Windows 10 Build 19628.1 integriert DNS over HTTPS

Microsoft hat die Ankündigung von November 2019 umgesetzt und bietet Nutzern nun die Möglichkeit, unter Windows 10 DNS-Abfragen mit DNS over HTTPS (DoH) zu verschlüsseln. Die Funktion steht erstmals mit dem Build 19628.1 zur Verfügung, das seit gestern über den Fast Ring des Insider-Programms verteilt wird. Ab Werk ist DNS over HTTPS jedoch deaktiviert.

Auch wenn inzwischen der mit Abstand größte Teil des Datenverkehrs im Internet verschlüsselt wird, werden Anfragen an das Domain Name System (DNS) grundsätzlich im Klartext übertragen. Sie sind also unter Umständen auch für Unbefugte lesbar. DoH kann zudem dazu beitragen, dass Anfragen nur bei legitimen DNS-Servern landen beziehungsweise Anfragen nicht an schädliche DNS-Server umgeleitet werden.

Das Interesse an DoH nahm zuletzt zu, unter anderem weil die Browseranbieter Google und Mozilla das Protokoll bereits in ihre Browser integriert haben – sehr zum Missfallen einiger Entwickler und Systemadministratoren. Denn eigentlich war bisher immer das Betriebssystem für die DNS-Einstellungen aller Anwendungen zuständig. Mit der Integration von DoH in ihre Browser nahmen sie dem Betriebssystem jedoch diese Zuständigkeit, was vor allem Administratoren in Unternehmen vor Probleme stellte. Mit der Entwicklung eines DoH-Clients für Windows stellt Microsoft jedoch die gewohnten Verhältnisse wieder her.

Nutzer, die DNS over HTTPS im Build 19628.1 testen wollen, müssen die Funktion in der Registrierungsdatenbank aktivieren. Die Option findet sich im Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters“, der über den Registrierungs-Editor aufgerufen wird. Im rechten Teil des Fensters kann dann mit einem rechten Mausklick ein neuer DWORD-Eintrag mit dem Namen „EnableAutoDoh“ angelegt werden. Sein Wert muss auf „2“ gesetzt werden.

Allerdings funktioniert DoH nur, wenn zusätzlich ein DNS-Dienst für Windows konfiguriert wurde, der die Verschlüsselung von DNS-Anfragen unterstützt. Als Beispiele nennt Microsoft in einem v die Dienste von Cloudflare, Google und Quad9.

In dem Blogeintrag findet sich auch eine Anleitung zur Voreinstellung dieser DNS-Anbieter. In einem Kommentar weist das Unternehmen zudem darauf hin, dass sich auch weitere Anbieter registrieren lassen – da es sich um eine frühe Implementierung von DoH im Build 19628.1 handele, müssten weiter Anbieter manuell zur Liste der unterstützten DNS-Dienste hinzugefügt werden. Auch hierfür halte der Blogeintrag eine Anleitung bereit.

Wer DNS-Abfragen unter der regulären Windows-10-Version verschlüsseln möchte, kann hierfür das Tool Simple DNSCrypt installieren.