DNS-Over-HTTPSとは何ですか?デバイス(またはブラウザ)でDNS-Over-HTTPSを有効にする方法
- カテゴリ: ガイド
DNS-over-HTTPS(Secure DNS)は、クライアントコンピューターとDNSサーバー間の通信を暗号化することにより、Webブラウジングを安全にすることを目的とした新しいテクノロジです。
この新しいインターネット標準は広く採用されています。採用リストには、Windows 10(バージョン2004)、Android 9 Pie、Google Chrome、Mozilla Firefox、Microsoft Edge、Opera、Vivaldiなどが含まれます。
この記事では、DNS-over-HTTPSの長所と短所、およびデバイスでこのプロトコルを有効にする方法について説明します。
また、デバイスでDoHが有効になっているかどうかをテストする方法についても説明します。
さぁ、始めよう。 クイックサマリー 隠れる 1 DNS-over-HTTPSとその仕組みの簡単な説明 2 DNS-over-HTTPSの長所と短所 2.1 DoHはユーザーの完全なプライバシーを有効にしません 2.2 DoHはHTTPクエリには適用されません 2.3 すべてのDNSサーバーがDoHをサポートしているわけではありません 2.4 DoHは企業にとって頭痛の種になります 3 DNS-over-HTTPSを使用するとブラウジングが遅くなりますか? 4 Windows10でDNS-over-HTTPSを有効または無効にする方法 4.1 Windowsレジストリの使用 4.2 グループポリシーの使用 4.3 PowerShellの使用(コマンドライン) 5 ブラウザでDNS-over-HTTPSを有効または無効にする方法 5.1 GoogleChromeでDNS-over-HTTPSを有効にする 5.2 MozillaFirefoxでDNS-over-HTTPSを有効にする 5.3 MicrosoftEdgeでDNS-over-HTTPSを有効にする 5.4 OperaブラウザでDNS-over-HTTPSを有効にする 5.5 VivaldiブラウザでDNS-over-HTTPSを有効にする 6 AndroidでDNS-over-HTTPSを有効にする方法 7 DNS-over-HTTPSを使用しているかどうかをどのように確認しますか? 8 DoHをサポートするネームサーバーのリスト
DNS-over-HTTPSとその仕組みの簡単な説明
DNS-over-HTTPS(DoH)は、コンピューターとDNSサーバー間のDNSクエリを暗号化するためのプロトコルです。 2018年10月に初めて導入されました( IETF RFC 8484 )ユーザーのセキュリティとプライバシーを向上させることを目的としています。
従来のDNSサーバーは通信にDNSポート53を使用しますが、DNS-over-HTTPSはHTTPSポート443を使用してクライアントと安全に通信します。
DoHはセキュリティプロトコルですが、ISPによる要求の追跡を妨げるものではないことに注意してください。コンピュータとISP間のDNSクエリデータを暗号化するだけで、なりすましや中間者攻撃などの問題を防ぐことができます。
簡単な例でこれを理解しましょう。
DNSの仕組みは次のとおりです。
- ドメイン名itechtics.comを開き、ブラウザを使用してリクエストする場合。
- ブラウザは、システムで構成されているDNSサーバー(1.1.1.1など)にリクエストを送信します。
- DNS再帰リゾルバー(1.1.1.1)は、トップレベルドメイン(TLD)(この場合は.com)のルートサーバーに移動し、itechtics.comのネームサーバーを要求します。
- 次に、DNSサーバー(1.1.1.1)はitechtics.comのネームサーバーに移動し、itechtics.comのDNS名のIPアドレスを要求します。
