Microsoft: Windows 11 soll automatisch verschlüsselte DNS-Server finden

Mit dem aktuellen Insider Build 25982 von Windows 11 testet Microsoft erstmals die clientseitige Unterstützung für eine Technik, die Nutzern automatisch einen verschlüsselten DNS-Server zuweisen können soll. Zwar unterstützt Microsoft schon seit mehreren Jahren das Protokoll DNS über HTTPS (DoH), mit dem sich DNS-Anfragen und -Antworten verschlüsselt übertragen lassen. Bisher musste der entsprechende Server jedoch noch manuell konfiguriert werden. Alternativ stehen auch DNS über TLS (DoT) und DNS über Quic (DoQ) prinzipiell zu Verschlüsselung von DNS bereit.

Konkret umgesetzt hat Microsoft das Protokoll zum Auffinden von Resolvern, die durch das Netzwerk selbst per DHCP oder Router-Advertisement-Nachrichten festgelegt werden. Der kurz DNR genannte Standard wird seit einigen Jahren bei der Internet Engineering Task Force (IETF) in einer speziellen Arbeitsgruppe erstellt und ist inzwischen von allen Beteiligten zur offiziellen Veröffentlichung vorgesehen. Wann dies geschieht, ist derzeit aber noch nicht bekannt.

Der technische Ablauf ist dabei denkbar einfach. Ist DNR im Client aktiviert, wird beim ersten Verbinden mit einem Netzwerk der DHCP-Server auch um die entsprechenden DNS-Informationen gebeten. Der Server antwortet dann mit IP-Adresse des verschlüsselten DNS-Servers, unterstützten Protokollen, Port-Nummer und der Server-Authentifizierung. Windows 11 nutzt dies letztlich, um den DNS-Server entsprechend automatisch einzurichten.

Um die Implementierung von DNR in Windows zu testen, muss die Funktion in dem Insider Build derzeit noch über einen Eintrag in der Registry aktiviert werden, wie der Hersteller in einem Blogbeitrag beschreibt. Darüber hinaus wird außerdem ein Server mit DNR-Support benötigt. Unterstützt wird dies etwa mit der aktuellen Version 2.4 von Kea. Microsoft selbst habe die Technik in Zusammenarbeit mit der BT Group und deren Servern getestet.