Microsoft는 최근 Windows Server 2025에서 HTTPS를 통한 DNS(DoH, 암호화된 DNS over HTTPS)를 공식적으로 사용하여 클라이언트와 서버 간의 DNS 통신에 암호화된 보호를 제공한다고 발표했습니다. 이 기능은 수년 동안 클라이언트 버전의 Windows에서 사용할 수 있었으며 이제 마침내 서버 지향 버전의 운영 체제로 확장되었습니다.
Microsoft는 DNS 트래픽에 대한 암호화 지원을 추가하면 네트워크 보안과 안정성이 크게 향상될 수 있다고 지적합니다. 이전에 DoH 기능은 공개 미리 보기로만 제공되었으며 이제 공식 버전은 Microsoft가 컴퓨팅 생태계에서 점진적으로 구현하고 있는 제로 트러스트 아키텍처의 일부가 되었습니다. 제로 트러스트는 사용자와 장치 자체를 신뢰할 수 없다고 가정하므로 TLS 인증서로 보호되는 HTTPS 채널에 DNS 트래픽을 캡슐화하여 추가 보안 계층을 추가합니다.
DNS는 오늘날 거의 모든 애플리케이션, 서비스 및 워크로드에서 기본적인 종속성으로 남아 있으며, 1985년부터 사용된 시스템은 도메인 이름 확인 프로세스 중에 여전히 대부분의 데이터를 일반 텍스트로 전송합니다. DoH는 클라이언트와 서버 간의 DNS 액세스를 암호화함으로써 악의적인 제3자가 트래픽을 도청하는 위험을 효과적으로 줄입니다. 또한 암호화된 트래픽은 DNS 데이터가 변조되는 것을 방지하고 HTTPS/TLS 메커니즘을 통해 DNS 서버의 실제 ID를 확인하는 데 도움이 될 수 있습니다.
Microsoft의 구현은 IETF에서 게시한 HTTPS 표준(RFC 8484)을 통한 DNS를 따르므로 동일한 사양을 따르는 최신 클라이언트와 안정적으로 상호 운용할 수 있습니다. 또한 DoH는 Windows DNS 서버 서비스와 같은 기존 인프라와 통합할 수 있으므로 필요할 때 기존의 일반 텍스트 DNS 트래픽이 DoH와 병렬로 계속 실행될 수 있습니다.
미리 보기 단계에서 Microsoft는 여러 외부 조직과 협력하여 실제 환경에서 DoH 배포 동작을 평가했습니다. 마이크로소프트는 이제 이 기능이 시스템 관리자의 부담을 크게 늘리지 않고도 조직에 상당한 보안 개선을 가져올 수 있다는 확신을 갖고 있다고 밝혔습니다. 조직은 마이그레이션 위험을 줄이기 위해 기존의 암호화되지 않은 DNS 인프라를 유지하면서 자신의 속도에 맞춰 DoH를 점진적으로 채택할 수 있습니다.
현재 최신 패치 화요일 업데이트를 통해 Windows Server 2025 시스템에서 HTTPS를 통한 DNS를 사용할 수 있습니다. Microsoft는 관리자가 Windows Server DNS 서비스에서 이 기능을 활성화하고 확인하는 데 도움이 되도록 공식 문서에서 자세한 지침을 제공합니다. 또한 Microsoft는 현재 DoH가 두 DNS 서버 간에 교환되는 DNS 트래픽을 암호화하지 않으며 이 통신 경로는 당분간 암호화되지 않은 상태로 유지된다는 점을 분명히 밝혔습니다.