微軟宣佈將在未來的 Windows 10 版本中增加對 DoH(DNS over HTTPS)協議的支持,同時還將保留對 DoT(DNS over TLS)的支持。 DoH 旨在允許通過加密的 HTTPS 連接進行 DNS 解析,而 DoT 通過傳輸層安全性協議(TLS)而不是使用純文本 DNS 查找來加密和封裝 DNS 查詢。
相比傳統 DNS,與雲端服務供應商合作通過 HTTPS 發出 DNS 請求,在無緩存的 DNS 查詢上性能影響很小,大多數的查詢只慢了約 6 毫秒,但從權衡安全性和保護隱私數據的角度出發,Mozilla 認為這是可以被接受的成本。而且在某些情況下,甚至能比傳統 DNS 還快幾百毫秒。
通過將 DoH 添加到 Windows 10 核心網絡(Windows Core Networking)中,微軟希望通過加密客戶進行的所有 DNS 查詢並刪除通常在不安全的網絡流量中出現的純文本域名,來提高其客戶在互聯網上的安全性和隱私性。
微軟表示:“很多人都認為 DNS 加密需要 DNS 集中化,但只有在加密 DNS 採用不普遍的情況下這才是正確的。要保持 DNS 的分散性,對於客戶端操作系統(例如 Windows)和互聯網服務提供商一樣,廣泛採用加密的 DNS 至關重要。”
同時微軟介紹了用於確定 Windows 10 中內置的 DNS 加密協議及其配置方式的原則:
- 默認情況下,Windows DNS 必須具有儘可能高的私有性和功能性,而無需用戶或管理員配置,因為 Windows DNS 流量代表用戶瀏覽歷史記錄的快照。對於 Windows 用戶來說,這意味著 Windows 可以使他們的體驗儘可能地私密化;對於微軟方面,這意味著其將設法在不更改用戶和系統管理員設置的已配置 DNS 解析器的情況下加密 Windows DNS 流量。
- 注重隱私的 Windows 用戶和管理員即使不知道 DNS 是什麼也需要引導他們進行 DNS 設置。許多用戶有興趣控制自己的隱私,並尋找以隱私為中心的設置,例如應用程序對攝像頭和位置的權限,但可能沒注意到或不知道 DNS 設置,或者可能並不理解其重要性。
- Windows 用戶和管理員需要能夠通過儘可能少的簡單操作來改進其 DNS 配置。必須確保不需要 Windows 用戶需要專業知識或工作,就可以從加密的 DNS 中受益。企業策略和 UI 操作都應該只需要執行一次,而不需要維護。
- 在配置後 Windows 用戶和管理員需要明確允許來自加密 DNS 的回退。將 Windows 配置為使用加密的 DNS 後,如果 Windows 用戶或管理員未收到其它說明,則應假定禁止回退到未加密的 DNS。
詳情查看原博客:
https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229
閱讀更多 IT運維社區 的文章
