微软同意未来在Windows中加密DNS请求

　　昨日微软技术社区博客上的一篇文章中,Microsoft Windows核心网络团队成员汤米·延森,伊凡Pashov,加布里埃尔黑山宣布,微软计划采用支持加密的域名系统queriesin以＂关闭剩下的最后一个纯文本域名变速器常见的网络流量。
　　这种支持将首先通过HTTPS (DoH)与DNS进行集成，这是internet Engineering Task force提出的标准，并得到Mozilla、谷歌和Cloudflare等公司的支持。Jensen、Pashov和Montenegro写道:＂作为一个平台，Windows Core network试图让用户能够使用他们需要的任何协议，因此我们对将来使用其他选项(如通过TLS (DoT)的DNS)表示开放。＂＂目前，我们优先考虑DoH支持，因为它最有可能为每个人提供即时价值。例如，DoH允许我们重用现有的HTTPS基础设施。＂
　　但考虑到目前互联网服务提供商就DoH展开的政治斗争，微软对如何部署这种兼容性持谨慎态度。这些提供商担心，他们将失去一个利润丰厚的客户行为数据来源。
　　互联网服务提供商给出了他们反对DoH的许多理由。由于它阻止用户查看纯文本DNS请求，所以它可以防止对某些内容进行过滤和阻塞——包括在英国，英国法律对用户强制执行内容过滤要求。由于将DoH作为Firefox网络浏览器的一部分，英国互联网服务提供商协会将Mozilla称为＂互联网恶棍＂。
　　在美国，ISP游说人士以反垄断为由，向国会施压，要求阻止谷歌在Chrome上部署DoH。这种游说的部分依据是，正如康卡斯特(Comcast)在写给国会议员的信中所说，谷歌将＂用谷歌集中处理大部分全球DNS数据＂，并＂让一家提供商控制互联网流量路由和大量有关消费者和竞争对手的新数据＂。
　　根据这篇文章的作者所说，DoH支持的Windows实现不会改变企业用户或许多ISP客户的现状。Jensen等人写道:＂我们不会对用户或网络配置的DNS服务器窗口进行任何更改。＂
　　我们将寻找机会在不改变用户和系统管理员设置的配置DNS解析器的情况下加密Windows DNS流量。
　　今天，用户和管理员通过选择他们加入的网络或直接指定服务器来决定使用什么DNS服务器;这个里程碑不会改变任何事情。许多人使用ISP或公共DNS内容过滤来阻止攻击性网站。悄悄地更改受信任的DNS服务器来执行Windows解析可能会无意中绕过这些控制并让我们的用户感到失望。我们相信设备管理员有权利控制他们的DNS流量的去向。
　　然而，微软的实现也不会＂妨碍＂使用DoH或其他加密DNS请求本身的应用程序。当DoH请求失败时，它必须提供后备方案。核心网络团队成员写道:＂DoH的使用将被强制执行，这样Windows确认支持DoH的服务器将不会通过传统的DNS咨询。＂＂如果这种对隐私而非功能的偏好会对常见的Web场景造成任何破坏，我们将尽早发现。＂
　　然而，所有这些都是为了未来。微软在向Windows内部人员提供早期版本的功能之前，现在就宣布了它的意图，因为正如三位作者所写的，＂随着加密DNS得到更多的关注，我们觉得尽早明确我们的意图是很重要的。＂我们不希望客户怀疑他们信赖的平台是否会采用现代隐私标准。＂
　　微软似乎也对isp和企业表现出了友好的态度，在这些地方，对个人计算机来说，隐藏在加密DNS通信中的信息可能是一个安全问题。