Windows 10 будет поддерживать DNS через HTTPS изначально

DNS-over-HTTPS — относительно молодой веб-протокол, реализованный около двух лет назад. Он предназначен для повышения конфиденциальности и безопасности пользователей за счет предотвращения подслушивания и манипулирования данными DNS с помощью атак типа «злоумышленник в середине» с использованием протокола HTTPS для шифрования данных между клиентом DoH и преобразователем DNS на основе DoH.

Баннер облачной сети

Команда Windows Core Networking занята добавлением поддержки DoH в ОС. Вот их руководящие принципы при принятии решений, какое DNS-шифрование будет поддерживать Windows и как оно будет настроено.

  • DNS Windows должен быть максимально частным и функциональным по умолчанию без необходимости настройки пользователя или администратора, потому что трафик Windows DNS представляет собой моментальный снимок истории просмотров пользователя. Для пользователей Windows это означает, что их взаимодействие с Windows будет максимально приватным. Для Microsoft это означает, что мы будем искать возможности для шифрования трафика Windows DNS без изменения настроенных преобразователей DNS, установленных пользователями и системными администраторами.
  • Пользователи и администраторы Windows, заботящиеся о конфиденциальности, должны быть ориентированы на настройки DNS, даже если они еще не знают, что такое DNS. Многие пользователи заинтересованы в управлении своей конфиденциальностью и ищут настройки, ориентированные на конфиденциальность, такие как разрешения приложений для камеры и местоположения, но могут не знать или не знать о настройках DNS или не понимать, почему они важны, и могут не искать их в настройках устройства. .
  • Пользователи и администраторы Windows должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий. Мы должны убедиться, что нам не требуются специальные знания или усилия со стороны пользователей Windows, чтобы воспользоваться преимуществами зашифрованного DNS. Как корпоративные политики, так и действия пользовательского интерфейса должны быть чем-то, что вам нужно сделать только один раз, а не поддерживать.
  • Пользователи и администраторы Windows должны явно разрешить откат от зашифрованного DNS после настройки. После того, как Windows была настроена на использование зашифрованного DNS, если она не получит других инструкций от пользователей или администраторов Windows, она должна предположить, что откат к незашифрованному DNS запрещен.

Основываясь на этих принципах, команда строит планы по внедрению DNS через HTTPS (или DoH) в DNS-клиенте Windows. В качестве платформы Windows Core Networking стремится дать пользователям возможность использовать любые протоколы, которые им нужны, поэтому мы открыты для использования других вариантов, таких как DNS через TLS (DoT) в будущем. На данный момент они работают над поддержкой DoH, потому что это позволит им повторно использовать существующую инфраструктуру HTTPS.

На первом этапе они собираются использовать DoH для DNS-серверов, которые Windows уже настроила для использования. Сейчас существует несколько общедоступных DNS-серверов, поддерживающих DoH, и если пользователь Windows или администратор устройства настроит один из них сегодня, Windows просто будет использовать классический DNS (без шифрования) для этого сервера. Однако, поскольку эти серверы и их конфигурации DoH хорошо известны, Windows может автоматически обновляться до DoH при использовании того же сервера. Команда заявляет о следующих преимуществах этого изменения:

  • Мы не будем вносить никаких изменений в DNS-сервер Windows, настроенный для использования пользователем или сетью. Сегодня пользователи и администраторы решают, какой DNS-сервер использовать, выбирая сеть, к которой они присоединяются, или напрямую указывая сервер; эта веха ничего в этом не изменит. Многие люди используют фильтрацию контента ISP или общедоступного DNS для таких вещей, как блокировка оскорбительных веб-сайтов. Незаметное изменение DNS-серверов, которым доверяют решения Windows, может непреднамеренно обойти эти элементы управления и расстроить наших пользователей. Мы считаем, что администраторы устройств имеют право контролировать, куда направляется их DNS-трафик.
  • Многие пользователи и приложения, которым нужна конфиденциальность, начнут получать преимущества, даже не зная о DNS. В соответствии с принципом 1 запросы DNS становятся более конфиденциальными без каких-либо действий со стороны приложений или пользователей. Когда обе конечные точки поддерживают шифрование, нет причин ждать разрешения на использование шифрования!
  • Мы можем начать видеть проблемы в применении линии о предпочтении отказа разрешения незашифрованного отката. В соответствии с принципом 4, это использование DoH будет принудительно, так что сервер, подтвержденный Windows для поддержки DoH, не будет консультироваться через классический DNS. Если такое предпочтение конфиденциальности вместо функциональности вызывает какие-либо нарушения в обычных веб-сценариях, мы узнаем об этом заранее.

В будущем Windows 10 будет включать возможность явной настройки серверов DoH.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован.