微软宣布将在未来的Windows 10版本中增加对基于隐私的DNS的HTTPS(DoH)协议的支持,同时还将保留基于TLS的DNS(DoT)的支持。
DoH旨在允许通过加密的HTTPS连接进行DNS解析,而DoT则通过传输层安全性(TLS)协议而不是使用纯文本DNS查找来加密和包装DNS查询。
通过将DoH添加到Windows 10核心网络中,Microsoft希望通过加密客户进行的所有DNS查询并删除通常在不安全的网络流量中出现的纯文本域名,来提高其客户在Internet上的安全性和隐私性。
微软表示:“很多人都认为DNS加密需要DNS集中化。只有在加密DNS采用不普遍的情况下,这才是正确的。
“要保持DNS的分散性,对于客户端操作系统(例如Windows)和Internet服务提供商一样,广泛采用加密的DNS至关重要。”
Microsoft DoH采用原则
Redmond目前正在优先考虑在Windows 10中采用DoH,因为它认为该选择将“为每个人提供即时价值”,同时也使该公司可以利用现有的HTTPS基础结构来加快DNS加密部署的速度。 。
微软补充说:“作为一个平台,Windows Core Networking寻求使用户能够使用他们需要的任何协议,因此我们对将来拥有其他选择(如基于TLS的DNS(DoT)的开放性)持开放态度。”
该公司还重点介绍了以下用于确定Windows 10中内置的DNS加密协议及其配置方式的原则:
• 默认情况下,Windows DNS必须具有尽可能高的私有性和功能,而无需用户或管理员配置,因为Windows DNS流量代表用户浏览历史记录的快照。对于Windows用户,这意味着Windows可以使他们的体验尽可能地私密化。对于Microsoft,这意味着我们将寻找机会在不更改用户和系统管理员设置的已配置DNS解析器的情况下加密Windows DNS流量。
• 注重隐私的Windows用户和管理员即使不知道什么DNS,也需要进行DNS设置指导。许多用户有兴趣控制自己的隐私,并寻找以隐私为中心的设置,例如应用程序对摄像头和位置的权限,但可能不知道或不知道DNS设置,或者可能理解其重要性,因此可能不会在设备设置中寻找它们。
• Windows用户和管理员需要能够通过尽可能少的简单操作来改善其DNS配置。我们必须确保我们不需要Windows用户方面的专业知识或工作,就可以从加密的DNS中受益。企业策略和UI操作都应该只需要执行一次,而不需要维护。
• Windows用户和管理员需要在配置后明确允许来自加密DNS的回退。 将Windows配置为使用加密的DNS后,如果Windows用户或管理员未收到其他说明,则应假定禁止回退到未加密的DNS。
第一个里程碑
作为在Windows 10中实现DoH的第一步的一部分,如果用户使用的DNS解析器支持通过HTTPS加密,则Microsoft将自动为用户加密DNS查询。
但是,雷德蒙德还表示,它将不会更改任何Windows 10设备上的DNS服务器,而将其留给用户和设备或企业管理员来选择他们要用来解决其DNS查询的DNS服务器。
微软表示: “许多人使用ISP或公共DNS内容过滤来进行诸如阻止令人反感的网站之类的工作。”微软在列出他们选择的实现Windows 10 DoH支持的途径背后的好处时说。
“悄然更改可信任的Windows服务器DNS服务器可能会无意间绕过这些控件并令我们的用户感到沮丧。我们相信设备管理员有权控制DNS流量的流向。”
他们列出了用户和管理员在达到最初的DoH支持里程碑后将获得的以下优势:
• 我们不会对用户或网络配置为使用Windows的DNS服务器进行任何更改。如今,用户和管理员通过选择他们加入的网络或直接指定服务器来决定要使用的DNS服务器。这个里程碑不会改变任何事情。
• 许多需要隐私的用户和应用程序将开始获得好处,而不必了解DNS。与原则1一致,DNS查询变得更加私密,应用程序或用户均未采取任何行动。当两个端点都支持加密时,没有理由等待使用加密的权限!
• 我们可以开始看到在优先选择解决方案失败而不是未加密的回退方面实施挑战。按照原则4,将强制使用这种DoH,这样就不会通过经典DNS来查询Windows确认支持DoH的服务器。如果这种偏重于功能的隐私性在常见的Web场景中造成任何破坏,我们将尽早发现。
作为未来里程碑的一部分,Windows 10用户和管理员也将能够使用Windows DNS设置内的专用界面来显式设置DoH服务器。
微软总结道:“为什么要在Windows Insiders可以使用DoH之前就宣布我们的意图?随着加密DNS越来越受到关注,我们认为重要的是尽早阐明我们的意图。”
“我们不希望客户怀疑他们的可信赖平台是否会采用现代隐私标准。”