DNS over HTTPS – Secure DNS とは何ですか?またその仕組みは何ですか?

DNS over HTTPS (DoH) は、Hypertext Transfer Protocol Secure (HTTPS) 経由で DNS 要求 (および解決) を送信するための無料のプロトコル標準です。 DOH はデータを暗号化するため、プレーンテキストの代わりに DNS を送信する安全な代替手段です。このテクノロジーは、コンテンツを不正なアクセスや操作から保護し、インターネットユーザーのプライバシーを保護することを目的としています。この記事では、Firefox、Google Chrome、Microsoft Edge、Opera で DNS over HTTPS を有効にする方法についても説明します。

DNS over HTTPS の仕組みと、標準の長所と短所について説明します。

DNS over HTTPS はどのように機能しますか?

ドメインネームシステム (DNS) は、読み取り可能な URL を暗号的な IP アドレスにリンクし、IP ベースのネットワークの最も重要なサービスの 1 つです。意味のある名前の方が、単なる数字の列よりも覚えやすいためです。

アプリケーションレベルのドメインネームシステムは通常、自然言語に基づいてホスト名を解決し、関連付けられた IP アドレスを提供します。例えば：ブラウザで URL (例: www.google.com) を呼び出すと、Web サーバーの IP アドレス (この例では 142.250.192.174) を決定するリクエストが自動的に DNS に対して行われます。この情報に基づいて、ブラウザは Web サイトを呼び出します。 DNS がなければ、Web サイトにアクセスするたびにブラウザにアドレスを入力する必要があります。

さらに、DNS を使用すると、サーバーの IP アドレスを比較的リスクなく変更できます。ユーザーが 1 つの DNS 名しか扱わない場合、関連する IP アドレスの変更はほとんど気づかれないままになります。これについて考えられる応用例の 1 つは、IPv6 による従来の IP アドレスの置き換えです。さらに、個々の DNS 名を複数の IP アドレスに割り当てることもできます。その結果、DNS を介した単純な負荷分散 (ロードバランシング) が実現します。

データベース: ドメインリソースレコード

DNS データベースは、リソースレコードの形式で編成されます。個々のホストとトップレベルドメインは、これらのレコードのいくつかにリンクできます。リソースレコードは 5 つのエントリで構成されます。

ドメイン名: エントリが参照するドメインの名前。
生存時間: エントリの有効期間 (秒単位)。この値は、常に最新の「信頼できるレコード」からデータを再度更新する必要があるまで、レコードをキャッシュ (「キャッシュされたレコード」) にキャッシュできる期間を示します。
クラス：インターネットに関する情報のため、クラスは常に「IN」に設定されます。他のフィールドも使用できますが、ほとんど使用されません。
タイプ: IPv4 アドレスの場合は「A」、IPv6 アドレスの場合は「AAAA」、ネームサーバーの場合は「NS」など、レコードのタイプを指定します。
価値: エントリの値はレコードの「タイプ」に依存し、数値、ドメイン名、ASCII 文字列などのさまざまな値を取ることができます。

しかし、次のような落とし穴もあります。DNS サーバーへのクエリは平文で送信されます。これは、原則として、デバイスとネームサーバー間のパス上で、アクセスしたい Web サイトを確認できることを意味します。これは、ハッカーやサイバー犯罪者によって簡単に検出され、操作 (別のページへのリダイレクトや DDoS 攻撃など) を行う可能性があります。

データはHTTPSトラフィック内に隠蔽されます

ここでDNS over HTTPSが登場します。名前が示すように、これは HTTPS プロトコルを使用し、ポート上で実行されます。443デフォルトでは。ほとんどのネットワークではオープンなため、ファイアウォールの遮断などによる問題はありません。

したがって、DNS トラフィックは、(DoH 対応) DNS サーバーへの暗号化された接続を介して実行されます。DoH リゾルバー。この目的のために、DoH はコネクション指向の通信を使用し、確立後に HTTPS パケットを送信します。HTTPS パケットには実際の DNS 要求が含まれます。したがって、データは実際の HTTPS トラフィック内に隠蔽されます。リゾルバも暗号化して応答します。

HTTPS を使用することにより、事実上すべての Web サーバーが DNS クエリに応答できるようになります (もちろん、DoH をサポートしている場合に限ります)。さらに、将来的には、要求された Web サイト上でリンクされ使用されているすべてのページに関する情報を提供する必要があります。これにより、ページ間を移動するときにさらに DNS クエリを実行する必要がなくなります。

