Windows 10 будет изначально поддерживать DNS через HTTPS

DNS-over-HTTPS - относительно молодой веб-протокол, реализованный около двух лет назад. Он предназначен для повышения конфиденциальности и безопасности пользователей за счет предотвращения перехвата и манипулирования данными DNS со стороны Атаки типа "человек посередине" с использованием протокола HTTPS для шифрования данных между клиентом DoH и DNS на основе DoH резольвер.

Команда Windows Core Networking занята добавлением поддержки DoH в ОС. Вот их руководящие принципы при принятии решений, какой тип шифрования DNS будет поддерживать Windows и как оно будет настроено.

• Windows DNS по умолчанию должен быть максимально приватным и функциональным без необходимости участия пользователя. или конфигурации администратора, потому что трафик Windows DNS представляет собой снимок просмотра пользователем история. Для пользователей Windows это означает, что их взаимодействие с Windows будет максимально приватным. Для Microsoft это означает, что мы будем искать возможности для шифрования трафика Windows DNS без изменения настроенных преобразователей DNS, установленных пользователями и системными администраторами.
• Пользователи и администраторы Windows, заботящиеся о конфиденциальности, должны быть ориентированы на настройки DNS, даже если они еще не знают, что такое DNS. Многие пользователи заинтересованы в управлении своей конфиденциальностью и ищут настройки, ориентированные на конфиденциальность, такие как разрешения приложений для камеры и местоположение, но может не знать или не знать о настройках DNS или понимать, почему они важны, и не может искать их на устройстве настройки.
• Пользователи и администраторы Windows должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий. Мы должны убедиться, что нам не требуются специальные знания или усилия со стороны пользователей Windows, чтобы воспользоваться преимуществами зашифрованного DNS. Как корпоративные политики, так и действия пользовательского интерфейса должны быть чем-то, что вам нужно сделать только один раз, а не поддерживать.
• Пользователи и администраторы Windows должны явно разрешить откат от зашифрованного DNS после настройки. После того, как Windows была настроена на использование зашифрованного DNS, если она не получит других инструкций от пользователей или администраторов Windows, она должна предположить, что откат к незашифрованному DNS запрещен.

Основываясь на этих принципах, команда строит планы по внедрению DNS через HTTPS (или DoH) в DNS-клиенте Windows. В качестве платформы Windows Core Networking позволяет пользователям использовать любые протоколы, которые им нужны, поэтому мы открыты для использования других вариантов, таких как DNS через TLS (DoT) в будущем. На данный момент они работают над поддержкой DoH, потому что это позволит им повторно использовать существующую инфраструктуру HTTPS.

На первом этапе они собираются использовать DoH для DNS-серверов, которые Windows уже настроила для использования. В настоящее время существует несколько общедоступных DNS-серверов, поддерживающих DoH, и если пользователь Windows или администратор устройства настроит один из них сегодня, Windows просто будет использовать классический DNS (без шифрования) для этого сервера. Однако, поскольку эти серверы и их конфигурации DoH хорошо известны, Windows может автоматически обновляться до DoH при использовании того же сервера. Команда заявляет о следующих преимуществах этого изменения:

• Мы не будем вносить никаких изменений в DNS-сервер Windows, настроенный для использования пользователем или сетью. Сегодня пользователи и администраторы решают, какой DNS-сервер использовать, выбирая сеть, к которой они присоединяются, или напрямую указывая сервер; эта веха ничего в этом не изменит. Многие люди используют фильтрацию контента ISP или общедоступного DNS для таких вещей, как блокировка оскорбительных веб-сайтов. Незаметное изменение DNS-серверов, которым доверяют решения Windows, может непреднамеренно обойти эти элементы управления и расстроить наших пользователей. Мы считаем, что администраторы устройств имеют право контролировать, куда направляется их DNS-трафик.
• Многие пользователи и приложения, которым нужна конфиденциальность, начнут получать преимущества, даже не зная о DNS. В соответствии с принципом 1 запросы DNS становятся более конфиденциальными без каких-либо действий со стороны приложений или пользователей. Когда обе конечные точки поддерживают шифрование, нет причин ждать разрешения на использование шифрования!
• Мы можем начать видеть проблемы в применении линии о предпочтении отказа разрешения незашифрованного отката. В соответствии с принципом 4, это использование DoH будет принудительно, так что сервер, подтвержденный Windows для поддержки DoH, не будет запрашиваться через классический DNS. Если такое предпочтение конфиденциальности, а не функциональности вызывает какие-либо нарушения в обычных веб-сценариях, мы узнаем об этом заранее.

В будущем Windows 10 будет включать возможность явно настраивать серверы DoH.

Источник