微软日前宣布,DNS over HTTPS(DoH,基于 HTTPS 的加密 DNS)现已在 Windows Server 2025 中正式可用,为客户端到服务器之间的 DNS 通信提供加密保护。 这一功能早已在 Windows 客户端版本上部署多年,如今终于扩展到面向服务器的操作系统版本。
)nkY�_'�BV 
K-�v#.e�4� 微软指出,为 DNS 流量增加加密支持,可以在网络安全性与可靠性方面带来明显提升。 此前 DoH 功能仅以公开预览的形式提供,如今正式版成为微软在其计算生态中逐步落地的 Zero Trust(零信任)架构的一部分。 零信任假定用户与设备本身并不可信,因此需要通过将 DNS 流量封装在基于 TLS 证书保护的 HTTPS 通道中,增加额外的安全防护层。
B#A�6v0Ta� Lbgi�7|��& 在当今几乎所有应用、服务与工作负载中,DNS 仍然是基础依赖,而这一自 1985 年沿用至今的系统在域名解析过程中大多仍以明文方式传输数据。 通过对客户端与服务器之间的 DNS 访问进行加密,DoH 能有效减少恶意第三方窃听流量的风险。 此外,加密流量还可以帮助防止 DNS 数据被篡改,并通过 HTTPS/TLS 机制验证 DNS 服务器的真实身份。
e'~3o�qSvR I7onX�,U�+ 微软在实现上遵循 IETF 发布的 DNS over HTTPS 标准(RFC 8484),因此可与遵循同一规范的现代客户端可靠互通。 DoH 也能够与现有基础设施集成,例如 Windows DNS Server 服务,当需要时,传统的明文 DNS 流量仍可与 DoH 并行运行。
A.SvA �Y�n j2k"cmsKh� 在预览阶段,微软曾与多家外部机构合作,对 DoH 在真实环境中的部署行为进行评估。 微软表示,如今已经有足够信心认为,该功能能够在不显著增加系统管理员负担的前提下,为组织带来实质性的安全改进。 各类组织可以按照自身节奏逐步采纳 DoH,同时保留既有的非加密 DNS 基础设施,以降低迁移风险。
P.�cyO3l� {7[Ox<Ho�� 目前,DNS over HTTPS 已通过最新一次 Patch Tuesday 更新面向 Windows Server 2025 系统开放。 微软在官方文档中提供了详细指南,帮助管理员在 Windows Server DNS 服务中启用并验证这一功能。 需要注意的是,微软也明确指出,当前 DoH 并不会对两台 DNS 服务器之间互相交换的 DNS 流量进行加密,这一通信路径暂时仍保持为非加密形态。
*dQ�Sw)R��
微博帐号登录