Microsoft anunció recientemente que DNS sobre HTTPS (DoH, DNS cifrado sobre HTTPS) ya está disponible oficialmente en Windows Server 2025, proporcionando protección cifrada para las comunicaciones DNS entre clientes y servidores. Esta característica ha estado disponible en las versiones cliente de Windows durante años y ahora finalmente se ha extendido a las versiones del sistema operativo orientadas al servidor.
Microsoft señala que agregar soporte de cifrado al tráfico DNS puede traer mejoras significativas en la seguridad y confiabilidad de la red. Anteriormente, la función DoH solo estaba disponible en versión preliminar pública, y ahora la versión oficial se ha convertido en parte de la arquitectura Zero Trust que Microsoft está implementando gradualmente en su ecosistema informático. Zero Trust supone que los usuarios y dispositivos en sí no son dignos de confianza, por lo que se agrega una capa adicional de seguridad al encapsular el tráfico DNS en un canal HTTPS protegido por un certificado TLS.
El DNS sigue siendo una dependencia fundamental en casi todas las aplicaciones, servicios y cargas de trabajo actuales, y el sistema que se utiliza desde 1985 todavía transmite datos en gran medida en texto claro durante el proceso de resolución de nombres de dominio. Al cifrar el acceso DNS entre clientes y servidores, DoH reduce efectivamente el riesgo de que terceros malintencionados escuchen el tráfico. Además, el tráfico cifrado puede ayudar a evitar que se manipulen los datos DNS y verificar la verdadera identidad del servidor DNS a través del mecanismo HTTPS/TLS.
La implementación de Microsoft sigue el estándar DNS sobre HTTPS (RFC 8484) publicado por IETF, por lo que puede interoperar de manera confiable con clientes modernos que siguen la misma especificación. DoH también puede integrarse con la infraestructura existente, como el servicio DNS Server de Windows, de modo que el tráfico DNS tradicional de texto claro pueda seguir ejecutándose en paralelo con DoH cuando sea necesario.
Durante la fase de vista previa, Microsoft trabajó con varias organizaciones externas para evaluar el comportamiento de implementación de DoH en entornos del mundo real. Microsoft dijo que ahora tiene suficiente confianza en que esta característica puede traer mejoras sustanciales de seguridad a las organizaciones sin aumentar significativamente la carga para los administradores de sistemas. Las organizaciones pueden adoptar gradualmente DoH a su propio ritmo y al mismo tiempo conservar su infraestructura DNS no cifrada existente para reducir el riesgo de migración.
Actualmente, DNS sobre HTTPS está disponible para sistemas Windows Server 2025 a través de la última actualización del martes de parches. Microsoft proporciona orientación detallada en la documentación oficial para ayudar a los administradores a habilitar y verificar esta característica en el servicio DNS de Windows Server. Cabe señalar que Microsoft también declaró claramente que actualmente DoH no cifra el tráfico DNS intercambiado entre los dos servidores DNS, y esta ruta de comunicación permanece sin cifrar por el momento.