Windows Tips & News

Windows 10 ізначально підтримуватиме DNS через HTTPS

click fraud protection

DNS-over-HTTPS — це відносно молодий веб-протокол, реалізований близько двох років тому. Він призначений для підвищення конфіденційності та безпеки користувачів шляхом запобігання підслуховування та маніпуляції з даними DNS за допомогою атаки «посередині» за допомогою протоколу HTTPS для шифрування даних між клієнтом DoH і DNS на основі DoH резольвер.

Команда Windows Core Networking зайнята додаванням підтримки DoH в ОС. Ось їхні керівні принципи щодо прийняття рішень, який тип шифрування DNS підтримуватиме Windows і як воно буде налаштовано.

  • DNS Windows має бути максимально приватним і функціональним за замовчуванням без потреби користувача або конфігурації адміністратора, оскільки трафік DNS Windows являє собою знімок перегляду користувача історії. Для користувачів Windows це означає, що їхній досвід буде максимально приватним завдяки Windows із коробки. Для Microsoft це означає, що ми будемо шукати можливості для шифрування трафіку DNS Windows, не змінюючи налаштовані розпізнавачі DNS, встановлені користувачами та системними адміністраторами.
  • Користувачів і адміністраторів Windows, які піклуються про конфіденційність, потрібно вказувати на налаштування DNS, навіть якщо вони ще не знають, що таке DNS. Багато користувачів зацікавлені в тому, щоб контролювати свою конфіденційність і шукають параметри, орієнтовані на конфіденційність, такі як дозволи додатків до камери та розташування, але може не знати або не знати про налаштування DNS або розуміти, чому вони важливі, і не шукати їх на пристрої налаштування.
  • Користувачі та адміністратори Windows повинні мати можливість покращити конфігурацію DNS за допомогою якомога менше простих дій. Ми повинні переконатися, що нам не потрібні спеціальні знання чи зусилля з боку користувачів Windows, щоб отримати вигоду від зашифрованого DNS. Політики підприємства та дії з інтерфейсом користувача мають бути такими, що ви повинні робити лише один раз, а не підтримувати.
  • Користувачі та адміністратори Windows повинні явно дозволити вихід із зашифрованого DNS після налаштування. Після того, як Windows налаштовано на використання зашифрованого DNS, якщо вона не отримує інших інструкцій від користувачів або адміністраторів Windows, вона повинна вважати, що повернення до незашифрованого DNS заборонено.

Виходячи з цих принципів, команда планує запровадити DNS через HTTPS (або DoH) у клієнті Windows DNS. Як платформа Windows Core Networking прагне дозволити користувачам використовувати будь-які протоколи, які їм потрібні, тому ми відкриті до інших варіантів, таких як DNS через TLS (DoT) у майбутньому. На даний момент вони працюють над підтримкою DoH, оскільки це дозволить їм повторно використовувати наявну інфраструктуру HTTPS.

На першому етапі вони будуть використовувати DoH для DNS-серверів, які Windows вже налаштовано для використання. Зараз існує кілька загальнодоступних DNS-серверів, які підтримують DoH, і якщо користувач або адміністратор пристрою Windows налаштує один із них сьогодні, Windows просто використовуватиме класичний DNS (без шифрування) для цього сервера. Однак, оскільки ці сервери та їх конфігурації DoH добре відомі, Windows може автоматично оновлюватися до DoH, використовуючи той самий сервер. Команда заявляє про наступні переваги від цієї зміни:

  • Ми не будемо вносити жодних змін до того, який DNS-сервер Windows був налаштований для використання користувачем або мережею. Сьогодні користувачі та адміністратори вирішують, який DNS-сервер використовувати, вибираючи мережу, до якої вони приєднуються, або вказуючи сервер безпосередньо; ця віха нічого в цьому не змінить. Багато людей використовують фільтрацію вмісту ISP або загальнодоступного DNS, щоб робити такі речі, як блокування образливих веб-сайтів. Безшумна зміна DNS-серверів, яким довірено виконувати роздільну здатність Windows, може ненавмисно обійти ці елементи керування та розчарувати наших користувачів. Ми вважаємо, що адміністратори пристроїв мають право контролювати, куди спрямовується їхній DNS-трафік.
  • Багато користувачів і програм, які хочуть конфіденційності, почнуть отримувати переваги, не знаючи про DNS. Відповідно до принципу 1, запити DNS стають більш приватними без жодних дій з боку програм або користувачів. Якщо обидві кінцеві точки підтримують шифрування, немає причин чекати дозволу на використання шифрування!
  • Ми можемо помітити проблеми, пов’язані з дотриманням лінії, яка віддає перевагу помилковій розв’язці, а не незашифрованому резервному. Відповідно до принципу 4, це використання DoH буде забезпечено таким чином, щоб сервер, підтверджений Windows, що підтримує DoH, не звертався через класичний DNS. Якщо ця перевага конфіденційності над функціональністю спричинить будь-які порушення в звичайних веб-сценаріях, ми дізнаємося раніше.

У майбутньому Windows 10 включатиме можливість явного налаштування серверів DoH.

Джерело

Архів блокувальників реклами Google Chrome

Цей веб-сайт використовує файли cookie, щоб покращити ваш досвід під час навігації веб-сайтом. З ...

Читати далі

Windows 10 Build 17763.17 Вирішує проблему втрати даних

Microsoft повторно випускає оновлення Windows 10 October 2018 Update. Після розслідування компані...

Читати далі

Як вимкнути або ввімкнути блокувальник реклами Google Chrome

Як вимкнути або ввімкнути блокувальник реклами Google Chrome

Google Chrome має вбудований блокувальник реклами. Він здатний виявляти посилання, замасковані пі...

Читати далі