Windows 10 จะรองรับ DNS ผ่าน HTTPS โดยกำเนิด

DNS-over-HTTPS เป็นโปรโตคอลเว็บที่ค่อนข้างใหม่ ใช้งานเมื่อประมาณสองปีที่แล้ว มีวัตถุประสงค์เพื่อเพิ่มความเป็นส่วนตัวและความปลอดภัยของผู้ใช้โดยป้องกันการดักฟังและการจัดการข้อมูล DNS โดย การโจมตีแบบคนกลางโดยใช้โปรโตคอล HTTPS เพื่อเข้ารหัสข้อมูลระหว่างไคลเอนต์ DoH และ DNS ที่ใช้ DoH ตัวแก้ไข

ทีม Windows Core Networking กำลังยุ่งอยู่กับการเพิ่มการรองรับ DoH ให้กับระบบปฏิบัติการ ต่อไปนี้คือแนวทางปฏิบัติในการตัดสินใจว่าการเข้ารหัส DNS แบบใดที่ Windows จะสนับสนุนและจะกำหนดค่าอย่างไร

• Windows DNS ต้องเป็นส่วนตัวและทำงานได้มากที่สุดโดยค่าเริ่มต้นโดยไม่จำเป็นต้องใช้ผู้ใช้ หรือการกำหนดค่าของผู้ดูแลระบบเนื่องจากการรับส่งข้อมูล Windows DNS แสดงถึงภาพรวมของการเรียกดูของผู้ใช้ ประวัติศาสตร์. สำหรับผู้ใช้ Windows นี่หมายความว่าประสบการณ์ของพวกเขาจะถูกทำให้เป็นส่วนตัวมากที่สุดโดย Windows ออกจากกล่อง สำหรับ Microsoft นี่หมายความว่าเราจะมองหาโอกาสในการเข้ารหัสการรับส่งข้อมูล Windows DNS โดยไม่ต้องเปลี่ยนตัวแก้ไข DNS ที่กำหนดค่าไว้ซึ่งกำหนดโดยผู้ใช้และผู้ดูแลระบบ
• ผู้ใช้และผู้ดูแลระบบ Windows ที่คำนึงถึงความเป็นส่วนตัวจำเป็นต้องได้รับคำแนะนำเกี่ยวกับการตั้งค่า DNS แม้ว่าพวกเขาจะไม่รู้ว่า DNS คืออะไรก็ตาม ผู้ใช้หลายคนสนใจที่จะควบคุมความเป็นส่วนตัวและมองหาการตั้งค่าที่เน้นความเป็นส่วนตัวเป็นหลัก เช่น การอนุญาตแอปสำหรับกล้องและ ตำแหน่งแต่อาจไม่ทราบหรือไม่ทราบเกี่ยวกับการตั้งค่า DNS หรือเข้าใจว่าเหตุใดจึงสำคัญและอาจไม่ได้ค้นหาในอุปกรณ์ การตั้งค่า.
• ผู้ใช้ Windows และผู้ดูแลระบบต้องสามารถปรับปรุงการกำหนดค่า DNS ของตนได้ด้วยการดำเนินการง่ายๆ เพียงไม่กี่ขั้นตอน เราต้องแน่ใจว่าเราไม่ต้องการความรู้เฉพาะหรือความพยายามในส่วนของผู้ใช้ Windows เพื่อรับประโยชน์จาก DNS ที่เข้ารหัส นโยบายองค์กรและการดำเนินการ UI ควรเป็นสิ่งที่คุณต้องทำเพียงครั้งเดียวแทนที่จะต้องบำรุงรักษา
• ผู้ใช้และผู้ดูแลระบบ Windows จำเป็นต้องอนุญาตการย้อนกลับจาก DNS ที่เข้ารหัสอย่างชัดเจนเมื่อกำหนดค่าแล้ว เมื่อ Windows ได้รับการกำหนดค่าให้ใช้ DNS ที่เข้ารหัสแล้ว หากไม่ได้รับคำแนะนำอื่นใดจากผู้ใช้หรือผู้ดูแลระบบ Windows ก็ถือว่าไม่อนุญาตการย้อนกลับไปยัง DNS ที่ไม่ได้เข้ารหัส

