微软日前宣布,DNS over HTTPS(DoH,基于 HTTPS 的加密 DNS)现已在 Windows Server 2025 中正式可用,为客户端到服务器之间的 DNS 通信提供加密保护。 这一功能早已在 Windows 客户端版本上部署多年,如今终于扩展到面向服务器的操作系统版本。
微软指出,为 DNS 流量增加加密支持,可以在网络安全性与可靠性方面带来明显提升。 此前 DoH 功能仅以公开预览的形式提供,如今正式版成为微软在其计算生态中逐步落地的 Zero Trust(零信任)架构的一部分。 零信任假定用户与设备本身并不可信,因此需要通过将 DNS 流量封装在基于 TLS 证书保护的 HTTPS 通道中,增加额外的安全防护层。
在当今几乎所有应用、服务与工作负载中,DNS 仍然是基础依赖,而这一自 1985 年沿用至今的系统在域名解析过程中大多仍以明文方式传输数据。 通过对客户端与服务器之间的 DNS 访问进行加密,DoH 能有效减少恶意第三方窃听流量的风险。 此外,加密流量还可以帮助防止 DNS 数据被篡改,并通过 HTTPS/TLS 机制验证 DNS 服务器的真实身份。
微软在实现上遵循 IETF 发布的 DNS over HTTPS 标准(RFC 8484),因此可与遵循同一规范的现代客户端可靠互通。 DoH 也能够与现有基础设施集成,例如 Windows DNS Server 服务,当需要时,传统的明文 DNS 流量仍可与 DoH 并行运行。
在预览阶段,微软曾与多家外部机构合作,对 DoH 在真实环境中的部署行为进行评估。 微软表示,如今已经有足够信心认为,该功能能够在不显著增加系统管理员负担的前提下,为组织带来实质性的安全改进。 各类组织可以按照自身节奏逐步采纳 DoH,同时保留既有的非加密 DNS 基础设施,以降低迁移风险。
目前,DNS over HTTPS 已通过最新一次 Patch Tuesday 更新面向 Windows Server 2025 系统开放。 微软在官方文档中提供了详细指南,帮助管理员在 Windows Server DNS 服务中启用并验证这一功能。 需要注意的是,微软也明确指出,当前 DoH 并不会对两台 DNS 服务器之间互相交换的 DNS 流量进行加密,这一通信路径暂时仍保持为非加密形态。