image

Microsoft объявила, что поддержка DNS-over-HTTPS (DoH) теперь доступна в Windows 10 Insider Preview Build 19628 в Fast Ring.

Благодаря включению поддержки DoH в Windows Microsoft намерена повысить безопасность и конфиденциальность своих пользователей в Интернете, шифруя их DNS-запросы и автоматически удаляя доменные имена в виде простого текста, обычно присутствующие в незащищенном веб-трафике.

«Если вы не ожидали этого и задаетесь вопросом, что такое DoH, учтите, что эта функция изменит способ подключения вашего устройства к Интернету и находится на ранней стадии тестирования, поэтому продолжайте работу, только если вы уверены, что готовы», — отметили в Microsoft.

Хотя поддержка DoH появилась в выпуске Windows 10 Insider Preview Build 19628, она не включена по умолчанию.

Чтобы активировать встроенный клиент DoH, необходимо выполнить следующую процедуру:

  • открыть Registry Editor;
  • перейти в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters registry key;
  • создать новое значение DWORD с именем «EnableAutoDoh»;
  • установить значение 2.

image

После активации клиента Windows автоматически начнет шифровать запросы DNS, если используется один из этих серверов DNS с поддержкой DoH:

image

«Windows можно настроить для использования любого из этих IP-адресов в качестве DNS-сервера через панель управления или приложение «Настройки», — объясняет Microsoft. — «При следующем перезапуске службы DNS мы начнем использовать DoH для связи с этими серверами вместо классического DNS через порт 53. Самый простой способ запустить перезапуск службы DNS — это перезагрузить компьютер».

Чтобы добавить свои собственные настраиваемые DNS-серверы с помощью панели управления Windows, необходимы следующие действия:

  • перейти в Сеть и Интернет -> Центр управления сетями и общим доступом -> изменить настройки адаптера;
  • щелкнуть правой кнопкой мыши соединение, к которому хотите добавить DNS-сервер, и выбрать Свойства;
  • выбрать «Протокол Интернета версии 4 (TCP/IPv4)» или «Протокол Интернета версии 6 (TCP/IPv6)» и нажать «Свойства»;
  • убедиться, что выбран переключатель «Использовать следующие адреса DNS-серверов», и добавить адрес DNS-сервера в поля ниже.

Проверить, выполняет ли клиент Windows DoH свою работу, можно с помощью утилиты PacketMon для проверки трафика, поступающего в Интернет через порт 53. После включения DoH такого трафика практически не будет.

Для проверки нужно открыть окно командной строки или PowerShell и выполнить следующие команды, чтобы сбросить фильтры сетевого трафика PacketMon, добавить фильтр трафика для порта 53 (порт, используемый для незашифрованных DNS-запросов) и начать регистрацию трафика в реальном времени.

Microsoft также предоставляет инструкции о том, как протестировать клиент DoH, вручную добавив DNS-серверы с поддержкой DoH, которых нет в списке автоматического продвижения по умолчанию.

Mozilla уже развернула DNS-over-HTTPS по умолчанию для всех пользователей Firefox из США с 25 февраля. Им предлагали выбрать одного из двух доверенных резолверов DoH: Cloudflare или NextDNS. Впоследствии выяснилось, что при аудите безопасности Cloudflare были выявлены проблемы. Например, он показал, что некоторые анонимные данные хранятся в журналах в течение неопределенного времени.

Google также в настоящее время запускает ограниченную пробную версию DoH на всех платформах (кроме Linux и iOS), начиная с выпуска Chrome 79. Однако, в отличие от Mozilla, Google не будет автоматически менять провайдера DNS, а вместо этого будет обновлять протокол разрешения DNS только в Chrome, если провайдер DNS по умолчанию поддерживает DoH.

Microsoft объявила о развертывании DNS-over-HTTPS осенью. Тогда сообщалось, что Windows DNS должна быть настолько частной и функциональной, насколько это возможно по умолчанию; пользователи и администраторы должны руководствоваться настройками DNS, даже если они еще не знают, что такое DNS; они должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий; должны иметь возможность отказа от зашифрованного DNS после его настройки.
См. также: