В инсайдерской сборке Windows 10 можно протестировать поддержку DNS-over-HTTPS

    image

    Microsoft объявила, что поддержка DNS-over-HTTPS (DoH) теперь доступна в Windows 10 Insider Preview Build 19628 в Fast Ring.

    Благодаря включению поддержки DoH в Windows Microsoft намерена повысить безопасность и конфиденциальность своих пользователей в Интернете, шифруя их DNS-запросы и автоматически удаляя доменные имена в виде простого текста, обычно присутствующие в незащищенном веб-трафике.

    «Если вы не ожидали этого и задаетесь вопросом, что такое DoH, учтите, что эта функция изменит способ подключения вашего устройства к Интернету и находится на ранней стадии тестирования, поэтому продолжайте работу, только если вы уверены, что готовы», — отметили в Microsoft.

    Хотя поддержка DoH появилась в выпуске Windows 10 Insider Preview Build 19628, она не включена по умолчанию.

    Чтобы активировать встроенный клиент DoH, необходимо выполнить следующую процедуру:

    • открыть Registry Editor;
    • перейти в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters registry key;
    • создать новое значение DWORD с именем «EnableAutoDoh»;
    • установить значение 2.

    image

    После активации клиента Windows автоматически начнет шифровать запросы DNS, если используется один из этих серверов DNS с поддержкой DoH:

    image

    «Windows можно настроить для использования любого из этих IP-адресов в качестве DNS-сервера через панель управления или приложение «Настройки», — объясняет Microsoft. — «При следующем перезапуске службы DNS мы начнем использовать DoH для связи с этими серверами вместо классического DNS через порт 53. Самый простой способ запустить перезапуск службы DNS — это перезагрузить компьютер».

    Чтобы добавить свои собственные настраиваемые DNS-серверы с помощью панели управления Windows, необходимы следующие действия:

    • перейти в Сеть и Интернет -> Центр управления сетями и общим доступом -> изменить настройки адаптера;
    • щелкнуть правой кнопкой мыши соединение, к которому хотите добавить DNS-сервер, и выбрать Свойства;
    • выбрать «Протокол Интернета версии 4 (TCP/IPv4)» или «Протокол Интернета версии 6 (TCP/IPv6)» и нажать «Свойства»;
    • убедиться, что выбран переключатель «Использовать следующие адреса DNS-серверов», и добавить адрес DNS-сервера в поля ниже.

    Проверить, выполняет ли клиент Windows DoH свою работу, можно с помощью утилиты PacketMon для проверки трафика, поступающего в Интернет через порт 53. После включения DoH такого трафика практически не будет.

    Для проверки нужно открыть окно командной строки или PowerShell и выполнить следующие команды, чтобы сбросить фильтры сетевого трафика PacketMon, добавить фильтр трафика для порта 53 (порт, используемый для незашифрованных DNS-запросов) и начать регистрацию трафика в реальном времени.

    Microsoft также предоставляет инструкции о том, как протестировать клиент DoH, вручную добавив DNS-серверы с поддержкой DoH, которых нет в списке автоматического продвижения по умолчанию.

    Mozilla уже развернула DNS-over-HTTPS по умолчанию для всех пользователей Firefox из США с 25 февраля. Им предлагали выбрать одного из двух доверенных резолверов DoH: Cloudflare или NextDNS. Впоследствии выяснилось, что при аудите безопасности Cloudflare были выявлены проблемы. Например, он показал, что некоторые анонимные данные хранятся в журналах в течение неопределенного времени.

    Google также в настоящее время запускает ограниченную пробную версию DoH на всех платформах (кроме Linux и iOS), начиная с выпуска Chrome 79. Однако, в отличие от Mozilla, Google не будет автоматически менять провайдера DNS, а вместо этого будет обновлять протокол разрешения DNS только в Chrome, если провайдер DNS по умолчанию поддерживает DoH.

    Microsoft объявила о развертывании DNS-over-HTTPS осенью. Тогда сообщалось, что Windows DNS должна быть настолько частной и функциональной, насколько это возможно по умолчанию; пользователи и администраторы должны руководствоваться настройками DNS, даже если они еще не знают, что такое DNS; они должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий; должны иметь возможность отказа от зашифрованного DNS после его настройки.
    См. также:

    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 2

      0
      Кто может прояснить, как эта технология будет работать в России с учетом блокировок, законно ли это и что будут хранить провайдеры?
        0
        Нормально будет, законно, зашифрованный трафик.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое