Windows 10 bude natívne podporovať DNS cez HTTPS
DNS-over-HTTPS je relatívne mladý webový protokol, implementovaný asi pred dvoma rokmi. Jeho cieľom je zvýšiť súkromie a bezpečnosť používateľov tým, že zabráni odpočúvaniu a manipulácii s údajmi DNS útoky typu man-in-the-middle pomocou protokolu HTTPS na šifrovanie údajov medzi klientom DoH a DNS založenými na DoH resolver.
Tím Windows Core Networking je zaneprázdnený pridávaním podpory DoH do OS. Tu sú ich hlavné zásady pri rozhodovaní o tom, aký druh šifrovania DNS bude systém Windows podporovať a ako bude nakonfigurovaný.
Reklama
- Windows DNS musí byť v predvolenom nastavení čo najviac súkromný a funkčný bez potreby používateľa alebo konfiguráciu správcu, pretože prenos DNS systému Windows predstavuje snímku prehliadania používateľa histórie. Pre používateľov systému Windows to znamená, že ich prostredie bude po vybalení zo systému Windows maximálne súkromné. Pre Microsoft to znamená, že budeme hľadať príležitosti na šifrovanie prevádzky DNS systému Windows bez zmeny nakonfigurovaných prekladačov DNS, ktoré nastavili používatelia a správcovia systému.
- Používatelia a správcovia systému Windows, ktorí majú záujem o súkromie, musia byť vedení k nastaveniam DNS, aj keď ešte nevedia, čo DNS je. Mnoho používateľov má záujem ovládať svoje súkromie a hľadajú nastavenia zamerané na ochranu osobných údajov, ako sú povolenia aplikácií pre fotoaparát a umiestnenie, ale nemusí poznať alebo vedieť o nastaveniach DNS alebo rozumieť, prečo na nich záleží, a nemusí ich v zariadení hľadať nastavenie.
- Používatelia a správcovia systému Windows musia byť schopní zlepšiť svoju konfiguráciu DNS s čo najmenším počtom jednoduchých akcií. Musíme zabezpečiť, aby sme od používateľov systému Windows nevyžadovali špeciálne znalosti alebo úsilie, aby mohli využívať šifrované DNS. Podnikové politiky a akcie používateľského rozhrania by mali byť niečím, čo musíte urobiť len raz, a nie ich údržbu.
- Používatelia a správcovia systému Windows musia po nakonfigurovaní explicitne povoliť záložný prístup zo šifrovaného DNS. Keď je systém Windows nakonfigurovaný na používanie šifrovaného DNS, ak nedostane žiadne ďalšie pokyny od používateľov alebo správcov systému Windows, mal by predpokladať, že návrat k nešifrovanému DNS je zakázaný.
Na základe týchto princípov tím vytvára plány na prijatie DNS cez HTTPS (alebo DoH) v klientovi DNS systému Windows. Ako platforma sa Windows Core Networking snaží umožniť používateľom používať akékoľvek protokoly, ktoré potrebujú, takže sme otvorení tomu, že v budúcnosti budeme mať ďalšie možnosti, ako je DNS over TLS (DoT). Odteraz pracujú na podpore DoH, pretože im to umožní znovu použiť ich existujúcu infraštruktúru HTTPS.
Ako prvý míľnik použijú DoH pre servery DNS, na ktoré je už systém Windows nakonfigurovaný. Teraz existuje niekoľko verejných serverov DNS, ktoré podporujú DoH, a ak používateľ systému Windows alebo správca zariadenia dnes nakonfiguruje jeden z nich, systém Windows bude pre tento server používať iba klasické DNS (bez šifrovania). Keďže sú však tieto servery a ich konfigurácie DoH dobre známe, systém Windows môže automaticky inovovať na DoH pri používaní rovnakého servera. Tím si z tejto zmeny nárokuje tieto výhody:
- Nebudeme vykonávať žiadne zmeny, pre ktorý server DNS bol systém Windows nakonfigurovaný na používanie používateľom alebo sieťou. Používatelia a správcovia sa dnes rozhodujú, ktorý server DNS použijú, výberom siete, ku ktorej sa pripájajú, alebo priamym zadaním servera; tento míľnik na tom nič nezmení. Mnoho ľudí používa ISP alebo verejné filtrovanie obsahu DNS, aby robili veci, ako je blokovanie urážlivých webových stránok. Tichá zmena serverov DNS, ktorým sa dôveruje, že vykonávajú rozlíšenia systému Windows, by mohla neúmyselne obísť tieto ovládacie prvky a frustrovať našich používateľov. Veríme, že správcovia zariadení majú právo kontrolovať, kam smeruje ich prevádzka DNS.
- Mnoho používateľov a aplikácií, ktoré chcú súkromie, začne využívať výhody bez toho, aby museli vedieť o DNS. V súlade s princípom 1 sa dotazy DNS stávajú súkromnejšími bez akejkoľvek akcie zo strany aplikácií alebo používateľov. Keď oba koncové body podporujú šifrovanie, nie je dôvod čakať na povolenie používať šifrovanie!
- Môžeme začať vidieť výzvy pri presadzovaní línie uprednostňovania zlyhania rozlíšenia pred nešifrovaným núdzovým riešením. V súlade so zásadou 4 bude toto používanie DoH presadzované tak, že server potvrdený systémom Windows na podporu DoH nebude konzultovaný cez klasický DNS. Ak táto preferencia ochrany osobných údajov pred funkčnosťou spôsobí akékoľvek narušenie bežných webových scenárov, zistíme to čoskoro.
V budúcnosti bude Windows 10 obsahovať možnosť explicitne konfigurovať servery DoH.
Zdroj
