微軟宣布未來(lái)Win10版本中將增加DoH協(xié)議支持：同時(shí)保留對(duì)DoT支持

　　微軟宣布將在未來(lái)的 Win10 版本中增加對(duì) DoH(DNS overHTTPS)協(xié)議的支持，同時(shí)還將保留對(duì) DoT(DNS over TLS)的支持。DoH 旨在允許通過(guò)加密的 HTTPS 連接進(jìn)行 DNS 解析，而 DoT 通過(guò)傳輸層安全性協(xié)議(TLS)而不是使用純文本 DNS 查找來(lái)加密和封裝 DNS 查詢。

　　相比傳統(tǒng) DNS，與云端服務(wù)供應(yīng)商合作通過(guò)HTTPS 發(fā)出 DNS 請(qǐng)求。在無(wú)緩存的 DNS 查詢上性能影響很小，大多數(shù)的查詢只慢了約 6 毫秒，但從權(quán)衡安全性和保護(hù)隱私數(shù)據(jù)的角度出發(fā)，Mozilla 認(rèn)為這是可以被接受的成本。而且在某些情況下，甚至能比傳統(tǒng) DNS 還快幾百毫秒。

　　通過(guò)將 DoH 添加到 Windows 10 核心網(wǎng)絡(luò)(Windows Core Networking)中，微軟希望通過(guò)加密客戶進(jìn)行的所有 DNS 查詢并刪除通常在不安全的網(wǎng)絡(luò)流量中出現(xiàn)的純文本域名。來(lái)提高其客戶在互聯(lián)網(wǎng)上的安全性和隱私性。

　　微軟表示：“很多人都認(rèn)為 DNS 加密需要 DNS 集中化，但只有在加密 DNS 采用不普遍的情況下這才是正確的。要保持 DNS 的分散性，對(duì)于客戶端操作系統(tǒng)(例如 Windows)和互聯(lián)網(wǎng)服務(wù)提供商一樣，廣泛采用加密的 DNS 至關(guān)重要?！?/p>

　　同時(shí)微軟介紹了用于確定 Windows 10 中內(nèi)置的 DNS 加密協(xié)議及其配置方式的原則：

　　默認(rèn)情況下，Windows DNS 必須具有盡可能高的私有性和功能性，而無(wú)需用戶或管理員配置，因?yàn)?Windows DNS 流量代表用戶瀏覽歷史記錄的快照。對(duì)于 Windows 用戶來(lái)說(shuō)，這意味著 Windows 可以使他們的體驗(yàn)盡可能地私密化;對(duì)于微軟方面，這意味著其將設(shè)法在不更改用戶和系統(tǒng)管理員設(shè)置的已配置 DNS 解析器的情況下加密 Windows DNS 流量。

　　注重隱私的 Windows 用戶和管理員即使不知道 DNS 是什么也需要引導(dǎo)他們進(jìn)行 DNS 設(shè)置。許多用戶有興趣控制自己的隱私，并尋找以隱私為中心的設(shè)置，例如應(yīng)用程序?qū)z像頭和位置的權(quán)限，但可能沒(méi)注意到或不知道 DNS 設(shè)置，或者可能并不理解其重要性。

　　Windows 用戶和管理員需要能夠通過(guò)盡可能少的簡(jiǎn)單操作來(lái)改進(jìn)其 DNS 配置。必須確保不需要 Windows 用戶需要專業(yè)知識(shí)或工作，就可以從加密的 DNS 中受益。企業(yè)策略和 UI 操作都應(yīng)該只需要執(zhí)行一次，而不需要維護(hù)。

　　在配置后 Windows 用戶和管理員需要明確允許來(lái)自加密 DNS 的回退。將 Windows 配置為使用加密的 DNS 后，如果 Windows 用戶或管理員未收到其它說(shuō)明，則應(yīng)假定禁止回退到未加密的 DNS。