- DNSサーバー(1.1.1.1)はこの情報をブラウザーに伝達し、ブラウザーはitechtics.comに接続して、サーバーから応答を取得します。
コンピュータからDNSサーバー、TLD DNSサーバー、ネームサーバー、Webサイトへのこのすべての通信は、単純なテキストメッセージの形式で行われます。
つまり、誰でもWebトラフィックを監視して、開いているWebサイトを簡単に知ることができます。
DNS-over-HTTPSは、コンピューターとDNSサーバー間のすべての通信を暗号化するため、コンピューターがより安全になり、man-in-the-middle攻撃やその他のなりすまし攻撃を受けにくくなります。
視覚的な例でこれを理解しましょう:
DNSクライアントがDoHを使用せずにDNSクエリをDNSサーバーに送信する場合:
DNS overHTTPSが有効になっていません
DoHクライアントがDoHプロトコルを使用してDNSトラフィックをDoH対応DNSサーバーに送信する場合:
DNS overHTTPSが有効
ここでは、クライアントからサーバーへのDNSトラフィックが暗号化されており、クライアントが何を要求したかを誰も知らないことがわかります。サーバーからのDNS応答も暗号化されます。
DNS-over-HTTPSの長所と短所
DNS-over-HTTPSは徐々にレガシーDNSシステムに取って代わりますが、それ自体に利点と潜在的な問題があります。ここでそれらのいくつかについて説明しましょう。
DoHはユーザーの完全なプライバシーを有効にしません
DoHは、ユーザーのプライバシーとセキュリティにおける次の大きなものとして宣伝されていますが、私の意見では、DoHはユーザーのセキュリティにのみ焦点を当てており、プライバシーには焦点を当てていません。
このプロトコルがどのように機能するかを知っていれば、DoHがISPによるユーザーDNS要求の追跡を妨げないことがわかります。
別のパブリックDNSプロバイダーを使用しているためにISPがDNSを使用して追跡できない場合でも、追跡のためにISPに公開されているデータポイントが多数あります。例えば、 サーバー名表示(SNI)フィールド と オンライン証明書ステータスプロトコル(OCSP)接続 NS。
よりプライバシーが必要な場合は、DNS-over-TLS(DoT)、DNSCurve、DNSCryptなどの他のテクノロジーを確認する必要があります。
DoHはHTTPクエリには適用されません
SSLを使用して動作しないWebサイトを開いている場合、DoHサーバーはDo53とも呼ばれるレガシーDNSテクノロジー(DNS-over-HTTP)にフォールバックします。
ただし、どこでも安全な通信を使用している場合、DoHは、ベアメタルの古くて安全でないDNSテクノロジーを使用するよりも間違いなく優れています。
すべてのDNSサーバーがDoHをサポートしているわけではありません
DNS-over-HTTPSをサポートするためにアップグレードする必要があるレガシーDNSサーバーが多数あります。これが広く採用されるまでには長い時間がかかります。
このプロトコルがほとんどのDNSサーバーでサポートされるまで、ほとんどのユーザーは大規模な組織が提供するパブリックDNSサーバーを使用することを余儀なくされます。
これにより、DNSデータのほとんどが世界中のいくつかの集中管理された場所で収集されるため、プライバシーの問題がさらに発生します。
DoHの早期採用のもう1つの欠点は、グローバルDNSサーバーがダウンすると、名前解決のためにサーバーを使用しているユーザーの大多数がトリップすることです。
DoHは企業にとって頭痛の種になります
DoHはセキュリティを向上させますが、従業員の活動を監視し、ツールを使用してWebのNSFW(職場では安全ではない)部分をブロックする企業や組織にとっては頭痛の種になります。
ネットワークとシステムの管理者は、新しいプロトコルに対処するのに苦労するでしょう。
DNS-over-HTTPSを使用するとブラウジングが遅くなりますか?
