DNS over HTTPS

DNS over HTTPS (DoH)とは

DNS over HTTPS（DoH）は、従来のDNSクエリをHTTPSプロトコルを用いて暗号化する技術です。これにより、DNSクエリの傍受や改ざんを防ぎ、ユーザーのプライバシーとセキュリティを向上させることを目的としています。DoHは、クライアントとDNSリゾルバ間の通信を暗号化し、中間者攻撃のリスクを軽減します。

DoHの概要

DoHは、DNSクエリをHTTPSプロトコルで暗号化することで、第三者による盗聴や改ざんから保護します。従来のDNSクエリは平文で送信されるため、傍受されるとユーザーの閲覧履歴が筒抜けになってしまいます。DoHは、この脆弱性を解消するために開発されました。

DoHの仕組み

DoHクライアントは、DNSクエリをHTTPSリクエストに変換し、指定されたDoHサーバーに送信します。DoHサーバーは、クエリを通常のDNSクエリに変換し、権威DNSサーバーに送信して応答を取得します。取得した応答は、HTTPSレスポンスとしてクライアントに返送されます。この一連の処理で、クライアントから権威DNSサーバーまでの通信経路が暗号化されます。

DoHと他の技術との関係

DoHは、DNS over TLS（DoT）と並んで、DNSクエリを暗号化する技術として知られています。DoHとDoTは、どちらもDNSクエリを暗号化しますが、DoHはHTTPSを使用し、DoTはTLSを使用します。また、DoH/DoTはDNSSECと競合せず、DNSSECはDNS応答の信頼性を検証するためのものであり、DoH/DoTは通信の暗号化を行うものです。

DoHの技術詳細

DoHは、IETFによってRFC 8484として標準化されています。DoHは、HTTP/2|HTTP_2とHTTPSを使用し、MIMEタイプ`application/dns-message`を使用してDNSデータを伝送します。HTTP/2|HTTP_2のサーバープッシュ機能を利用することで、クライアントが必要とする可能性のあるデータを事前に送信することができます。

DoHの課題

DoHの導入には、いくつかの課題があります。例えば、ペアレンタルコントロールやコンテンツフィルタリング、CDNによるローカライゼーション、5Gネットワークとの相互運用性などがあります。また、Oblivious DNS-over-HTTPS（ODoH）のように、クライアントのIPアドレスを隠蔽する技術も研究されています。

DoHのデプロイシナリオ

DoHのデプロイには、いくつかの方法があります。

1. アプリケーションにDoHを実装する
2. ブラウザに組み込まれたDoHを利用する
3. ローカルネットワークにDoHプロキシをインストールする
4. ローカルシステムにDoHプロキシをインストールする
5. OSにDoHリゾルバプラグインをインストールする

これらの方法で、DoHクライアントはDoHサーバーと通信し、最終的に権威DNSサーバーにクエリが到達します。DoHはエンドツーエンドの暗号化ではなく、ホップ間の暗号化を行うもので、DNS over TLSが一貫して使用された場合に限られます。

DoHの実装状況

OSのサポート

• - Microsoft Windows 11では、DoHをサポートしています。
• - Android 9以降ではDoTに対応していますが、DoHはまだサポートされていません。
• - iOS 14およびmacOS Big Sur以降では、DoHとDoTの両方をサポートしています。

クライアントのサポート

多くのクライアントがDoHをサポートしています。例えば、AdGuard、Cloudflare 1.1.1.1、cURL、Firefox、Intraなどがあります。これらのクライアントを使用することで、DoHを簡単に利用することができます。

DoHサーバーの提供

多くのパブリックDNSサービスプロバイダが、DoHサーバーを無料で提供しています。例えば、Google Public DNS、OpenDNS、Cloudflare、CleanBrowsing、IIJ Public DNSなどがあります。これらのサービスを利用することで、DoHを簡単に試すことができます。

DoHに関する諸問題

サポート面

DoHの利用には、ユーザー自身が設定を行う必要があり、自動設定の仕組みはまだ標準化されていません。これは、DoHの普及を妨げる要因の一つとなっています。

性能面

DoHは、セキュリティ向上とともに、性能向上も期待されています。しかし、暗号化処理によりオーバーヘッドが増加する可能性もあります。パブリックDNSサーバーを利用する際は、ISPのDNSリゾルバよりもレスポンスが向上する場合があります。

ポリシーと批判

DoHは、HTTPSリクエストの暗号化されていない部分から情報が取得できるため、誤ったセキュリティを提供するという批判があります。また、DoHの実装がサードパーティのDNSプロバイダに依存しているため、プライバシーの問題も指摘されています。

セキュリティ面

DoHは、DNSトラフィックの解析や監視を回避できるため、マルウェアの通信を隠蔽する手段として悪用される可能性もあります。また、コンテンツフィルタリングや企業ポリシーをバイパスする手段としても懸念されています。

コンテンツフィルタリング政策面

DoHは、ISPが提供するコンテンツフィルタリングを無効化する可能性があり、一部の業界団体から批判されています。しかし、DoHはフィルタリングを妨げるものではなく、古いインターネットインフラを改善する手段であるという意見もあります。

プライバシー追跡面

DoHは、TLSセッションを維持するため、DNSリゾルバ側で端末単位の追跡が可能になる可能性があります。また、user-agentヘッダやcookieなどの情報も追跡に利用される可能性があります。ユーザーのプライバシー保護は、DNSフルリゾルバのプライバシーポリシーに大きく依存します。

結論

DoHは、DNSクエリの暗号化を通じて、ユーザーのプライバシーとセキュリティを向上させる重要な技術です。しかし、導入には多くの課題と議論点があり、慎重な検討が必要です。今後の技術開発と標準化により、DoHはより使いやすく、安全なインターネット環境の実現に貢献することが期待されます。

関連情報

• - EDNS Client Subnet
• - DNS over TLS
• - DNSCurve'>DNSCurve
• - DNSCrypt'>DNSCrypt
• - DNS

外部リンク

• - DNS Privacy Project: dnsprivacy.org
• - HTTPS'>DNS over HTTPS Implementations
• - A cartoon intro to DNS over HTTPS
• - DNS over HTTPS: Ultimate Guide
• - DNS-over-HTTPS (DoH) Operational and Privacy Issues

もう一度検索