微软宣布 Windows Server 2025 的 DNS over HTTPS (DoH) 功能正式进入正式发布(GA)阶段。该功能为企业提供加密认证的 DNS 解析服务,无需重构客户端到解析器的网络架构即可部署,有助于推进零信任网络安全策略的落地。
核心安全优势
DoH 通过 HTTPS 协议对 DNS 流量进行加密,有效防止未经授权的流量审查、中间人攻击和流量分析。该机制采用 TLS 证书验证 DNS 服务器身份,阻断 spoofing 攻击途径。由于几乎所有网络交互都依赖 DNS 解析,这一升级为网络基础设施的安全基线提供了重要支撑。
技术标准与兼容性
该实现基于 IETF 制定的 DoH 标准,兼容遵循 RFC 8484 规范的现代客户端。微软强调,DoH 可无缝集成至现有网络架构,并支持与标准 DNS 并行运行,使企业能够根据自身节奏逐步完成迁移。
部署条件与未来计划
部署 DoH 需要 Windows Server 2025 环境并安装最新 Patch Tuesday 更新。微软表示,在数月的预览期内 DoH 已趋于稳定,企业可在官方指导下安全地将其投入生产环境。目前该版本仅支持客户端到本地解析器的通信加密,Windows DNS Server 与上游解析器之间的加密通信功能计划在后续更新中推出。
via Neowin
