Prywatność to prawo człowieka. Jak mantrę przy każdej możliwej okazji powtarza to Satya Nadella z Microsoft i w sumie przyznajemy mu rację. Odzwierciedlenie tego poglądu jest coraz wyraźniej widoczne w Windows 10, m.in. za sprawą większej kontroli nad danymi diagnostycznymi czy wbudowanej ochronie przed śledzeniem w nowym Edge. Gigant chce iść o krok dalej. Kolejnym pomysłem jest wbudowane wsparcie dla DNS-over-HTTPS w Windows 10. Jakie korzyści z tego płyną i dlaczego protokół ten wielu uważa za kontrowersyjny?
DNS-over-HTTPS (DoH, IETF RFC8484) jest internetowym protokołem, który szyfruje połączenia DNS i ukrywa je w typowym ruchu HTTPS, co prowadzi do tego, że podmioty trzecie, takie jak nasz dostawca Internetu, nie mogą szpiegować naszego ruchu internetowego i nie wiedzą, jakie witryny odwiedzamy. Obecnie zapytania DNS wysyłane są jako plaintext (otwarty tekst) poprzez port 53. DoH ukrywa zapytania w ruchu HTTPS poprzez port 443, co czyni je niemożliwymi do przejęcia, m.in. w atakach typu man-in-the-middle. Protokół HTTPS szyfruje dane między klientem DoH a opartym na DoH resolwerem DNS. Można powiedzieć, że szyfrowanie samo w sobie nie chroni prywatności, lecz jest metodą zaciemniania danych.
DoH może być wbudowany bezpośrednio w aplikacje, pozwalając każdej z nich używać własnych resolwerów DNS, zamiast polegać na systemie operacyjnym. Technologia ta od pewnego czasu jest już dostępna w Firefox, a obecnie testuje ją Google. Do grona wspierających ją gigantów dołączył też Microsoft, który zadeklarował jej bezpośrednie wsparcie w Windows 10. Jak powiedzieli inżynierowie Windows Core Networking — Tommy Jensen, Ivan Pasho i Gabriel Montenegro:
DoH w Windows zamknie jedną z ostatnich pozostałych transmisji nazwy domeny jako otwarty tekst w powszechnym ruchu sieciowym.
Ruch ten jest *kontrowersyjny*, ponieważ może uniemożliwić firmom zarządzanie ruchem sieciowym. Microsoft uważa jednak, że jest to warte swojej ceny, bowiem prywatność jest niezbywalnym prawem człowieka. Gigant podkreśla też swoje zobowiązania, by jego produkty miały wbudowaną ochronę end-to-end, czyli obejmującą cały ruch sieciowy, od początku do końca. Nie wiadomo jeszcze, jak konkretnie będzie wyglądać ta implementacja w Windows 10, ale warto tu zauważyć, że DoH ma objąć cały system operacyjny, a nie tylko przeglądarkę Edge.
DNS-over-HTTPS działa już w Firefox, jednak wymaga od użytkownika podjęcia samodzielnego działania. Jeśli ustawimy w nim Cloudflare jako dostawcę DoH, nasi dostawcy Internetu zostaną całkowicie odcięci od wiedzy o naszym ruchu sieciowym przez tę przeglądarkę. W Wielkiej Brytanii technologia DoH wywołała mocne głosy sprzeciwu ze strony dostawców Internetu i służb bezpieczeństwa.