微軟宣布將在未來的windows 10版本中增加對基于隱私的DNS的https(DoH)協議的支持,同時還將保留基于TLS的DNS(DoT)的支持。
DoH旨在允許通過加密的HTTPS連接進行DNS解析,而DoT則通過傳輸層安全性(TLS)協議而不是使用純文本DNS查找來加密和包裝DNS查詢。
通過將DoH添加到windows 10核心網絡中,microsoft希望通過對客戶進行的所有DNS查詢進行加密,從而刪除通常在不安全的網絡流量中出現的純文本域名,來提高客戶在Internet上的安全性和隱私性。
微軟表示:“很多人都認為DNS加密需要DNS集中化。只有在采用加密的DNS不普遍的情況下,這才是正確的。
“要保持DNS的分散性,對于客戶端操作系統(例如Windows)和Internet服務提供商一樣,廣泛采用加密的DNS至關重要。”
?
Microsoft DoH采用原則
redmond目前正在優先考慮在windows 10中采用DoH,因為它認為該選擇將“為每個人提供即時價值”,同時也使該公司可以利用現有的HTTPS基礎結構來加快DNS加密部署的速度。
微軟補充說:作為一個平臺,Windows Core Networking尋求使用戶能夠使用他們所需的任何協議,因此我們對將來擁有其他選擇(如TLS上的DNS(DoT))持開放態度。
該公司還重點介紹了以下用于確定windows 10中內置的DNS加密協議及其配置方式的原則:
?? 默認情況下,Windows DNS必須具有盡可能高的私有性和功能,而無需用戶或管理員配置,因為Windows DNS流量代表用戶瀏覽歷史記錄的快照。對于Windows用戶,這意味著Windows可以使他們的體驗盡可能地私密化。對于Microsoft,這意味著我們將尋找機會在不更改用戶和系統管理員設置的已配置DNS解析器的情況下加密Windows DNS流量。
?? 注重隱私的Windows用戶和管理員即使不知道什么DNS,也需要進行DNS設置指導。許多用戶有興趣控制自己的隱私,并尋找以隱私為中心的設置,例如應用程序對攝像頭和位置的權限,但可能不知道或不知道DNS設置,或者可能理解其重要性,因此可能不會在設備設置中尋找它們。
?? Windows用戶和管理員需要能夠通過盡可能少的簡單操作來改善其DNS配置。我們必須確保我們不需要Windows用戶方面的專業知識或工作,就可以從加密的DNS中受益。企業策略和ui操作都應該只需要執行一次,而不需要維護。
?? Windows用戶和管理員需要在配置后明確允許來自加密DNS的回退。將Windows配置為使用加密的DNS后,如果Windows用戶或管理員未收到其他說明,則應假定禁止回退到未加密的DNS。
?
第一個里程碑
作為在windows 10中實現DoH的第一步的一部分,如果用戶使用的DNS解析器支持通過HTTPS加密,則Microsoft將自動為用戶加密DNS查詢。
但是,雷德蒙德還表示,它將不會更改任何windows 10設備上的DNS服務器,而將其留給用戶和設備或企業管理員來選擇他們要用來解決其DNS查詢的DNS服務器。
微軟表示:“許多人使用ISP或公共DNS內容過濾來做諸如阻止令人反感的網站之類的事情。”微軟在列舉他們選擇的實現windows 10 DoH支持途徑的好處時說。
悄然更改可信任的Windows服務器DNS服務器可能會無意間繞過這些控件并令我們的用戶感到沮喪。我們相信設備管理員有權控制DNS流量的流向。
?
他們列出了用戶和管理員在達到最初的DoH支持里程碑后將獲得的以下優勢:
?? 我們不會對用戶或網絡配置為使用Windows的DNS服務器進行任何更改。 如今,用戶和管理員通過選擇他們加入的網絡或直接指定服務器來決定要使用的DNS服務器。 這個里程碑不會改變任何事情。
?? 許多需要隱私的用戶和應用程序將開始獲得好處,而不必了解DNS。 與原則1一致,DNS查詢變得更加私密,應用程序或用戶均未采取任何行動。 如果兩個端點都支持加密,則沒有理由等待使用加密的權限!
?? 我們開始看到在偏向于解決方案失敗而不是未加密的回退方面實施挑戰。 按照原則4,將強制使用這種DoH,這樣就不會通過經典DNS來查詢Windows確認支持DoH的服務器。 如果這種偏重于功能的隱私保護在常見的網絡情況下造成任何破壞,我們會盡早發現。
作為未來里程碑的一部分,windows 10用戶和管理員也將能夠使用Windows DNS設置內的專用界面來顯式設置DoH服務器。
微軟總結道:為什么要在Windows Insiders可以使用DoH之前就宣布我們的意圖?隨著加密DNS的引起越來越多的關注,我們認為重要的是盡早明確我們的意圖。
我們不希望客戶懷疑他們的受信任平臺是否會采用現代隱私標準。