DNS over HTTPS には欠点もあります

「普通の」インターネットユーザーの大多数は、おそらく DNS がどのように機能するのか、そして DNS が正確に何に必要なのかさえ知りません。これらすべてを考慮すると、DoH によってセキュリティが大幅に向上することは確かです。管理者やテクノロジーに精通したホームユーザーは、この全体を複雑な感情で見る可能性があります。

特に企業では、DoH の影響により深刻な問題が発生する場合もあります。通常、システム管理者はローカル DNS サーバーと DNS ベースのソフトウェアを使用して、ローカルトラフィックをフィルタリングおよび監視します。これは主に、従業員が無許可または危険なコンテンツにアクセスするのを防ぐことを目的としています。ただし、DoH を使用すると、従業員はフィルターを回避でき、ブロックされたコンテンツにアクセスすることもできます。

また、DoH ではプライバシーのセキュリティが 100 パーセント保証されているわけではありません。データはクライアントとリゾルバー間の双方向で暗号化されますが、プロバイダーには、訪問した Web サイトの履歴を追跡できる他のオプション (キーワード「TLS ハンドシェイク」および「SNI」) も用意されています。

したがって、DOH の代替となる DOT (DNS over TLS) プロトコルもありますが、暗号化の標準は 2 つで同じですが、違いは暗号化と配信に使用される方法です。

すでに DoH をサポートしているブラウザはどれですか?

Mozilla Firefox で DNS-over-HTTPS を有効にする

Mozilla とセキュリティサービスプロバイダー Cloudflare は、DNS over HTTPS の推進力となっており、Firefox (2020 年) が DoH を統合した最初のブラウザーでもあったのはそのためです。

FireFox で DNS over HTTPS を有効にする方法は?

Mozilla FireFox ブラウザを開きます
開いた後、設定ページを表示し、選択します一般的な左側のメニューから。

あるいは、貼り付けることができますabout:preferences#generalブラウザの URL バーで [一般設定] を直接開きます。

その後、ネットワーク 設定ボタン。
下にスクロールして、指定されたボックスにチェックを入れますHTTPS 経由の DNS を有効にするのオプションモジラファイアフォックス。

ヒント：Firefox は、デフォルトで Cloudflare リゾルバーを通じてすべての DoH リクエストを処理します。 DNS 処理に関する個人設定は無視されます。あるいは、別の設定に設定することもできます。 公開されているサーバーの DoH リゾルバーを使用してカスタムプロバイダーオプション。

Google Chrome で DNS-over-HTTPS を有効にする

Google ChromeはFirefoxに次いで2番目にDoHを搭載したブラウザとなる。 DNS over HTTPS は、Windows および macOS のバージョン 83 以降の Google Chrome で利用できます。ブラウザのセキュリティ設定から有効または無効にすることができます。現在、これはすでに Windows、Mac、Linux、Android、Chrome OS で動作します。

機能をオンにした後, Chrome は以前と同じサーバーに DNS リクエストを送信しますが、DoH 対応インターフェイスがある場合はトラフィックを暗号化します。そうでない場合、リクエストは暗号化されずに送信されます。現在の DNS サービスプロバイダーが DOH をサポートしていない場合は、リストからカスタムサービスプロバイダーを使用します。

設定をすばやく開くには、次の URL を使用します。chrome://settings/security

Microsoft Edge で DNS-over-HTTPS を有効にする

Google Chrome と同様に、Microsoft Edge ブラウザでも DNS-over-HTTPS が有効になりますが、カスタムブラウザを設定したい場合は、次の手順に従います。
ブラウザの URL ボックスにコピーして貼り付けますedge://settings/privacyEnter キーを押します。
その後、「セキュア DNS を使用して Web サイトのネットワークアドレスを検索する方法を指定する」設定まで下にスクロールします。
[サービスプロバイダーの選択] オプションを選択し、リストされたプロバイダーを選択するか、プロバイダーの 1 つを追加します。

Chromium ベースのブラウザ用のセキュア DNS

他の多くのよく知られたブラウザー (Opera や Vivaldi など) は、Chrome とその Blink エンジンに基づいています。したがって、DNS over HTTPS はこれらでも利用でき、Chrome で行ったようにそれぞれの設定で有効にすることができます。

注記: 2020 年後半にリリースされた Apple の iOS 14 および macOS 11 は、DoH プロトコルと DoT プロトコルの両方をサポートしています

Cloudflareを使用してDNS OVER HTTPSをチェックする方法

ブラウザでセキュア DNS または DNS Over HTTPS を有効にすると、実際にセキュア DNS サービスを使用しているかどうかを確認できます。そのために、Cloudflare は以下のサービスを提供しています –ブラウジングエクスペリエンスのセキュリティチェック。リンクを使用してページを開きます。そこで「」をクリックしますブラウザを確認してください" ボタン。すぐに結果が得られます。