ตามหลักการเหล่านี้ ทีมงานกำลังวางแผนที่จะนำมาใช้ DNS ผ่าน HTTPS (หรือ DoH) ในไคลเอนต์ Windows DNS ในฐานะที่เป็นแพลตฟอร์ม Windows Core Networking พยายามให้ผู้ใช้สามารถใช้โปรโตคอลใดก็ได้ที่ต้องการ ดังนั้นเราจึงเปิดให้มีตัวเลือกอื่นๆ เช่น DNS บน TLS (DoT) ในอนาคต ณ ตอนนี้ พวกเขากำลังดำเนินการสนับสนุน DoH เพราะจะทำให้สามารถใช้โครงสร้างพื้นฐาน HTTPS ที่มีอยู่ซ้ำได้

สำหรับขั้นแรก พวกเขาจะใช้งาน DoH สำหรับเซิร์ฟเวอร์ DNS ที่ Windows ได้รับการกำหนดค่าให้ใช้แล้ว ขณะนี้มีเซิร์ฟเวอร์ DNS สาธารณะหลายแห่งที่รองรับ DoH และหากผู้ใช้ Windows หรือผู้ดูแลอุปกรณ์กำหนดค่าเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งในวันนี้ Windows จะใช้ DNS แบบคลาสสิก (ไม่มีการเข้ารหัส) กับเซิร์ฟเวอร์นั้น อย่างไรก็ตาม เนื่องจากเซิร์ฟเวอร์เหล่านี้และการกำหนดค่า DoH เป็นที่รู้จักกันดี Windows สามารถอัพเกรดเป็น DoH ได้โดยอัตโนมัติในขณะที่ใช้เซิร์ฟเวอร์เดียวกัน ทีมอ้างสิทธิ์ประโยชน์ต่อไปนี้จากการเปลี่ยนแปลงนี้:

• เราจะไม่ทำการเปลี่ยนแปลงใด ๆ กับเซิร์ฟเวอร์ DNS Windows ที่ได้รับการกำหนดค่าให้ใช้โดยผู้ใช้หรือเครือข่าย วันนี้ ผู้ใช้และผู้ดูแลระบบตัดสินใจว่าจะใช้เซิร์ฟเวอร์ DNS ใดโดยเลือกเครือข่ายที่เข้าร่วมหรือระบุเซิร์ฟเวอร์โดยตรง เหตุการณ์สำคัญนี้จะไม่เปลี่ยนแปลงอะไรเกี่ยวกับเรื่องนี้ หลายคนใช้ ISP หรือการกรองเนื้อหา DNS สาธารณะเพื่อทำสิ่งต่างๆ เช่น บล็อกเว็บไซต์ที่ไม่เหมาะสม การเปลี่ยนเซิร์ฟเวอร์ DNS ที่ไว้ใจได้ให้แก้ปัญหา Windows อย่างเงียบๆ อาจเลี่ยงการควบคุมเหล่านี้และทำให้ผู้ใช้ของเราหงุดหงิดใจ เราเชื่อว่าผู้ดูแลระบบอุปกรณ์มีสิทธิ์ในการควบคุมว่าการรับส่งข้อมูล DNS ของตนไปที่ใด
• ผู้ใช้และแอปพลิเคชันจำนวนมากที่ต้องการความเป็นส่วนตัวจะเริ่มได้รับประโยชน์โดยไม่ต้องรู้เกี่ยวกับ DNS ตามหลักการที่ 1 การสืบค้น DNS จะมีความเป็นส่วนตัวมากขึ้นโดยไม่ต้องดำเนินการใดๆ จากแอปหรือผู้ใช้ เมื่ออุปกรณ์ปลายทางทั้งสองรองรับการเข้ารหัส ไม่มีเหตุผลที่จะต้องรอการอนุญาตเพื่อใช้การเข้ารหัส!
• เราสามารถเริ่มเห็นความท้าทายในการบังคับใช้ทางเลือกที่ล้มเหลวในการแก้ปัญหาแทนทางเลือกสำรองที่ไม่ได้เข้ารหัส ตามหลักการที่ 4 การใช้ DoH นี้จะถูกบังคับใช้เพื่อไม่ให้เซิร์ฟเวอร์ที่ยืนยันโดย Windows ให้การสนับสนุน DoH ผ่าน DNS แบบคลาสสิก หากการตั้งค่าความเป็นส่วนตัวมากกว่าฟังก์ชันทำให้เกิดการหยุดชะงักในสถานการณ์ทั่วไปของเว็บ เราจะทราบก่อน

ในอนาคต Windows 10 จะรวมความสามารถในการกำหนดค่าเซิร์ฟเวอร์ DoH อย่างชัดเจน

แหล่งที่มา