DNS over HTTPS

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動
DNS over HTTPS
通信プロトコル
目的 プライバシーとセキュリティのためにDNSをHTTPSにカプセル化すること
導入 2018年10月(2年前) (2018-10
OSI階層 アプリケーション層
RFC RFC 8484

DNS over HTTPSDoH)は、リモートのDNS解決をHTTPSプロトコルを用いて実行するためのプロトコルである。この手法の目的は、プライバシーとセキュリティを向上させ、盗聴を防いだりDNSデータの中間者攻撃による操作から保護することである[1]。そのために、DoHクライアントとDoHベースのDNSリゾルバ間のデータをHTTPSプロトコルを使用して暗号化する。ただし、暗号化自体はプライバシーを保護するものではなく、データを難読化するものである。2018年3月 (2018-03)現在GoogleMozilla Foundationがテスト版のDNS over HTTPS[2][3]を提供し始めている。

セキュリティの向上に加えて、性能の向上もDNS over HTTPSの目的の1つである。ISPのDNSリゾルバの調査により、多くのリゾルバのレスポンスタイムが遅いことが明らかになっており、1つのウェブページを読み込む際に複数のホスト名を解決する必要がある場合にレスポンスが悪化することが問題になっている[1]

技術的な詳細[編集]

DoHは、RFC 8484(October 2018)としてIETFが公開した提案段階の標準である。DoHでは、HTTP/2HTTPSを使用し、既存のUDPレスポンスではwire formatのDNS responseデータをサポートし、HTTPSペイロードではMIMEタイプapplication/dns-messageを使用する[1][4]。HTTP/2を使用した場合、サーバーはHTTP/2 server push英語版を利用することで、クライアントに通知しておくと役に立つと予想されるデータを事前に送ることが可能になる[5]

DoHは策定中の標準である。IETFはRFC 8484を提案段階の標準として公開し、様々な企業がそれをもとに実験を行っており[6][7]、IETFは、まだどのような実装が最善であるかは決定していない。IETFはDoHの最適なデプロイ方法について様々なアプローチを評価中であり、Applications Doing DNS (ADD)というワーキンググループを立ち上げて必要な作業とコンセンサスの構築に取り組んでいる。その他に、Encrypted DNS Deployment Initiativeという企業によるワーキンググループも立ち上がっており、その目的は「インターネットの重要なネームスペースと名前解決サービスの高性能、回復性、安定性、セキュリティを確保し、DNSに依存するセキュリティ保護やペアレントコントロールなどのサービスを損なわないように提供できるように、DNS暗号化技術を定義・適用すること」であると述べられている[8]

DoHを適切にデプロイする方法には多くの課題があり、インターネットコミュニティにより解決が試みられている。課題には以下のものが含まれるが、これがすべてではない。

  • ペアレンタル・コントロールとコンテンツ・フィルタ
  • DNSが企業内に分散される
  • CDNによるローカライゼーション
  • 5Gネットワークとの相互運用性

デプロイのシナリオ[編集]

DoHはDNSリゾルバによる再帰的なDNS解決に使用される。リゾルバ(DoHクライアント)はクエリエンドポイントをホストするDoHサーバーへアクセスできる必要がある[5]

DoHにはオペレーティングシステムのネイティブサポートがないため、使用したいユーザーは追加のソフトウェアをインストールする必要がある。次の3つの使用方法が一般的である。

  • アプリケーション内に含まれるDoHの実装を使用する。ビルトインのDoH実装が行われているブラウザでは、オペレーティングシステムのDNS機能をバイパスしてクエリを実行することができる。欠点は、設定ミスやDoHをサポートしないことにより、アプリケーションがユーザーにDoHクエリをスキップしたかどうかを通知しない可能性があることである。
  • ローカルネットワークのネームサーバーにDoHプロキシをインストールする。このシナリオでは、クライアントシステムは従来の(ポート53または853の)DNSを使用してローカルネットワークのネームサーバーにクエリを送り、ネームサーバーは、リプライに必要な情報をインターネット上のDoHサーバーからDoHを使用して取得する。この手法はエンドユーザーに対して透過的である。
  • ローカルシステムにDoHプロキシをインストールする。このシナリオでは、オペレーティングシステムをローカルで動作するDoHプロキシにクエリを送るように設定する。1つ前の手法と比べると、DoHを使用したいすべてのシステムにインストールする必要があり、大規模な環境では多くの作業が必要になる可能性がある。
  • DoHリゾルバプラグインをオペレーティングシステムにインストールする。

これらすべてのシナリオにおいて、DoHクライアントは権威ネームサーバーに対していかなるクエリも直接行わない。その代わりに、DoHサーバーは従来のポートを使用したクエリを発行し、最終的に権威サーバーに到達する。そのため、DoHはエンドツーエンド暗号化プロトコルではなく、ホップ間の暗号化を行うもので、DNS over TLS英語版が一貫して使用された場合に限られる。

DoHを使用しているPublic DNSサーバー[編集]

DNS over HTTPSサーバーの実装は、いくつかのPublic DNSプロバイダからすでに無料で利用できるようになっている[9]。概要はpublic recursive name server英語版で確認できる。

