Microsoft、Google、Mozilla などの企業は、DNS over HTTPS (DoH) の導入を推進しています。このテクノロジーは DNS ルックアップを暗号化し、オンラインのプライバシーとセキュリティを向上させます。しかし、これは物議を醸しています。Comcast はそれに反対するロビー活動を行っています 。知っておくべきことは次のとおりです。
DNS over HTTPS とは何ですか?
ウェブはデフォルトですべてを暗号化する方向に進んでいます。現時点では、アクセスする Web サイトのほとんどは HTTPS 暗号化 を使用していると考えられます。 Chrome などの最新の Web ブラウザでは、標準 HTTP を使用するサイトはすべて「 」とマークされるようになりました。 HTTP プロトコルの新しいバージョンで ある HTTP/3 には、暗号化が組み込まれています。
この暗号化により、Web ページの表示中に誰も Web ページを改ざんしたり、オンラインでの行動を盗み見したりすることができなくなります。たとえば、Wikipedia.org に接続した場合、ネットワーク オペレータ (それが企業の 公衆 Wi-Fi ホットスポット であっても、ISP であっても) は、あなたが wikipedia.org に接続していることしか認識できません。あなたがどの記事を読んでいるのかを見ることはできませんし、転送中の Wikipedia 記事を変更することもできません。
しかし、暗号化への取り組みの中で、DNS は取り残されています。 ドメイン ネーム システムを 使用すると、数値 IP アドレスを使用するのではなく、ドメイン名を使用して Web サイトに接続できるようになります。 google.com のようなドメイン名を入力すると、システムは設定された DNS サーバーに接続して、google.com に関連付けられた IP アドレスを取得します。その後、その IP アドレスに接続します。
これまで、これらの DNS ルックアップは暗号化されていませんでした。 Web サイトに接続すると、システムはそのドメインに関連付けられた IP アドレスを探しているというリクエストを発行します。この間にあるユーザー (ISP の可能性もありますが、トラフィックをログに記録している単なるパブリック Wi-Fi ホットスポットの可能性もあります) が、ユーザーが接続しているドメインをログに記録する可能性があります。
DNS over HTTPS では、この見落としが解消されます。 DNS over HTTPS の場合、システムは DNS サーバーへの安全な暗号化された接続を確立し、その接続を介してリクエストと応答を転送します。その間にいる人は、あなたが検索しているドメイン名を確認したり、応答を改ざんしたりすることはできません。
現在、ほとんどの人はインターネット サービス プロバイダーが提供する DNS サーバーを使用しています。ただし、 Cloudflare の 1.1.1.1 、 Google Public DNS 、 OpenDNS などの サードパーティ DNS サーバー が多数あります。これらのサードパーティ プロバイダーは、サーバー側で HTTPS 経由の DNS サポートを有効にした最初のプロバイダーの 1 つです。 DNS over HTTPS を使用するには、DNS サーバーと、それをサポートするクライアント (Web ブラウザーやオペレーティング システムなど) の両方が必要です。
誰がそれをサポートするのでしょうか?
Google と Mozilla はすでに Google Chrome と Mozilla Firefox で DNS over HTTPS をテストしています。 2019 年 11 月 17 日、 Microsoft は Windows ネットワーク スタックで DNS over HTTPS を採用すると発表しました 。これにより、Windows 上のすべてのアプリケーションが、DNS over HTTPS をサポートするように明示的にコーディングしなくても、DNS over HTTPS の利点を確実に享受できるようになります。
Google は、2019 年 12 月 10 日にリリース予定の Chrome 79 から、ユーザーの 1% に対してデフォルトで DoH を有効にすると言っています。 そのバージョンがリリースされると、次のサイトにもアクセスできるようになります。
chrome: //flags/#dns-over-https
それを有効にするために。
Mozilla は、2019 年にすべてのユーザーに対して DNS over HTTPS を有効にする予定だと述べています 。現在の Firefox の安定版では、メニュー > オプション > 一般に進み、下にスクロールして、ネットワーク設定の下の [設定] をクリックすると、このオプションが見つかります。 「DNS over HTTPS を有効にする」を有効にします。
Apple はまだ DNS over HTTPS の計画についてコメントしていませんが、私たちは同社が業界の他の企業と同様に iOS と macOS のサポートを導入し実装すると予想していました。
まだデフォルトですべてのユーザーに対して有効になっているわけではありませんが、DNS over HTTPS が完了すると、インターネットの使用がよりプライベートで安全になるはずです。
なぜ Comcast はそれに反対するロビー活動を行っているのでしょうか?
