微軟宣布將在未來的Windows 10版本中增加對基于隱私的DNS的HTTPS(DoH)協(xié)議的支持,同時還將保留基于TLS的DNS(DoT)的支持����。
DoH旨在允許通過加密的HTTPS連接進(jìn)行DNS解析���,而DoT則通過傳輸層安全性(TLS)協(xié)議而不是使用純文本DNS查找來加密和包裝DNS查詢。
通過將DoH添加到Windows 10核心網(wǎng)絡(luò)中���,Microsoft希望通過加密客戶進(jìn)行的所有DNS查詢并刪除通常在不安全的網(wǎng)絡(luò)流量中出現(xiàn)的純文本域名����,來提高其客戶在Internet上的安全性和隱私性�。
微軟表示:“很多人都認(rèn)為DNS加密需要DNS集中化。只有在加密DNS采用不普遍的情況下���,這才是正確的��。
“要保持DNS的分散性,對于客戶端操作系統(tǒng)(例如Windows)和Internet服務(wù)提供商一樣��,廣泛采用加密的DNS至關(guān)重要�。”
Microsoft DoH采用原則
Redmond目前正在優(yōu)先考慮在Windows 10中采用DoH�,因為它認(rèn)為該選擇將“為每個人提供即時價值”,同時也使該公司可以利用現(xiàn)有的HTTPS基礎(chǔ)結(jié)構(gòu)來加快DNS加密部署的速度��。 。
微軟補(bǔ)充說:“作為一個平臺����,Windows Core Networking尋求使用戶能夠使用他們需要的任何協(xié)議,因此我們對將來擁有其他選擇(如基于TLS的DNS(DoT)的開放性)持開放態(tài)度�。”
該公司還重點介紹了以下用于確定Windows 10中內(nèi)置的DNS加密協(xié)議及其配置方式的原則:
• 默認(rèn)情況下��,Windows DNS必須具有盡可能高的私有性和功能���,而無需用戶或管理員配置���,因為Windows DNS流量代表用戶瀏覽歷史記錄的快照。對于Windows用戶����,這意味著Windows可以使他們的體驗盡可能地私密化。對于Microsoft�,這意味著我們將尋找機(jī)會在不更改用戶和系統(tǒng)管理員設(shè)置的已配置DNS解析器的情況下加密Windows DNS流量。
• 注重隱私的Windows用戶和管理員即使不知道什么DNS����,也需要進(jìn)行DNS設(shè)置指導(dǎo)。許多用戶有興趣控制自己的隱私,并尋找以隱私為中心的設(shè)置����,例如應(yīng)用程序?qū)z像頭和位置的權(quán)限,但可能不知道或不知道DNS設(shè)置����,或者可能理解其重要性,因此可能不會在設(shè)備設(shè)置中尋找它們��。
• Windows用戶和管理員需要能夠通過盡可能少的簡單操作來改善其DNS配置��。我們必須確保我們不需要Windows用戶方面的專業(yè)知識或工作�����,就可以從加密的DNS中受益����。企業(yè)策略和UI操作都應(yīng)該只需要執(zhí)行一次,而不需要維護(hù)�。
• Windows用戶和管理員需要在配置后明確允許來自加密DNS的回退��。 將Windows配置為使用加密的DNS后����,如果Windows用戶或管理員未收到其他說明��,則應(yīng)假定禁止回退到未加密的DNS�����。
第一個里程碑
作為在Windows 10中實現(xiàn)DoH的第一步的一部分�����,如果用戶使用的DNS解析器支持通過HTTPS加密�����,則Microsoft將自動為用戶加密DNS查詢��。
但是���,雷德蒙德還表示,它將不會更改任何Windows 10設(shè)備上的DNS服務(wù)器����,而將其留給用戶和設(shè)備或企業(yè)管理員來選擇他們要用來解決其DNS查詢的DNS服務(wù)器。
微軟表示: “許多人使用ISP或公共DNS內(nèi)容過濾來進(jìn)行諸如阻止令人反感的網(wǎng)站之類的工作�����。”微軟在列出他們選擇的實現(xiàn)Windows 10 DoH支持的途徑背后的好處時說��。
“悄然更改可信任的Windows服務(wù)器DNS服務(wù)器可能會無意間繞過這些控件并令我們的用戶感到沮喪�。我們相信設(shè)備管理員有權(quán)控制DNS流量的流向��!
他們列出了用戶和管理員在達(dá)到最初的DoH支持里程碑后將獲得的以下優(yōu)勢:
• 我們不會對用戶或網(wǎng)絡(luò)配置為使用Windows的DNS服務(wù)器進(jìn)行任何更改��。如今�,用戶和管理員通過選擇他們加入的網(wǎng)絡(luò)或直接指定服務(wù)器來決定要使用的DNS服務(wù)器。這個里程碑不會改變?nèi)魏问虑椤?
• 許多需要隱私的用戶和應(yīng)用程序?qū)㈤_始獲得好處����,而不必了解DNS。與原則1一致�����,DNS查詢變得更加私密�����,應(yīng)用程序或用戶均未采取任何行動�����。當(dāng)兩個端點都支持加密時��,沒有理由等待使用加密的權(quán)限�����!
• 我們可以開始看到在優(yōu)先選擇解決方案失敗而不是未加密的回退方面實施挑戰(zhàn)���。按照原則4�,將強(qiáng)制使用這種DoH�,這樣就不會通過經(jīng)典DNS來查詢Windows確認(rèn)支持DoH的服務(wù)器。如果這種偏重于功能的隱私性在常見的Web場景中造成任何破壞����,我們將盡早發(fā)現(xiàn)。
作為未來里程碑的一部分�����,Windows 10用戶和管理員也將能夠使用Windows DNS設(shè)置內(nèi)的專用界面來顯式設(shè)置DoH服務(wù)器�。
微軟總結(jié)道:“為什么要在Windows Insiders可以使用DoH之前就宣布我們的意圖?隨著加密DNS越來越受到關(guān)注�����,我們認(rèn)為重要的是盡早闡明我們的意圖�!
“我們不希望客戶懷疑他們的可信賴平臺是否會采用現(xiàn)代隱私標(biāo)準(zhǔn)���!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