クライアントのサポート[編集]

  • AdGuard for Android,[10] AdGuard for iOS[11] and AdGuard Home[12]
  • Cloudflare 1.1.1.1 client app for Android and iOS.[13]
  • Cloudflare resolver for Linux, MacOS and Windows.[14]
  • cURL since 7.62.0.[15]
  • DNSCrypt-proxy — Local DNS → DNS over HTTPS proxy.[16]
  • DNSP — Versatile DNSProxy. DoH server (C) and client (PHP) implementation.[17]
  • doh-php-client — PHP Implementation.[18]
  • Firefox since Version 62 and later[19] — Browser support.[20]
  • go-doh-proxy — Go DoH Proxy Server.[21]
  • Intra — Android app by Jigsaw英語版.[22]
  • nss-tls — a DoH-based resolver plugin for glibc.[23]
  • Technitium DNS Client — C# .NET cross-platform implementation.[24]
  • NextDNS client apps.[25]
  • Nebulo - DNS over HTTPS/TLS - for Android.[26]

OSのサポート[編集]

2019年11月、Microsoftは、Microsoft WindowsでDoHを始めとするencrypted DNSプロトコルをサポートする実装を行う計画を発表した[27]

批判[編集]

DoHは、IPアドレスやServer Name Indication(SNI)などの、HTTPSリクエストの暗号化されていない部分からまだ取得できる情報だけを暗号化していることから、誤った意味のセキュリティを提供するものであると主張されてきた[28][29]。また、現在のウェブブラウザのDoHの実装はサードパーティのDNSプロバイダに依存しているため、DNSの非中央集権的な性質とは反対であり、プライバシーの問題がある。OpenBSDは、FirefoxのビルドでCloudflareのサービスが機能に使われているという理由で、DoHをデフォルトで無効化した[30]。Chromeでは、ユーザーが選んだDNSプロバイダがDoHをサポートしている場合にのみDoHを使用するが、アメリカのISPからは、ユーザーにGoogle Public DNSサービスの使用を強制することになると非難された[31][32]

DoHは、サイバーセキュリティの目的でDNSトラフィックの解析や監視から隠れることができる。2019年、DDoSワームのGodulaは、command-and-controlサーバーへの接続を隠すためにDoHを利用した[29]。DoHは、コンテンツフィルタリングソフトウェアやエンタープライズのDNSポリシーに対するバイパスとなる可能性が論じられている。

イギリスのISPを代表する業界団体のInternet Watch Foundation英語版Internet Service Providers Association英語版(ISPA)は、広く使われているFirefoxウェブブラウザを開発しているMozillaGoogleに対して、DoHのサポートにより、ISPデフォルトの成人向けコンテンツのフィルタリングや裁判所の命令による著作権侵害サイトの強制フィルタリングなどのイギリスのウェブブロッキング英語版プログラムが弱体化してしまう恐れがあると非難した。ISPAは2019年にMozillaに「インターネットの敵(Internet Villain)」賞を(EUのデジタル単一市場における著作権に関する指令Donald Trumpとともに)与えた。受賞理由は「イギリスのフィルタリングの義務とペアレンタル・コントロールをバイパスするDNS-over-HTTPSの導入により、イギリスのインターネットの安全基準を劣化させた」というものである。MozillaはISPAの主張に対して、DoHはフィルタリングを妨げるものではなく、「ISPの業界団体が、数十年前の古くなったインターネットインフラの改善に対して誤った判断をしていることに驚き、残念に思う」と述べた[33][34]。この批判に対してISPAは謝罪し、ノミネートを取り下げた[35][36]。Mozillaはその後、関連するステークホルダーとの十分な議論が行われるまではイギリスではDoHを使用しないようにすると発表したが、「イギリスにも現実のセキュリティ上の恩恵を提供できるはずだ」と述べている[37]

関連項目[編集]

出典[編集]

