Microsoft внедрила поддержку DNS over HTTPS (DoH) для Windows DNS Server. По сути, она обеспечивает зашифрованный DNS для сетей вместо передачи трафика в открытом виде. 

Выход DoH в общедоступную версию позволяет организациям развёртывать решение в производственных средах без внедрения новой архитектуры «клиент-резолвер». DoH помогает повысить общую безопасность сети и снижает риск подмены DNS благодаря своей архитектуре с нулевым доверием. Это существенное изменение, поскольку практически каждое взаимодействие с сетью требует взаимодействия с DNS.

DoH предлагает ряд преимуществ по сравнению со стандартным DNS-трафиком, таких как шифрование с использованием HTTPS, предотвращение несанкционированного доступа, атак типа «человек посередине» и анализ трафика. Поскольку он использует сертификаты TLS, позволяющие клиентам проверять подлинность DNS-сервера, это предотвращает подмену DNS с помощью этого механизма аутентификации. Кроме того, механизм построен на стандарте DoH, определённом Рабочей группой по проектированию интернета (IETF), что означает, что он должен работать с современными клиентами, соответствующими стандарту RFC 8484. Наконец, он легко интегрируется в существующую сетевую архитектуру и даже может работать параллельно со стандартным DNS.

Microsoft заявляет, что за последние несколько месяцев предварительного тестирования DoH стал более стабильным, и клиенты могут развёртывать его в производственных средах при наличии соответствующих рекомендаций.

Клиенты Windows уже поддерживают DoH, но последняя версия для Windows Server обеспечивает зашифрованный DNS для всех конечных точек. Компания также отметила, что «хотя этот релиз сосредоточен на шифровании связи между клиентом и резолвером, поддержка зашифрованной связи между Windows DNS Server и вышестоящими DNS-резолверами планируется в будущем обновлении». 

Для установки потребуется Windows Server 2025 с последними обновлениями Patch Tuesday.

Ранее Microsoft открыла путь обновления Windows для Windows Server 2025, позволяющий выполнять апдейты на месте. До этого обновление обычно требовало либо чистой установки, либо использования ISO-образов и других внешних инструментов. Новый подход позволяет обновиться напрямую через стандартный механизм Windows Update.