Windows 10 bo izvorno podpiral DNS prek HTTPS

DNS-over-HTTPS je relativno mlad spletni protokol, ki je bil implementiran pred približno dvema letoma. Namenjen je povečanju zasebnosti in varnosti uporabnikov s preprečevanjem prisluškovanja in manipulacije podatkov DNS s napadi človek v sredini z uporabo protokola HTTPS za šifriranje podatkov med odjemalcem DoH in DNS, ki temelji na DoH razreševalec.

Ekipa Windows Core Networking je zaposlena z dodajanjem podpore DoH v OS. Tu so njihova vodilna načela pri odločanju, kakšno šifriranje DNS bo podpiral Windows in kako bo konfigurirano.

• Windows DNS mora biti privzeto čim bolj zaseben in funkcionalen, brez potrebe po uporabniku ali skrbniško konfiguracijo, ker promet Windows DNS predstavlja posnetek uporabnikovega brskanja zgodovino. Za uporabnike operacijskega sistema Windows to pomeni, da bo njihova izkušnja s sistemom Windows že iz škatle postala čim bolj zasebna. Za Microsoft to pomeni, da bomo iskali priložnosti za šifriranje prometa Windows DNS brez spreminjanja konfiguriranih razreševalnikov DNS, ki so jih nastavili uporabniki in sistemski skrbniki.
• Uporabniki in skrbniki sistema Windows, ki se zanimajo za zasebnost, morajo biti vodeni do nastavitev DNS, tudi če še ne vedo, kaj je DNS. Številni uporabniki se zanimajo za nadzor svoje zasebnosti in iščejo nastavitve, osredotočene na zasebnost, kot so dovoljenja aplikacij za kamero in lokacijo, vendar se morda ne zavedajo ali ne poznajo nastavitev DNS ali razumejo, zakaj so pomembne, in jih morda ne iščejo v napravi nastavitve.
• Uporabniki in skrbniki sistema Windows morajo imeti možnost izboljšati svojo konfiguracijo DNS s čim manj preprostimi dejanji. Zagotoviti moramo, da od uporabnikov sistema Windows ne potrebujemo posebnega znanja ali truda, da bi imeli koristi od šifriranega DNS. Podjetniške politike in dejanja uporabniškega vmesnika bi morala biti nekaj, kar morate storiti samo enkrat in ne vzdrževati.
• Uporabniki in skrbniki sistema Windows morajo po konfiguraciji izrecno dovoliti nadomestno uporabo šifriranega DNS. Ko je Windows konfiguriran za uporabo šifriranega DNS in če ne prejme nobenih drugih navodil od uporabnikov ali skrbnikov sistema Windows, bi moral domnevati, da je vrnitev na nešifriran DNS prepovedana.

Na podlagi teh načel ekipa pripravlja načrte za sprejetje DNS prek HTTPS (ali DoH) v odjemalcu Windows DNS. Kot platforma želi Windows Core Networking uporabnikom omogočiti uporabo poljubnih protokolov, zato smo v prihodnosti odprti za druge možnosti, kot je DNS prek TLS (DoT). Trenutno si prizadevajo za podporo DoH, ker jim bo to omogočilo ponovno uporabo njihove obstoječe infrastrukture HTTPS.

Za prvi mejnik bodo uporabili DoH za strežnike DNS, za katere je Windows že konfiguriran. Zdaj obstaja več javnih strežnikov DNS, ki podpirajo DoH, in če uporabnik ali skrbnik naprave Windows danes konfigurira enega od njih, bo Windows za ta strežnik uporabil samo klasični DNS (brez šifriranja). Ker pa so ti strežniki in njihove DoH konfiguracije dobro znani, lahko Windows samodejno nadgradi na DoH, medtem ko uporablja isti strežnik. Ekipa zahteva naslednje koristi od te spremembe:

• Ne bomo spreminjali, kateri strežnik DNS je bil Windows konfiguriran za uporabo s strani uporabnika ali omrežja. Danes se uporabniki in skrbniki odločijo, kateri strežnik DNS bodo uporabili, tako da izberejo omrežje, ki se mu pridružijo, ali neposredno določijo strežnik; ta mejnik glede tega ne bo nič spremenil. Mnogi ljudje uporabljajo ISP ali javno filtriranje vsebine DNS za stvari, kot je blokiranje žaljivih spletnih mest. Tiho spreminjanje strežnikov DNS, ki jim zaupate, da izvajajo resolucije sistema Windows, bi lahko nehote zaobšlo te kontrole in frustriralo naše uporabnike. Verjamemo, da imajo skrbniki naprav pravico nadzorovati, kam gre njihov promet DNS.
• Številni uporabniki in aplikacije, ki želijo zasebnost, bodo začeli prejemati prednosti, ne da bi morali vedeti o DNS. V skladu s prvim načelom postanejo poizvedbe DNS bolj zasebne brez ukrepanja s strani aplikacij ali uporabnikov. Ko obe končni točki podpirata šifriranje, ni razloga za čakanje na dovoljenje za uporabo šifriranja!
• Začnemo lahko videti izzive pri uveljavljanju meje o prednostni neuspešni rešitvi pred nešifriranim nadomestnim. V skladu s 4. načelom bo ta uporaba DoH uveljavljena, tako da strežnik, ki ga je Windows potrdil, da podpira DoH, ne bo dostopen prek klasičnega DNS. Če ta nastavitev zasebnosti pred funkcionalnostjo povzroči motnje v običajnih spletnih scenarijih, bomo izvedeli zgodaj.

V prihodnosti bo Windows 10 vključeval možnost izrecne konfiguracije strežnikov DoH.

Vir