  1. ^ a b c Chirgwin, Richard (2017年12月14日). “IETF protects privacy and helps net neutrality with DNS over HTTPS” (英語). https://www.theregister.co.uk/2017/12/14/protecting_dns_privacy/ 2018年3月21日閲覧。 
  2. ^ DNS-over-HTTPS | Public DNS | Google Developers” (英語). Google Developers. 2018年3月21日閲覧。
  3. ^ Cimpanu, Catalin (2018年3月20日). “Mozilla Is Testing "DNS over HTTPS" Support in Firefox” (英語). BleepingComputer. https://www.bleepingcomputer.com/news/software/mozilla-is-testing-dns-over-https-support-in-firefox/ 2018年3月21日閲覧。 
  4. ^ Hoffman. “RFC 8484 - DNS Queries over HTTPS” (英語). datatracker.ietf.org. 2018年5月20日閲覧。
  5. ^ a b Hoffman. “draft-ietf-doh-dns-over-https-08 - DNS Queries over HTTPS” (英語). datatracker.ietf.org. 2018年5月20日閲覧。
  6. ^ Experimenting with same-provider DNS-over-HTTPS upgrade” (英語). Chromium Blog. 2019年9月13日閲覧。
  7. ^ Deckelmann. “What's next in making Encrypted DNS-over-HTTPS the Default” (英語). Future Releases. 2019年9月13日閲覧。
  8. ^ About” (英語). Encrypted DNS Deployment Initiative. 2019年9月13日閲覧。
  9. ^ DNS over HTTPS Implementations” (英語) (2018年4月27日). 2018年4月27日閲覧。
  10. ^ Brinkmann, Martin (2019年3月21日). “AdGuard 3.0 for Android: Redesign, Stealth Mode, Custom Filter Lists”. Ghacks Technology News. https://www.ghacks.net/2019/03/21/adguard-3-0-for-android-redesign-stealth-mode-custom-filter-lists/ 2019年8月2日閲覧。 
  11. ^ Orr, Andrew (2019年7月13日). “AdGuard 3 Brings DNS Privacy, 250,000 Filter Rules, Premium Features”. The Mac Observer, Inc.. https://www.macobserver.com/cool-stuff-found/adguard-3-update/ 2019年8月2日閲覧。 
  12. ^ Davenport, Corbin (2018年12月29日). “AdGuard officially releases its own DNS service, and it works with Android Pie”. Android Police (Illogical Robot LLC). https://www.androidpolice.com/2018/12/29/adguard-officially-releases-its-own-dns-service-and-it-works-with-android-pie/ 2019年8月1日閲覧。 
  13. ^ Cimpanu. “Cloudflare launches Android and iOS apps for its 1.1.1.1 service” (英語). ZDNet. 2018年12月13日閲覧。
  14. ^ DNS over HTTPS”. Argo Tunnel. Cloudflare. 2019年7月20日閲覧。
  15. ^ DoH in curl”. 2019年12月7日閲覧。
  16. ^ DNSCrypt-proxy v2.0” (2019年8月5日). 2019年12月7日閲覧。
  17. ^ DNSP” (2019年7月22日). 2019年12月7日閲覧。
  18. ^ DNS over HTTPS PHP Client” (2019年8月3日). 2019年12月7日閲覧。
  19. ^ Trusted Recursive Resolver (html)”. Mozilla (2019年9月15日). 2019年9月12日時点のオリジナルよりアーカイブ。2019年9月15日閲覧。 “All preferences for the DNS-over-HTTPS functionality in Firefox are located under the `network.trr` prefix (TRR == Trusted Recursive Resolver). The support for these were added in Firefox 62.”
  20. ^ Improving DNS Privacy in Firefox”. 2019年12月7日閲覧。
  21. ^ Go DoH Proxy Server”. 2019年12月7日閲覧。
  22. ^ Intra on Play Store”. 2019年12月7日閲覧。
  23. ^ GitHub - dimkr/NSS-TLS: A DNS over HTTPS resolver for glibc.” (2019年8月2日). 2019年12月7日閲覧。
  24. ^ DNS over HTTPS C# Client” (2019年7月18日). 2019年12月7日閲覧。
  25. ^ nextdns”. www.nextdns.io. 2019年7月13日閲覧。
  26. ^ Nebulo - DNS over HTTPS/TLS - Apps on Google Play”. 2019年12月7日閲覧。
  27. ^ Gallagher (2019年11月19日). “Microsoft says yes to future encrypted DNS requests in Windows” (英語). Ars Technica. 2019年11月20日閲覧。
  28. ^ “A Controversial Plan to Encrypt More of the Internet” (英語). Wired. ISSN 1059-1028. https://www.wired.com/story/dns-over-https-encrypted-web/ 2019年11月19日閲覧。 
  29. ^ a b Cimpanu. “DNS-over-HTTPS causes more problems than it solves, experts say” (英語). ZDNet. 2019年11月19日閲覧。
  30. ^ Google Unveils DNS-over-HTTPS (DoH) Plan, Mozilla's Faces Criticism” (英語). BleepingComputer. 2019年9月14日閲覧。
  31. ^ Tung. “DNS over HTTPS: Google hits back at 'misinformation and confusion' over its plans” (英語). ZDNet. 2019年11月19日閲覧。
  32. ^ Lee (2019年9月30日). “Why big ISPs aren’t happy about Google’s plans for encrypted DNS” (英語). Ars Technica. 2019年11月19日閲覧。
  33. ^ Cimpanu. “UK ISP group names Mozilla 'Internet Villain' for supporting 'DNS-over-HTTPS'” (英語). ZDNet. 2019年7月5日閲覧。
  34. ^ Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature” (英語). TechCrunch. 2019年7月19日閲覧。
  35. ^ British ISPs fight to make the web LESS secure” (英語). IT PRO. 2019年9月14日閲覧。
  36. ^ Patrawala (2019年7月11日). “ISPA nominated Mozilla in the “Internet Villain” category for DNS over HTTPs push, withdrew nominations and category after community backlash” (英語). Packt Hub. 2019年9月14日閲覧。
  37. ^ Hern, Alex (2019年9月24日). “Firefox: 'no UK plans' to make encrypted browser tool its default” (英語). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2019/sep/24/firefox-no-uk-plans-to-make-encrypted-browser-tool-its-default 2019年9月29日閲覧。 

外部リンク[編集]