Microsoft внедрит в будущие версии Windows 10 протокол «DNS поверх HTTPS» (DNS over HTTPS, DoH). Кроме того, станет доступен протокол «DNS поверх TLS» (DNS over TLS, DoT).
Таким образом компания хочет усилить защиту приватности пользователей путем шифрования всех их DNS-запросов.
DoH и DoT
Первый позволяет выполнять разрешение DNS поверх зашифрованного HTTPS-соединения. Второй шифрует и «упаковывает» DNS-запросы через протокол Transport Layer Security (TLS).
«Мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS», — заявили в Microsoft.
Сначала DNS-запросы будут автоматически шифроваться в случае, если используемые DNS-резолверы будут поддерживать шифрование поверх HTTPS. При этом Microsoft не будет менять серверы DNS на устройствах под управлением Windows 10. То есть пользователям и системным администраторам придется самим выбирать сервер для разрешения DNS-запросов.
Затем планируется дать пользователям и сисадминам возможность настраивать серверы DoH с помощью специального интерфейса в настройках DNS в Windows 10.
Microsoft объявила четыре принципа, на которых будет базироваться нововведение: Windows DNS должна быть настолько частной и функциональной, насколько это возможно по умолчанию; пользователи и администраторы должны руководствоваться настройками DNS, даже если они еще не знают, что такое DNS; они должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий; должны иметь возможность отказа от зашифрованного DNS после его настройки.
Ранее Mozilla, Google, Opera, а также несколько публичных DNS-провайдеров публично объявили о поддержке стандарта. Microsoft планирует последовать примеру Google, по крайней мере на начальном этапе. Некоторое время назад гигант объявил, что развернет DNS через HTTPS в Chrome, но только в тех системах, которые используют службу DNS, поддерживающую DNS через HTTPS. Таким образом, Google не будет менять DNS-провайдера системы. Mozilla и Opera же решили выбрать поставщика, по крайней мере на начальном этапе, а это означает, что локальный поставщик DNS может быть переопределен в браузере.
Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет открытые DNS-запросы, по которым злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.
См. также: «DNS по HTTPS – половинчатое и неверное решение»
Последнее обновление Windows 10 November 2019 Update стало доступно пользователям в США с 12 ноября, а с 13 ноября — для пользователи в мире. Это относительно небольшое обновление, направленное на повышение производительности и улучшение качества компонентов ОС. Добавились новая панель поиска в «Проводнике» с возможностью поиска файлов в OneDrive, поддержка работы сторонних голосовых помощников на экране блокировки, возможность создания новых событий в календаре прямо с панели задач из всплывающего окна «Часы и календарь», а также новые параметры для управления уведомлениями.