これは今のところあまり物議を醸すようには聞こえませんが、実際にはそうです。 Comcast は、Google が HTTPS 経由で DNS を展開するのを阻止するよう議会にロビー活動を行っているようだ。
議員向けに提出され、 Motherboard が入手したプレゼンテーションの中で Comcast は、Google が DoH を有効化し、「世界中の DNS データの大部分を Google に[一元化]する」という「一方的な計画」を (「Mozilla とともに」) 推進していると主張している。インターネットのアーキテクチャの分散化された性質における根本的な変化です。」
率直に言って、これの多くは誤りです。 MozillaのMarshell Erwin氏はMotherboardに対し、「スライドは全体的に非常に誤解を招き、不正確だ」と語った。 Chrome プロダクト マネージャーの Kenji Beaheux 氏は、ブログ投稿の中で、Google Chrome は DNS プロバイダーの変更を誰かに強制するものではないと 指摘しています 。 Chrome はシステムの現在の DNS プロバイダーに従います。DNS over HTTPS をサポートしていない場合、Chrome は DNS over HTTPS を使用しません。
そしてそれ以来、Microsoft は Windows オペレーティング システム レベルで DoH をサポートする計画を発表しました。 Microsoft、Google、Mozilla がこれを採用しているため、これは Google の「一方的な」計画とは言えません。
Comcast は DNS ルックアップ データを収集できなくなったため、DoH を好まないのではないかと理論化する人もいます。ただし、Comcast は、DNS ルックアップをスパイしていないと 約束 しています。同社は暗号化されたDNSをサポートしていると主張しているが、「一方的な行動」ではなく「協力的な業界全体のソリューション」を望んでいる。 Comcast のメッセージングは乱雑です。DNS over HTTPS に対する Comcast の議論は、明らかに国民の目ではなく議員の目を向けたものでした。
DNS over HTTPS はどのように機能しますか?
Comcast の奇妙な反対はさておき、DNS over HTTPS が実際にどのように機能するかを見てみましょう。 Chrome で DoH サポートが有効になると、システムの現在の DNS サーバーがサポートしている場合にのみ、Chrome は DNS over HTTPS を使用します。
言い換えれば、インターネット サービス プロバイダーとして Comcast を使用していて、Comcast が DoH のサポートを拒否した場合でも、Chrome は DNS ルックアップを暗号化することなく、現在と同様に機能します。別の DNS サーバーが設定されている場合 — おそらく Cloudflare DNS、Google Public DNS、OpenDNS を選択しているか、ISP の DNS サーバーが DoH をサポートしている可能性があります — Chrome は暗号化を使用して現在の DNS サーバーと自動的に通信します。接続を「アップグレード」します。ユーザーは DoH を提供しない DNS プロバイダー (Comcast など) から切り替えることを選択するかもしれませんが、Chrome は自動的にこれを行いません。
これは、DNS を使用するコンテンツ フィルタリング ソリューションが中断されないことも意味します。 OpenDNS を使用し、特定の Web サイトをブロックするように設定した場合、Chrome は OpenDNS をデフォルトの DNS サーバーのままにし、何も変更しません。
Firefox の動作は少し異なります。 Mozilla は、米国における Firefox の暗号化 DNS プロバイダーとして Cloudflare を採用することを選択しました。別の DNS サーバーが設定されている場合でも、Firefox は DNS リクエストを Cloudflare の 1.1.1.1 DNS サーバーに送信します。 Firefox ではこれを無効にしたり、カスタムの暗号化された DNS プロバイダーを使用したりできますが、Cloudflare がデフォルトになります。
Microsoft は、Windows 10 の DNS over HTTPS は Chrome と同様に機能すると述べています。 Windows 10 はデフォルトの DNS サーバーに従い、選択した DNS サーバーが DoH をサポートしている場合にのみ DoH を有効にします。ただし、Microsoftは「プライバシーを重視するWindowsユーザーと管理者」にDNSサーバー設定を案内するとしている。
Windows 10 は、DNS サーバーを DoH で保護されたサーバーに切り替えることを推奨するかもしれませんが、Microsoft は Windows が切り替えを行うことはないと述べています。