従来のDo53プロトコルに対してパフォーマンスをテストするときに探すべきDoHの2つの側面があります。
- 名前解決のパフォーマンス
- Webページの読み込みパフォーマンス
名前解決のパフォーマンスは、DNSサーバーがアクセスしたいWebサイトの必要なサーバーIPアドレスを提供するのにかかる時間を計算するために使用するメトリックです。
Webページの読み込みパフォーマンスは、DNS-over-HTTPSプロトコルを使用してインターネットを閲覧しているときに速度が低下したかどうかの実際の指標です。
これらのテストは両方ともsamknowsによって実行され、最終的な結果として、DNS-over-HTTPSと従来のDo53プロトコルのパフォーマンスにごくわずかな違いがあります。
あなたは読むことができます samknowsの統計を使用した完全なパフォーマンスのケーススタディ 。
上記で定義した各メトリックの要約表は次のとおりです。 (画像をクリックすると拡大表示されます)
名前解決パフォーマンステスト
DoHとDo53ISPのパフォーマンステーブル
ウェブページの読み込みパフォーマンステスト
DoHとDo53のWebページの読み込みパフォーマンス
Windows10でDNS-over-HTTPSを有効または無効にする方法
Windows 10バージョン2004には、デフォルトでDNS-over-HTTPSが有効になっています。したがって、Windows 10の次のバージョンがリリースされ、最新バージョンにアップグレードすると、DoHを手動で有効にする必要はありません。
ただし、Windows 10 Insider Previewを使用している場合は、次の方法を使用してDoHを手動で有効にする必要があります。
Windowsレジストリの使用
- に移動 実行–> regedit 。これにより、Windowsレジストリエディタが開きます。
- 次のレジストリキーを開きます。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
- 右クリック パラメーター フォルダを選択して選択します 新規–> DWORD(32ビット) 価値。
- それに名前を付けます EnableAutoDoh 。
- EnableAutoDohエントリの値をに設定します 2 。
変更を有効にするには、コンピューターを再起動する必要があります。
この変更は、DNS-over-HTTPSをサポートするDNSサーバーを使用している場合にのみ有効になることに注意してください。以下にあなたがあります DoHをサポートするパブリックDNSプロバイダーのリスト 。
バージョン1909および1903を含む以前のバージョンのWindows10は、デフォルトでDoHをサポートしていません。
グループポリシーの使用
このセクションは将来の使用のために保管しています。現在、DNS-over-HTTPSのグループポリシールールはありません。マイクロソフトがWindows10バージョン2004で利用できるようになったら、手順を入力します。
PowerShellの使用(コマンドライン)
このセクションは将来の使用のために保管しています。 Microsoftがコマンドラインを使用してDoHを有効または無効にする方法を提供している場合は、ここに手順を示します。
ブラウザでDNS-over-HTTPSを有効または無効にする方法
一部のアプリケーションは、システムで構成されたDNSサーバーのバイパスをサポートし、代わりにDNS-over-HTTPSを使用します。最近のほとんどすべてのブラウザは、すでにDoHをサポートしているか、近い将来プロトコルをサポートする予定です。
GoogleChromeでDNS-over-HTTPSを有効にする
- Google Chromeを開き、次のURLにアクセスします。
chrome://settings/security
- 下 高度なセキュリティ 、 オンに切り替えます 安全なDNSを使用する 。
- 安全なDNSを有効にした後、2つのオプションがあります。
- 現在のサービスプロバイダーと
- Googleが推奨するサービスプロバイダーと
自分に合ったものを選ぶことができます。 2番目のオプションは、システムのDNS設定を上書きします。
GoogleChromeで安全なDNSを有効にする
DoHを無効にするには、 安全なDNSを使用する 設定 オフ 。
MozillaFirefoxでDNS-over-HTTPSを有効にする
- Firefoxを開き、次のURLにアクセスします。
about:preferences
- 下 全般的 、に移動します ネットワーク設定 をクリックします 設定 ボタン。または単にを押します と 設定を開くためのキーボードキー。
- 一番下までスクロールして チェック DNS overHTTPSを有効にする 。
- ドロップダウンから、優先する安全なDNSサーバーを選択できます。
MicrosoftEdgeでDNS-over-HTTPSを有効にする
- Microsoft Edgeを開き、次のURLにアクセスします。
edge://flags/#dns-over-https
- 選択する 有効 横のドロップダウンから 安全なDNSルックアップ 。
- 変更を有効にするためにブラウザを再起動します。
OperaブラウザでDNS-over-HTTPSを有効にする
- Operaブラウザを開き、設定(Alt + P)に移動します。
- 拡大 高度 左側のメニューにあります。
- システムの下で、 オンに切り替えます システムのDNS設定の代わりにDNS-over-HTTPSを使用する 。
- 変更を有効にするためにブラウザを再起動します。
セキュアDNS設定は、Operaの組み込みVPNサービスを無効にするまで有効になりませんでした。 OperaでDoHを有効にする際に問題が発生した場合は、VPNを無効にしてみてください。
VivaldiブラウザでDNS-over-HTTPSを有効にする
- Vivaldiブラウザーを開き、次のURLにアクセスします。
vivaldi://flags/#dns-over-https
- 選択する 有効 横のドロップダウンから 安全なDNSルックアップ 。
- 変更を有効にするためにブラウザを再起動します。
AndroidでDNS-over-HTTPSを有効にする方法
Android 9PieはDoH設定をサポートしています。以下の手順に従って、AndroidフォンでDoHを有効にすることができます。
- に移動 設定→ネットワークとインターネット→詳細→プライベートDNS 。
- このオプションを[自動]に設定するか、安全なDNSプロバイダーを自分で指定することができます。
お使いの携帯電話でこれらの設定が見つからない場合は、以下の手順に従ってください。
- QuickShortcutMakerアプリをダウンロードして開きます GooglePlayストアから。
- [設定]に移動して、次をタップします。
com.android.settings.Settings$NetworkDashboardActivity
これにより、安全なDNSオプションが表示されるネットワーク設定ページに直接移動します。
DNS-over-HTTPSを使用しているかどうかをどのように確認しますか?
