Windows Server получил поддержку DNS over HTTPS

Microsoft внедрила поддержку DNS over HTTPS (DoH) для Windows DNS Server. По сути, она обеспечивает зашифрованный DNS для сетей вместо передачи трафика в открытом виде. 

Выход DoH в общедоступную версию позволяет организациям развёртывать решение в производственных средах без внедрения новой архитектуры «клиент-резолвер». DoH помогает повысить общую безопасность сети и снижает риск подмены DNS благодаря своей архитектуре с нулевым доверием. Это существенное изменение, поскольку практически каждое взаимодействие с сетью требует взаимодействия с DNS.

DoH предлагает ряд преимуществ по сравнению со стандартным DNS-трафиком, таких как шифрование с использованием HTTPS, предотвращение несанкционированного доступа, атак типа «человек посередине» и анализ трафика. Поскольку он использует сертификаты TLS, позволяющие клиентам проверять подлинность DNS-сервера, это предотвращает подмену DNS с помощью этого механизма аутентификации. Кроме того, механизм построен на стандарте DoH, определённом Рабочей группой по проектированию интернета (IETF), что означает, что он должен работать с современными клиентами, соответствующими стандарту RFC 8484. Наконец, он легко интегрируется в существующую сетевую архитектуру и даже может работать параллельно со стандартным DNS.

Microsoft заявляет, что за последние несколько месяцев предварительного тестирования DoH стал более стабильным, и клиенты могут развёртывать его в производственных средах при наличии соответствующих рекомендаций.

Клиенты Windows уже поддерживают DoH, но последняя версия для Windows Server обеспечивает зашифрованный DNS для всех конечных точек. Компания также отметила, что «хотя этот релиз сосредоточен на шифровании связи между клиентом и резолвером, поддержка зашифрованной связи