.jpg)
微軟宣布將在未來(lái)的windows 10版本中增加對(duì)基于隱私的DNS的https(DoH)協(xié)議的支持,同時(shí)還將保留基于TLS的DNS(DoT)的支持。
DoH旨在允許通過(guò)加密的HTTPS連接進(jìn)行DNS解析,而DoT則通過(guò)傳輸層安全性(TLS)協(xié)議而不是使用純文本DNS查找來(lái)加密和包裝DNS查詢。
通過(guò)將DoH添加到windows 10核心網(wǎng)絡(luò)中,microsoft希望通過(guò)對(duì)客戶進(jìn)行的所有DNS查詢進(jìn)行加密,從而刪除通常在不安全的網(wǎng)絡(luò)流量中出現(xiàn)的純文本域名,來(lái)提高客戶在Internet上的安全性和隱私性。
微軟表示:“很多人都認(rèn)為DNS加密需要DNS集中化。只有在采用加密的DNS不普遍的情況下,這才是正確的。
“要保持DNS的分散性,對(duì)于客戶端操作系統(tǒng)(例如Windows)和Internet服務(wù)提供商一樣,廣泛采用加密的DNS至關(guān)重要。”
?
Microsoft DoH采用原則
redmond目前正在優(yōu)先考慮在windows 10中采用DoH,因?yàn)樗J(rèn)為該選擇將“為每個(gè)人提供即時(shí)價(jià)值”,同時(shí)也使該公司可以利用現(xiàn)有的HTTPS基礎(chǔ)結(jié)構(gòu)來(lái)加快DNS加密部署的速度。
微軟補(bǔ)充說(shuō):作為一個(gè)平臺(tái),Windows Core Networking尋求使用戶能夠使用他們所需的任何協(xié)議,因此我們對(duì)將來(lái)?yè)碛衅渌x擇(如TLS上的DNS(DoT))持開(kāi)放態(tài)度。
該公司還重點(diǎn)介紹了以下用于確定windows 10中內(nèi)置的DNS加密協(xié)議及其配置方式的原則:
?? 默認(rèn)情況下,Windows DNS必須具有盡可能高的私有性和功能,而無(wú)需用戶或管理員配置,因?yàn)閃indows DNS流量代表用戶瀏覽歷史記錄的快照。對(duì)于Windows用戶,這意味著Windows可以使他們的體驗(yàn)盡可能地私密化。對(duì)于Microsoft,這意味著我們將尋找機(jī)會(huì)在不更改用戶和系統(tǒng)管理員設(shè)置的已配置DNS解析器的情況下加密Windows DNS流量。
?? 注重隱私的Windows用戶和管理員即使不知道什么DNS,也需要進(jìn)行DNS設(shè)置指導(dǎo)。許多用戶有興趣控制自己的隱私,并尋找以隱私為中心的設(shè)置,例如應(yīng)用程序?qū)z像頭和位置的權(quán)限,但可能不知道或不知道DNS設(shè)置,或者可能理解其重要性,因此可能不會(huì)在設(shè)備設(shè)置中尋找它們。
?? Windows用戶和管理員需要能夠通過(guò)盡可能少的簡(jiǎn)單操作來(lái)改善其DNS配置。我們必須確保我們不需要Windows用戶方面的專(zhuān)業(yè)知識(shí)或工作,就可以從加密的DNS中受益。企業(yè)策略和ui操作都應(yīng)該只需要執(zhí)行一次,而不需要維護(hù)。
?? Windows用戶和管理員需要在配置后明確允許來(lái)自加密DNS的回退。將Windows配置為使用加密的DNS后,如果Windows用戶或管理員未收到其他說(shuō)明,則應(yīng)假定禁止回退到未加密的DNS。
?
第一個(gè)里程碑
作為在windows 10中實(shí)現(xiàn)DoH的第一步的一部分,如果用戶使用的DNS解析器支持通過(guò)HTTPS加密,則Microsoft將自動(dòng)為用戶加密DNS查詢。
但是,雷德蒙德還表示,它將不會(huì)更改任何windows 10設(shè)備上的DNS服務(wù)器,而將其留給用戶和設(shè)備或企業(yè)管理員來(lái)選擇他們要用來(lái)解決其DNS查詢的DNS服務(wù)器。
微軟表示:“許多人使用ISP或公共DNS內(nèi)容過(guò)濾來(lái)做諸如阻止令人反感的網(wǎng)站之類(lèi)的事情。”微軟在列舉他們選擇的實(shí)現(xiàn)windows 10 DoH支持途徑的好處時(shí)說(shuō)。
悄然更改可信任的Windows服務(wù)器DNS服務(wù)器可能會(huì)無(wú)意間繞過(guò)這些控件并令我們的用戶感到沮喪。我們相信設(shè)備管理員有權(quán)控制DNS流量的流向。
?
他們列出了用戶和管理員在達(dá)到最初的DoH支持里程碑后將獲得的以下優(yōu)勢(shì):
?? 我們不會(huì)對(duì)用戶或網(wǎng)絡(luò)配置為使用Windows的DNS服務(wù)器進(jìn)行任何更改。 如今,用戶和管理員通過(guò)選擇他們加入的網(wǎng)絡(luò)或直接指定服務(wù)器來(lái)決定要使用的DNS服務(wù)器。 這個(gè)里程碑不會(huì)改變?nèi)魏问虑椤?/p>
?? 許多需要隱私的用戶和應(yīng)用程序?qū)㈤_(kāi)始獲得好處,而不必了解DNS。 與原則1一致,DNS查詢變得更加私密,應(yīng)用程序或用戶均未采取任何行動(dòng)。 如果兩個(gè)端點(diǎn)都支持加密,則沒(méi)有理由等待使用加密的權(quán)限!
?? 我們開(kāi)始看到在偏向于解決方案失敗而不是未加密的回退方面實(shí)施挑戰(zhàn)。 按照原則4,將強(qiáng)制使用這種DoH,這樣就不會(huì)通過(guò)經(jīng)典DNS來(lái)查詢Windows確認(rèn)支持DoH的服務(wù)器。 如果這種偏重于功能的隱私保護(hù)在常見(jiàn)的網(wǎng)絡(luò)情況下造成任何破壞,我們會(huì)盡早發(fā)現(xiàn)。
作為未來(lái)里程碑的一部分,windows 10用戶和管理員也將能夠使用Windows DNS設(shè)置內(nèi)的專(zhuān)用界面來(lái)顯式設(shè)置DoH服務(wù)器。
微軟總結(jié)道:為什么要在Windows Insiders可以使用DoH之前就宣布我們的意圖?隨著加密DNS的引起越來(lái)越多的關(guān)注,我們認(rèn)為重要的是盡早明確我們的意圖。
我們不希望客戶懷疑他們的受信任平臺(tái)是否會(huì)采用現(xiàn)代隱私標(biāo)準(zhǔn)。
.png)
