă ar trebui să fie ceva ce trebuie să faceți o singură dată, mai degrabă decât să trebuiască să îl întrețineți.
• Utilizatorii și administratorii Windows trebuie să permită în mod explicit fallback-ul de la DNS criptat odată configurat. Odată ce Windows a fost configurat să utilizeze DNS criptat, dacă nu primește alte instrucțiuni de la utilizatorii sau administratorii Windows, ar trebui să presupună că este interzisă revenirea la DNS necriptat.

Pe baza acestor principii, echipa face planuri pentru a le adopta DNS prin HTTPS (sau DoH) în clientul DNS Windows. Ca platformă, Windows Core Networking încearcă să permită utilizatorilor să utilizeze orice protocoale de care au nevoie, așa că suntem deschiși să avem și alte opțiuni, cum ar fi DNS over TLS (DoT) în viitor. Începând de acum, lucrează pentru a sprijini DoH, deoarece le va permite să-și refolosească infrastructura HTTPS existentă.

Pentru prima etapă, vor folosi DoH pentru serverele DNS pe care Windows este deja configurat pentru a le utiliza. Acum există mai multe servere DNS publice care acceptă DoH, iar dacă un utilizator Windows sau un administrator de dispozitiv configurează unul dintre ele astăzi, Windows va folosi doar DNS clasic (fără criptare) pe acel server. Cu toate acestea, deoarece aceste servere și configurațiile lor DoH sunt bine cunoscute, Windows poate face upgrade automat la DoH în timp ce folosește același server. Echipa susține următoarele beneficii din această schimbare:

• Nu vom face nicio modificare la care serverul DNS Windows a fost configurat să îl folosească de către utilizator sau rețea. Astăzi, utilizatorii și administratorii decid ce server DNS să folosească alegând rețeaua la care se alătură sau specificând direct serverul; această piatră de hotar nu va schimba nimic în acest sens. Mulți oameni folosesc ISP sau filtrarea conținutului DNS public pentru a face lucruri precum blocarea site-urilor web ofensive. Schimbarea în tăcere a serverelor DNS de încredere pentru a face rezoluții Windows ar putea ocoli aceste controale din neatenție și ar putea frustra utilizatorii noștri. Considerăm că administratorii de dispozitive au dreptul de a controla unde ajunge traficul lor DNS.
• Mulți utilizatori și aplicații care doresc confidențialitate vor începe să obțină beneficii fără a fi nevoie să știe despre DNS. În conformitate cu principiul 1, interogările DNS devin mai private, fără nicio acțiune din partea aplicațiilor sau a utilizatorilor. Când ambele puncte finale acceptă criptarea, nu există niciun motiv să așteptați permisiunea de a folosi criptarea!
• Putem începe să vedem provocările în aplicarea liniei de preferință a eșecului de rezoluție în locul alternativă necriptată. În conformitate cu principiul 4, această utilizare DoH va fi impusă astfel încât un server confirmat de Windows pentru a suporta DoH nu va fi consultat prin DNS clasic. Dacă această preferință pentru confidențialitate față de funcționalitate provoacă vreo întrerupere în scenariile web obișnuite, vom afla mai devreme.

În viitor, Windows 10 va include capacitatea de a configura serverele DoH în mod explicit.

Sursă