Microsoft реализует DoH в будущих выпусках Windows 10

    image

    Microsoft внедрит в будущие версии Windows 10 протокол «DNS поверх HTTPS» (DNS over HTTPS, DoH). Кроме того, станет доступен протокол «DNS поверх TLS» (DNS over TLS, DoT).

    Таким образом компания хочет усилить защиту приватности пользователей путем шифрования всех их DNS-запросов.

    DoH и DoT
    Первый позволяет выполнять разрешение DNS поверх зашифрованного HTTPS-соединения. Второй шифрует и «упаковывает» DNS-запросы через протокол Transport Layer Security (TLS).

    «Мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS», — заявили в Microsoft.

    Сначала DNS-запросы будут автоматически шифроваться в случае, если используемые DNS-резолверы будут поддерживать шифрование поверх HTTPS. При этом Microsoft не будет менять серверы DNS на устройствах под управлением Windows 10. То есть пользователям и системным администраторам придется самим выбирать сервер для разрешения DNS-запросов.

    Затем планируется дать пользователям и сисадминам возможность настраивать серверы DoH с помощью специального интерфейса в настройках DNS в Windows 10.

    Microsoft объявила четыре принципа, на которых будет базироваться нововведение: Windows DNS должна быть настолько частной и функциональной, насколько это возможно по умолчанию; пользователи и администраторы должны руководствоваться настройками DNS, даже если они еще не знают, что такое DNS; они должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий; должны иметь возможность отказа от зашифрованного DNS после его настройки.

    Ранее Mozilla, Google, Opera, а также несколько публичных DNS-провайдеров публично объявили о поддержке стандарта. Microsoft планирует последовать примеру Google, по крайней мере на начальном этапе. Некоторое время назад гигант объявил, что развернет DNS через HTTPS в Chrome, но только в тех системах, которые используют службу DNS, поддерживающую DNS через HTTPS. Таким образом, Google не будет менять DNS-провайдера системы. Mozilla и Opera же решили выбрать поставщика, по крайней мере на начальном этапе, а это означает, что локальный поставщик DNS может быть переопределен в браузере.

    Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет открытые DNS-запросы, по которым злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.
    См. также: «DNS по HTTPS – половинчатое и неверное решение»

    Последнее обновление Windows 10 November 2019 Update стало доступно пользователям в США с 12 ноября, а с 13 ноября — для пользователи в мире. Это относительно небольшое обновление, направленное на повышение производительности и улучшение качества компонентов ОС. Добавились новая панель поиска в «Проводнике» с возможностью поиска файлов в OneDrive, поддержка работы сторонних голосовых помощников на экране блокировки, возможность создания новых событий в календаре прямо с панели задач из всплывающего окна «Часы и календарь», а также новые параметры для управления уведомлениями.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 14

      0

      Значит ли это, что в будущей версии Windows получится зайти на rutracker.org из любого браузера, без VPN и прочих прослоек и не быть перенаправленным на плашку "Доступ ограничен"?

        +4
        Насколько помню в одной из тем про DoH объясняли, что это работает только против одного вида блокировок, который преимущественно распространен в Великобритании, но редко используется у нас.
          +2
          Нет, не значит, если сайт по айпишке забанен.

          Можно не ждать пока добавят, да и ведь все равно сделают так что ОСи будет известно все. Спасибо уж. Качать тут www.dnscrypt.org — Мак, Винда, Линукс (dnscrypit + doh + dot клиент на всю систему).
            0
            Скорее, наоборот, не получится.
            Потому что сейчас многие DPI смотрят на поле ESNI, и если домен в списке блокировок, то коннекты к нему блокируют, зато пропускают ко всем остальным ресурсам на том же IP.
            А при DoH домен не узнать никак, поэтому будут резать тупо по IP, и блокировать всё, что висит на том же фронте/балансировщике.
              0
              Вы, наверное, хотели сказать «SNI»? Так как ESNI расшифровывается как Encrypted SNI, призванный решить проблему видимости домена, за счет его шифрования (но все пока в драфте)

                0
                Да, все верно, описался, просто SNI.
                0

                Зато обходить блокировки сайтов станет проще, а блокировать их сложнее. :-)

                0
                Нет, сколько не шифруй DNS запросы, хост все равно обращается к сайту напрямую по IP.
                  0
                  …если сайт не за CDN.
                    0
                    РКН может и CDNы блочить, и вроде как уже блокировал, из за чего страдали нормальные сервисы, типа PSN.
                      0
                      И за это, вроде как, РКН огрёб и перестал творить дичь.
                0
                дохлый DOH, ничем не помогает((
                  0
                  Если они такое сделают в своем новом Edge- получат огромный пиар для своего браузера…
                    +3
                    «Мы должны относиться к конфиденциальности как к праву человека».
                    Следуя этому утверждению, производитель сливающей конфиденциальные данные Win10 открыто заявляет, что на права человека им плевать. Хотя все уже поняли это.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое