微軟已正式將 dns over https(doh)整合至 windows server 2025,標誌著其零信任安全架構在伺服器端的關鍵落實。這項加密 dns 解決方案已在最新一輪「星期二修補程式」更新中全面啟用,為用戶端與 dns 伺服器之間的查詢通訊提供 tls 加密通道,從根本上改變了傳統明文傳輸的模式。
doh 並非新技術——它早已在 windows 10/11 等用戶端系統上成熟運行多年。如今將其延伸至伺服器作業系統,填補了企業級基礎設施長期以來的加密缺口。微軟強調,此功能已超越預覽階段,成為 windows 安全生態系統中正式可用的生產元件,並深度嵌入其零信任框架:不再假設網路或裝置的預設信任,而是透過 https 封裝與憑證驗證,確保每一筆 dns 請求的真實性、機密性和完整性。
作為互聯網最基礎的協議之一,dns 自 1985 年問世以來,一直面臨隱私洩露與中間人竄改等風險。透過將 dns 查詢封裝於標準 https 流量之中,doh 不僅能有效防止監聽與劫持,還利用 tls 的驗證機制確認回應來源的合法性,大幅提升了解析過程的可靠性。微軟嚴格遵循 ietf rfc 8484 標準,確保與主流 doh 客戶端及解析器的完全相容,同時支援與現有 windows dns 伺服器服務的無縫共存——管理者可在啟用 doh 的同時保留傳統 dns 流量路徑,實現平穩過渡與逐步部署。
在廣泛的實際測試中,微軟與眾多企業及安全機構合作,驗證了 doh 的穩定性與操作友善度。結果顯示,該功能能在不需對現有管理流程進行重大調整的情況下,顯著強化網路邊界防禦。官方文件也已更新,新增詳細的配置指南,涵蓋啟用步驟、策略設定及驗證方法。值得注意的是,目前 doh 僅保障用戶端與遞迴式 dns 伺服器之間的連線安全;而 dns 伺服器之間的權威查詢,例如區域轉移或轉發,仍採用未加密協議,因此未來發展值得持續關注。
