示意圖,圖片來源/微軟(https://c.s-microsoft.com/zh-tw/CMSImages/1920_Panel5_carouel_Photos.jpg?version=94f5090d-0cfa-32ba-604c-44e7f45f9bd0)

又一家大廠將支援DNS over HTTPS(DoH)。微軟周一宣佈Windows 10將整合DoH功能,未來也考慮支援DNS over TLS。

微軟指出,Windows 10支援加密DNS將關閉最後一塊在公開網路上傳送的明碼網域名。DNS去中心化的前提是用戶端作業系統(如Windows)及ISP都要支援加密DNS。在決定要怎麼支援DNS時,微軟訂定四項原則:Windows DNS必須是預設啟動,不需要用戶或管理員組態;用戶即使不知道其DNS服務為何也會被導向DNS設定。此外,只需簡單動作用戶不需高深知識就能進行DNS組態;同時用戶必須以明示退回未加密DNS服務。一旦Windows啟動加密DNS,若沒有下其他明顯指令,將不允許使用未加密DNS為後備(fallback)服務。為此微軟決定Windows DNS用戶端採用DoH。

微軟指出,作為一個平台Windows Core Networking希望能支援多種安全協定。未來微軟考慮增加像是DNS over TLS (DoT)的選項,但目前Windows以支援DoH為優先要務,因為它對廣大用戶好處較明顯,例如DoH可利用Windows中的HTTPS架構。

至於推行順序,微軟將從Windows現有功能開始,使用現有支援DoH的DNS解析服務。目前市面上已有多個公共DNS解析伺服器,如果Windows用戶或裝置管理員已經使用,則Windows將自動升級到DoH連到同一台伺服器。

微軟表示,不變更Windows用戶或網路設定好的DNS伺服器有多種好處。一是變更DNS伺服器設定可能會繞過原有ISP或公共DNS內容過濾的安全設定,造成用戶困擾;微軟說這些將交由管理員做決定。其次這能在不打擾用戶和應用程式下提供隱私保障。最後,由於Windows 未來啟用DoH後不希望輕易退回到舊的未加密DNS服務,但如果造成任何連線問題也可以及早得知。

微軟表示,未來Windows還會加入更多隱私工具,讓用戶容易找到DNS設定,並使這些設定支援DoH。

至於這項決定何以不像其他功能一樣,先從開發人員的早期測試版出發?微軟解釋,加密DNS愈來愈受到重視,微軟認為宜及早讓大眾知道微軟想法,而不希望用戶猜測Windows是否符合現代化隱私標準。

目前包括Google、Mozilla及Opera都已宣佈支援DoH。Chrome78及最新版Firefox已預設啟用DoH。


Advertisement

更多 iThome相關內容