Microsoft kısaca DoH olarak bilinen HTTPS üzerinden DNS desteğinin Windows 10’un Insider programı kapsamındaki 19628 build numaralı versiyonunda kullanılabilir olduğunu duyurdu.
DoH protokolünün TLS üzerinden DNS kısaca DoT protokolü ile birlikte kullanılacak şekilde Windows 10’a ekleneceği daha önce 2018 yılında duyurulmuştu. Kısaca açıklamak gerekirse DoH şifrelenmiş HTTPS Bağlantıları üzerinden DNS çözümlenmesi işlemine imkan sağlarken DoT ise DNS sorgularının açık metin şekline iletilmesi yerine, TLS protokolü ile şifrelenmesini sağlıyor.
DoH ve DoT desteği ile birlikte Microsoft, DNS sorgularını şifreleyerek güvenli olmayan web trafiğinde özellikle “DNS Spoofing“ ve benzeri atakara karşı Windows 10 kullanıcılarını daha güvenli hale getirmeyi amaçlıyor.
Windows Insider programı üyeleri bu özelliği önceden test etme imkanına sahip. Microsoft’un konuyla ilgili bir blog yazısı bulunuyor.
İlgili özelliğin test edilmesi için öncelikli olarak Windows Insider Preview Build 19628 beta sürümüne sahip olmak gerekiyor. DoH özelliği varsayılanda aktif olarak gelmiyor öncelikle ilgili özelliğin aktif hale getirilmesi gerekiyor. Aşağıdaki adımlar izlenerek “DoH Client” özelliği aktif edilebilir.
Kayıt Defteri “Registry Editor” açılarak HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters kayıt anahtarı bulunur. “EnableAutoDoh” ismiyle yeni bir DWORD değeri oluşturularak 2 değeri verilir.
“DoH Client” özelliği aktif edildikten sonra Windows DNS sorgularını şifrelemeye başlayacaktır. Bu özelliği test edebilmek için önce DoT/DoH’u destekleyen genel DNS sunucularından birinin kullanılması gerekmektedir. Windows’un ağ ayarlarında kullanılacak DNS sunucu bilgisi aşağıdaki listede bulunan sunuculardan biri olarak ayarladıktan ilgili özellik test edilebilir. Windows ağ ayarlarından DNS’in otomatik belirlenmesi seçeneği yerine listede bulunan sunuculardan biri DNS sunucusu olarak belirlenip DNS servisi veya PC’nin kendisi yeniden başlatıldıktan sobra “DoH Client” özelliğinin çalışma durumu test edilebilir.
Server Owner | Server IP addresses |
Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 | |
Quad9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
DoH Özelliğinin Çalışma Durumunun Test Edilmesi
Windows PacketMon aracı kullanılarak 53 no’lu port üzerinden giden trafik kontrol edilerek özelliğin çalışıp çalışmadığı test edilebilir.
Power Shell veya komut istemcisi araçlarından biri kullanılıp aşağıda bulunan komutlar çalıştırılarak önce PacketMon aracının varsayılan ağ trafik filtresi sıfırlanır, daha sonra 53 no’lu port için yeni bir filtre eklenir ve son komutla da gerçek zamanlı ağ trafiği izlenmeye başlanır.
pktmon filter remove
pktmon filter add -p 53
pktmon start –etw -l real-time
Microsoft ayrıca yayımladığı blog yazısında yukarıda belirtilen varsayılan DoH prtokolünü destekleyen listede olmayan farklı DNS sunucularının da nasıl listeye ekleneceğini anlatıyor.
Mozilla firması 25 Şubat 2020’den itibaren ABD’deki kullanıcıları için DoH desteğini aktif hale getirirken Google ise Chrome 79 versiyonu ile beraber kısıtlı bir şekilde DoH protokolü denemelerine başlamıştı.