微軟宣布將在未來的windows 10版本中增加對(duì)基于隱私的DNS的HTTPS（DoH）協(xié)議的支持，同時(shí)還將保留基于TLS的DNS（DoT）的支持。

DoH旨在允許通過加密的HTTPS連接進(jìn)行DNS解析，而DoT則通過傳輸層安全性（TLS）協(xié)議而不是使用純文本DNS查找來加密和包裝DNS查詢。

通過將DoH添加到windows 10核心網(wǎng)絡(luò)中，Microsoft希望通過對(duì)客戶進(jìn)行的所有DNS查詢進(jìn)行加密，從而刪除通常在不安全的網(wǎng)絡(luò)流量中出現(xiàn)的純文本域名，來提高客戶在Internet上的安全性和隱私性。

微軟表示：“很多人都認(rèn)為DNS加密需要DNS集中化。只有在采用加密的DNS不普遍的情況下，這才是正確的。

“要保持DNS的分散性，對(duì)于客戶端操作系統(tǒng)（例如Windows）和Internet服務(wù)提供商一樣，廣泛采用加密的DNS至關(guān)重要。”

Microsoft DoH采用原則

Redmond目前正在優(yōu)先考慮在windows 10中采用DoH，因?yàn)樗J(rèn)為該選擇將“為每個(gè)人提供即時(shí)價(jià)值”，同時(shí)也使該公司可以利用現(xiàn)有的HTTPS基礎(chǔ)結(jié)構(gòu)來加快DNS加密部署的速度。

微軟補(bǔ)充說：作為一個(gè)平臺(tái)，Windows Core Networking尋求使用戶能夠使用他們所需的任何協(xié)議，因此我們對(duì)將來擁有其他選擇（如TLS上的DNS（DoT））持開放態(tài)度。

該公司還重點(diǎn)介紹了以下用于確定windows 10中內(nèi)置的DNS加密協(xié)議及其配置方式的原則：

•  默認(rèn)情況下，Windows DNS必須具有盡可能高的私有性和功能，而無需用戶或管理員配置，因?yàn)閃indows DNS流量代表用戶瀏覽歷史記錄的快照。對(duì)于Windows用戶，這意味著Windows可以使他們的體驗(yàn)盡可能地私密化。對(duì)于Microsoft，這意味著我們將尋找機(jī)會(huì)在不更改用戶和系統(tǒng)管理員設(shè)置的已配置DNS解析器的情況下加密Windows DNS流量。

•  注重隱私的Windows用戶和管理員即使不知道什么DNS，也需要進(jìn)行DNS設(shè)置指導(dǎo)。許多用戶有興趣控制自己的隱私，并尋找以隱私為中心的設(shè)置，例如應(yīng)用程序?qū)z像頭和位置的權(quán)限，但可能不知道或不知道DNS設(shè)置，或者可能理解其重要性，因此可能不會(huì)在設(shè)備設(shè)置中尋找它們。

•  Windows用戶和管理員需要能夠通過盡可能少的簡單操作來改善其DNS配置。我們必須確保我們不需要Windows用戶方面的專業(yè)知識(shí)或工作，就可以從加密的DNS中受益。企業(yè)策略和UI操作都應(yīng)該只需要執(zhí)行一次，而不需要維護(hù)。

•  Windows用戶和管理員需要在配置后明確允許來自加密DNS的回退。將Windows配置為使用加密的DNS后，如果Windows用戶或管理員未收到其他說明，則應(yīng)假定禁止回退到未加密的DNS。

第一個(gè)里程碑

作為在windows 10中實(shí)現(xiàn)DoH的第一步的一部分，如果用戶使用的DNS解析器支持通過HTTPS加密，則Microsoft將自動(dòng)為用戶加密DNS查詢。

但是，雷德蒙德還表示，它將不會(huì)更改任何windows 10設(shè)備上的DNS服務(wù)器，而將其留給用戶和設(shè)備或企業(yè)管理員來選擇他們要用來解決其DNS查詢的DNS服務(wù)器。

微軟表示：“許多人使用ISP或公共DNS內(nèi)容過濾來做諸如阻止令人反感的網(wǎng)站之類的事情。”微軟在列舉他們選擇的實(shí)現(xiàn)windows 10 DoH支持途徑的好處時(shí)說。

悄然更改可信任的Windows服務(wù)器DNS服務(wù)器可能會(huì)無意間繞過這些控件并令我們的用戶感到沮喪。我們相信設(shè)備管理員有權(quán)控制DNS流量的流向。

他們列出了用戶和管理員在達(dá)到最初的DoH支持里程碑后將獲得的以下優(yōu)勢(shì)：

•  我們不會(huì)對(duì)用戶或網(wǎng)絡(luò)配置為使用Windows的DNS服務(wù)器進(jìn)行任何更改。 如今，用戶和管理員通過選擇他們加入的網(wǎng)絡(luò)或直接指定服務(wù)器來決定要使用的DNS服務(wù)器。 這個(gè)里程碑不會(huì)改變?nèi)魏问虑椤?/p>

•  許多需要隱私的用戶和應(yīng)用程序?qū)㈤_始獲得好處，而不必了解DNS。 與原則1一致，DNS查詢變得更加私密，應(yīng)用程序或用戶均未采取任何行動(dòng)。 如果兩個(gè)端點(diǎn)都支持加密，則沒有理由等待使用加密的權(quán)限！

•  我們開始看到在偏向于解決方案失敗而不是未加密的回退方面實(shí)施挑戰(zhàn)。 按照原則4，將強(qiáng)制使用這種DoH，這樣就不會(huì)通過經(jīng)典DNS來查詢Windows確認(rèn)支持DoH的服務(wù)器。 如果這種偏重于功能的隱私保護(hù)在常見的網(wǎng)絡(luò)情況下造成任何破壞，我們會(huì)盡早發(fā)現(xiàn)。

作為未來里程碑的一部分，windows 10用戶和管理員也將能夠使用Windows DNS設(shè)置內(nèi)的專用界面來顯式設(shè)置DoH服務(wù)器。

微軟總結(jié)道：為什么要在Windows Insiders可以使用DoH之前就宣布我們的意圖？隨著加密DNS的引起越來越多的關(guān)注，我們認(rèn)為重要的是盡早明確我們的意圖。

我們不希望客戶懷疑他們的受信任平臺(tái)是否會(huì)采用現(xiàn)代隱私標(biāo)準(zhǔn)。