Microsoft heeft onlangs aangekondigd dat DNS over HTTPS (DoH, gecodeerde DNS over HTTPS) nu officieel beschikbaar is in Windows Server 2025 en gecodeerde bescherming biedt voor DNS-communicatie tussen clients en servers. Deze functie is al jaren beschikbaar in clientversies van Windows en wordt nu eindelijk uitgebreid naar servergeoriënteerde versies van het besturingssysteem.

Microsoft wijst erop dat het toevoegen van encryptie-ondersteuning voor DNS-verkeer aanzienlijke verbeteringen kan opleveren in de netwerkbeveiliging en betrouwbaarheid. Voorheen was de DoH-functie alleen beschikbaar in de publieke preview, en nu is de officiële versie onderdeel geworden van de Zero Trust-architectuur die Microsoft geleidelijk implementeert in zijn computer-ecosysteem. Zero Trust gaat ervan uit dat gebruikers en apparaten zelf niet betrouwbaar zijn, dus wordt er een extra beveiligingslaag toegevoegd door DNS-verkeer in te kapselen in een HTTPS-kanaal dat wordt beschermd door een TLS-certificaat.

DNS blijft vandaag de dag een fundamentele afhankelijkheid in bijna elke applicatie, service en werklast, en het systeem dat sinds 1985 in gebruik is, verzendt gegevens nog steeds grotendeels in duidelijke tekst tijdens het resolutieproces van domeinnamen. Door DNS-toegang tussen clients en servers te versleutelen, vermindert DoH effectief het risico dat kwaadwillende derden het verkeer afluisteren. Bovendien kan gecodeerd verkeer helpen voorkomen dat er met DNS-gegevens wordt geknoeid en kan de ware identiteit van de DNS-server worden geverifieerd via het HTTPS/TLS-mechanisme.

De implementatie van Microsoft volgt de DNS over HTTPS-standaard (RFC 8484), gepubliceerd door de IETF, zodat het op betrouwbare wijze kan samenwerken met moderne clients die dezelfde specificatie volgen. DoH kan ook worden geïntegreerd met bestaande infrastructuur, zoals de Windows DNS Server-service, zodat traditioneel DNS-verkeer in leesbare tekst indien nodig nog steeds parallel met DoH kan worden uitgevoerd.

Tijdens de preview-fase werkte Microsoft samen met meerdere externe organisaties om het implementatiegedrag van DoH in echte omgevingen te evalueren. Microsoft zegt er nu voldoende vertrouwen in te hebben dat deze functie organisaties aanzienlijke beveiligingsverbeteringen kan opleveren zonder de lasten voor systeembeheerders aanzienlijk te vergroten. Organisaties kunnen DoH geleidelijk in hun eigen tempo invoeren en tegelijkertijd hun bestaande niet-gecodeerde DNS-infrastructuur behouden om het migratierisico te verminderen.

Momenteel is DNS via HTTPS beschikbaar voor Windows Server 2025-systemen via de nieuwste Patch Tuesday-update. Microsoft biedt gedetailleerde richtlijnen in officiële documentatie om beheerders te helpen deze functie in de Windows Server DNS-service in te schakelen en te verifiëren. Opgemerkt moet worden dat Microsoft ook duidelijk heeft verklaard dat DoH momenteel het DNS-verkeer dat tussen de twee DNS-servers wordt uitgewisseld niet codeert, en dat dit communicatiepad voorlopig niet-gecodeerd blijft.