微软宣布,将在未来版本的视窗10中增加对域名超过HTTPS协议的支持,同时保留对域名超过域名协议的支持。
DoH旨在通过加密的HTTPS连接实现域名解析,而DoT则通过传输层安全协议(TLS)加密和封装域名查询,而不是使用纯文本域名查找。
与传统域名系统相比,与云服务提供商合作通过HTTPS发布域名系统请求对无缓存域名系统查询的性能影响不大。大多数查询只慢了大约6毫秒。然而,Mozilla认为,从平衡安全性和保护私有数据的角度来看,这是可以接受的成本。在某些情况下,甚至比传统域名系统快数百毫秒。
微软希望通过将DoH添加到视窗核心网络中,通过加密客户的所有域名系统查询和删除通常出现在不安全网络流量中的纯文本域名,来提高其客户在互联网上的安全性和隐私性。
微软表示:“许多人认为域名系统加密需要域名系统集中化,但这只有在加密域名系统没有被广泛使用的情况下才是正确的。为了保持域名系统的分散性,客户端操作系统(如视窗系统)和互联网服务提供商必须广泛采用加密域名系统。”
同时,微软介绍了确定内置于视窗10中的域名系统加密协议的原则及其配置:
默认情况下,在没有用户或管理员配置的情况下,窗口域名系统必须尽可能地私有和实用,因为窗口域名系统流量代表用户浏览历史的快照。对于视窗用户来说,这意味着视窗可以使他们的体验尽可能私密。对微软来说,这意味着它将尝试加密视窗域名系统流量,而不改变用户和系统管理员设置的已配置域名解析器。
有隐私意识的视窗用户和管理员需要引导他们通过域名系统设置,即使他们不知道什么是域名系统。许多用户对控制他们的隐私和寻找以隐私为中心的设置感兴趣,例如对相机和位置的应用程序权限,但是可能不注意或不知道DNS设置,或者可能不理解它们的重要性。
Windows用户和管理员需要能够通过尽可能少的简单操作来改进他们的域名系统配置。必须确保视窗系统用户不需要专业知识或工作就能从加密域名系统中获益。企业策略和用户界面操作应该只执行一次,无需维护。
Windows用户和管理员需要在配置后明确允许从加密的域名系统回滚。将视窗配置为使用加密的域名系统后,如果视窗用户或管理员没有收到额外的指令,则应假设禁止回滚到未加密的域名系统。
来源:博客花园
评论(0)