微軟宣佈未來Win10版本中將增加DoH協議支援：同時保留對DoT支援

　　微軟宣佈將在未來的 Win10 版本中增加對 DoH(DNS overHTTPS)協議的支援，同時還將保留對 DoT(DNS over TLS)的支援。DoH 旨在允許通過加密的 HTTPS 連線進行 DNS 解析，而 DoT 通過傳輸層安全性協議(TLS)而不是使用純文字 DNS 查詢來加密和封裝 DNS 查詢。

　　相比傳統 DNS，與雲端服務供應商合作通過HTTPS 發出 DNS 請求。在無快取的 DNS 查詢上效能影響很小，大多數的查詢只慢了約 6 毫秒，但從權衡安全性和保護隱私資料的角度出發，Mozilla 認為這是可以被接受的成本。而且在某些情況下，甚至能比傳統 DNS 還快幾百毫秒。

　　通過將 DoH 新增到 Windows 10 核心網路(Windows Core Networking)中，微軟希望通過加密客戶進行的所有 DNS 查詢並刪除通常在不安全的網路流量中出現的純文字域名。來提高其客戶在網際網路上的安全性和隱私性。

　　微軟表示：“很多人都認為 DNS 加密需要 DNS 集中化，但只有在加密 DNS 採用不普遍的情況下這才是正確的。要保持 DNS 的分散性，對於客戶端作業系統(例如 Windows)和網際網路服務提供商一樣，廣泛採用加密的 DNS 至關重要。”

　　同時微軟介紹了用於確定 Windows 10 中內建的 DNS 加密協議及其配置方式的原則：

　　預設情況下，Windows DNS 必須具有儘可能高的私有性和功能性，而無需使用者或管理員配置，因為 Windows DNS 流量代表使用者瀏覽歷史記錄的快照。對於 Windows 使用者來說，這意味著 Windows 可以使他們的體驗儘可能地私密化;對於微軟方面，這意味著其將設法在不更改使用者和系統管理員設定的已配置 DNS 解析器的情況下加密 Windows DNS 流量。

　　注重隱私的 Windows 使用者和管理員即使不知道 DNS 是什麼也需要引導他們進行 DNS 設定。許多使用者有興趣控制自己的隱私，並尋找以隱私為中心的設定，例如應用程式對攝像頭和位置的許可權，但可能沒注意到或不知道 DNS 設定，或者可能並不理解其重要性。

　　Windows 使用者和管理員需要能夠通過儘可能少的簡單操作來改進其 DNS 配置。必須確保不需要 Windows 使用者需要專業知識或工作，就可以從加密的 DNS 中受益。企業策略和 UI 操作都應該只需要執行一次，而不需要維護。

　　在配置後 Windows 使用者和管理員需要明確允許來自加密 DNS 的回退。將 Windows 配置為使用加密的 DNS 後，如果 Windows 使用者或管理員未收到其它說明，則應假定禁止回退到未加密的 DNS。