Страницы

среда, 15 января 2020 г.

DNS over HTTPS (DoH) приходит в Windows


Команда Windows Core Networking заинтересована в сохранении трафика настолько приватным, насколько это возможно, при этом сохраняя его быстрым и устойчивым. Существует множество путей и подходов к обеспечению приватности, сегодня речь пойдет о зашифрованном DNS. Так как поддержка зашифрованных запросов DNS в Windows позволит закрыть один из последних кусочков веб-трафика, где доменное имя передается в открытом виде.

Предоставление поддержки зашифрованного DNS без разрушения существующей конфигурации администрирования устройств не будет простой. Однако, Microsoft относится к приватности, как к праву человека и будет аккуратно встраивать безопасность конечных устройств в собственные технологии.

Также команда разработки уверена, что адаптация зашифрованного DNS позволит оздоровить все экосистемы интернета. Существует мнение, что шифрование DNS требует централизации – это верно только в том случае, если шифрование DNS не универсально. Чтобы сохранить DNS децентрализованным необходимо, чтобы клиентские операционные системы (такие как Windows) и Интернет-провайдеры широко применяли зашифрованный DNS.

Приняв решение о встраивании поддержки зашифрованного DNS, необходимо было определиться с тем какой тип шифрования DNS будет поддерживать Windows и как он будет настраиваться. Далее перечислены принципы, которыми руководствовалась команда принимающая данное решение:
  • Windows DNS должен быть приватным и функционировать по умолчанию, насколько это возможно, без настройки пользователем или администратором, так как трафик DNS представляет собой снимок истории посещений. Для пользователей Windows, это значит, что их возможности будут настолько приватными, насколько это возможно в Windows из коробки. Для Microsoft это значит, что потребуется найти подход для шифрования трафика DNS, без изменения настроенных серверов разрешения имен, указанных пользователями и системными администраторами.
  • Заинтересованные в приватности пользователи и администраторы Windows, должны иметь руководство к параметрам DNS, даже если они не знают, что это такое. Многие пользователи заинтересованы в управлении параметрами приватности, такими как разрешения для приложений на использование камеры или определения расположения, но могут быть не осведомлены о параметрах DNS или не понимать их важность в параметрах устройства.
  • Пользователи и администраторы Windows должны иметь возможность улучшить их конфигурацию DNS, при помощи настолько простых действия насколько это возможно. Для Microsoft крайне важно сделать настройку такой, чтобы она не требовала от пользователя специальных знаний для настройки зашифрованного DNS. Корпоративные политики и действия в пользовательском интерфейсе должны быть устроены таким образом, чтобы разово примененные они не требовали дальнейшей поддержки.
  • Для пользователей и администраторов должна быть предусмотрена возможность отказаться от зашифрованного DNS, после того как он уже был настроен. После настройки Windows на использование зашифрованного DNS, если от пользователя или администратора не поступало дополнительных инструкций, автоматический возврат к незашифрованному DNS, должен быть запрещен.

На базе этих принципов Microsoft разработала план по адаптации DNS over HTTPS (DoH) в DNS-клиент Windows. Команда Windows Core Networking стремится дать пользователям возможность включать те протоколы, которые им необходимы. При этом этот процесс не остановить, и команда разработки не отрицает добавление DNS over TLS (DoT) в будущем, но на данный момент в приоритете поддержка DoH, которая должна обеспечить непосредственное значение для всех. Например, DoH позволит задействовать существующую инфраструктуру HTTPS.

В качестве первой вехи, Microsoft начал с простого изменения: Использования DoH для DNS-серверов Windows уже настроено. Теперь есть несколько публичных серверов DNS, которые поддерживают DoH и, если сейчас настроить устройство с Windows на использование данных серверов, Windows будет их использовать как обычный сервер DNS (без шифрования). Однако, так как эти серверы и их конфигурация DoH известны, Windows может быть автоматически обновлен на использование DoH при использовании того же сервера. Данная веха имеет следующие преимущества:
  • Microsoft не внесла никаких изменений в то какой DNS-сервер использует Windows. На сегодняшний день пользователи и администраторы могут сами решать, какой сервер DNS использовать, в зависимости от сети, к которой они подключены, или указывая сервер напрямую; данная веха не будет менять ничего из этого. Многие люди используют поставщика служб интернета или фильтрацию контента публичных DNS для таких задач, как блокировка мошеннических сайтов. Бесшумное изменение серверов DNS, которым доверяет разрешение имен Windows может привести к передаче управления и ограничить пользователей. Microsoft придерживается позиции, что администраторы устройств должны иметь право самостоятельно определять куда направлять трафик DNS.
  • Многие пользователи и приложения, которым необходима приватность начнут получать преимущества, ничего не зная о DNS. В соответствии с первым принципом, запросы DNS станут более частными, без необходимости каких-либо действий со стороны приложений или пользователей. Когда оба конечных устройства поддерживают шифрование, нет смысла ждать разрешения на использование шифрования.
  • Команда разработки начнет отслеживать сложности в предпочтительном разрешении имен с возвратом к незашифрованному DNS. В соответствии с принципом 4, использование DoH будет принудительным, если Windows удостоверился, что сервер поддерживает DoH, без возможности возврата к классическому DNS. Если это предпочтение приватности перед функциональностью вызовет какие-либо осложнения в популярных веб-сценариях, команда узнает об этом раньше.

В будущих этапах команда разработки должна будет создать боле дружественные пути для пользователей с целью обнаружения их параметров DNS в Windows, а также сделать эти параметры осведомленными о DoH. Это даст пользователям, администраторам устройств и корпоративным администраторам возможность прозрачно настраивать серверы DoH.

Почему Microsoft объявила о работах в данном направлении еще до того, как DoH стал доступен для Windows Insiders? Так как зашифрованный DNS привлекает много внимания, Microsoft предпочла анонсировать свою деятельность в данном направлении, чтобы избежать некорректного толкования и явно заявить клиентам, что собирается реализовывать новейшие стандарты приватности.

Для всех, кто заинтересован присоединиться к крупнейшему отраслевому обсуждению шифрования DNS, проверьте одну из групп, работающих с DNS (ABCD, Apps Doing DNS, DNSOP, DPRIVE) или новую Encrypted DNS Deployment Initiative.

Команда разработки Microsoft, так же рада любой обратной связи по части адаптации зашифрованного DNS. Оставляйте комментарии под официальным анонсом.
Автор: на
Ярлыки: , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)