Windows 10 otrzymuje klienta DNS‑over-HTTPS. Na razie tylko w Insider Preview

Kontrowersyjny protokół DNS-over-HTTPS (DoH), zwany przez jednego z twórców Binda "przejęciem domu wariatów przez pacjentów", otrzymał swoją implementację w najnowszej wersji testowej Windows 10. Kompilacja 19628 zawiera usługę Dnscache rozszerzoną o przełącznik "EnableAutoDoh", który ustawiony w Rejestrze przełącza ruch rozwiązywania nazw z protokołu DNS na protokół HTTPS. Okna konfiguracji adresów sieciowych wciąż pozostają takie same i nie oferują żadnego GUI wyprowadzającego tę opcję.

DoH budzi kontrowersje z powodów technicznych i etycznych. Z architekturalnego punktu widzenia jest w pewnym sensie kapitulacją i przyznaniem, że rozwój sieci poszedł w stronę promującą HTTPS ponad wszystko, a wszelkie tradycyjne protokoły prędzej czy później zdobędą nadbudowę "przez przeglądarkę". Gdy cały ruch przechodzi przez port 443, zapytania DNS, pozwalające profilować ruch w badanej sieci, niczym nie różnią się od zwykłego przeglądania internetu. Problem ten rozwiązałby DNS-over-TLS, ale ten się nie przyjął.

Kwestie etyczne są naturalnie związane z prywatnością i koncentracją władzy. Argumenty oparte o ochronę prywatności ochoczo przytaczała Mozilla, która postanowiła po cichu włączyć DoH w przeglądarce Firefox na terenie USA. Motywowano to tym, że miliony osób w Stanach Zjednoczonych korzystają z domyślnej konfiguracji DNS któregoś z pięciu głównych dostawców internetu, są więc w kwestii rozwiązywania nazw zdani na ISP. Rozwiązaniem miało być... wykorzystanie serwera DNS-over-HTTPS obsługiwanego przez prywatną firmę CloudFlare.

Argumenty Mozilli pozostają naciągane, a cicha zmiana de facto nadpisująca systemowe ustawienia DNS była przez wielu uznawana za szkodliwą. Wszystko wskazuje na to, że implementacja w Windows 10 nie będzie włączona domyślnie i polega jedynie na wykryciu, czy podany lub otrzymany przez DHCP serwer DNS obsługuje DoH. HTTPS byłby wykorzystywany tylko wtedy, gdy DNS go oferuje. Nie ma tutaj mowy, co ma miejsce w Mozilli, o zapisanej na sztywno liście serwerów CloudFlare (1.1.1.1) lub Google (8.8.8.8). Oznacza to, że obecnie trzeba się postarać, aby "Dziesiątka" skorzystała z DoH. Zależy zarówno ustawić ręcznie serwer DNS, jak i przestawić klucz w Rejestrze.

Gdy funkcja ulegnie popularyzacji, Firefox (Chrome też, jeżeli włączy się w nim DoH) znajdzie się w zabawnej sytuacji: gdy system będzie ustawiony na korzystanie z DNS Google, przeglądarka dalej będzie korzystać z CloudFlare. Jest to dobre przypomnienie, dlaczego nie warto abstrahować w górę wszystkich funkcji, za które kiedyś w trybie administracyjnym odpowiadał system operacyjny.

Ciekawym detalem, obecnym w ogłoszeniu Microsoft Networking Blog, jest przykład weryfikacji ruchu za pomocą wbudowanego filtra pakietów. Dla niewtajemniczonych: system Windows zawiera filtr pakietów będący odpowiednikiem uniksowego tcpdump. Nie jest on nowością w 19628. Był dostępny już wcześniej. Ciężko się o nim czegoś dowiedzieć.