デバイスまたはブラウザでDoHが正しく有効になっているかどうかを確認する方法は2つあります。
これを確認する最も簡単な方法は、 このcloudflareブラウジング体験チェックページ 。クリック 私のブラウザをチェックしてください ボタン。
Secure DNSでは、DoHを使用している場合、次のメッセージが表示されます。pktmon filter remove
DoHを使用していない場合は、次のメッセージが表示されます。pktmon filter add -p 53
Windows 10バージョン2004は、ポート53パケットをリアルタイムで監視する方法も提供します。これにより、システムがDNS-over-HTTPSを使用しているかレガシーDo53を使用しているかがわかります。
- 管理者権限でPowerShellを開きます。
- 次のコマンドを実行します。
pktmon start --etw -m real-time
これにより、アクティブなフィルターがあれば、すべて削除されます。You are using encrypted DNS transport with 1.1.1.1
これにより、監視およびログに記録されるポート53が追加されます。You may not be using secure DNS.
これは、ポート53のリアルタイム監視から始まります。
リストに多くのトラフィックが表示されている場合、これはDoHの代わりにレガシーDo53が使用されていることを意味します。
上記のコマンドはWindows10バージョン2004でのみ機能することに注意してください。それ以外の場合は、エラーが発生します:不明なパラメーター「リアルタイム」
DoHをサポートするネームサーバーのリスト
DNS-over-HTTPSをサポートするDNSサービスプロバイダーのリストは次のとおりです。
プロバイダー | ホスト名 | IPアドレス |
AdGuard | dns.adguard.com | 176,103,130,132 176,103,130,134 |
AdGuard | dns-family.adguard.com | 176,103,130,132 176,103,130,134 |
CleanBrowsing | family-filter-dns.cleanbrowsing.org | 185,228,168,168 185,228,169,168 |
CleanBrowsing | アダルトフィルター-dns.cleanbrowsing.org | 185.228.168.10 185.228.169.11 |
Cloudflare | one.one.one.one 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 1.0.0.1 |
Cloudflare | security.cloudflare-dns.com | 1.1.1.2 1.0.0.2 |
Cloudflare | family.cloudflare-dns.com | 1.1.1.3 1.0.0.3 |
グーグル | dns.google google-public-dns-a.google.com google-public-dns-b.google.com | 8.8.8.8 8.8.4.4 |
NextDNS | dns.nextdns.io | 45.90.28.0 45.90.30.0 |
OpenDNS | dns.opendns.com | 208.67.222.222 208.67.220.220 |
OpenDNS | familyshield.opendns.com | 208.67.222.123 208.67.220.123 |
OpenDNS | sandbox.opendns.com | 208.67.222.2 208.67.220.2 |
Quad9 | dns.quad9.net rpz-public-resolver1.rrdns.pch.net | 9.9.9.9 149,112,112,112 |
DNS-over-HTTPSはWebをより安全にし、(HTTPSの場合のように)Web全体に均一に実装する必要がありますが、このプロトコルはシステム管理者に悪夢を与えます。
システム管理者は、社内DNSサーバーがDoHを使用できるようにしながら、パブリックDNSサービスをブロックする方法を見つける必要があります。これは、現在の監視機器と制限ポリシーを組織全体でアクティブに保つために実行する必要があります。
記事の内容を見逃した場合は、以下のコメントでお知らせください。この記事が気に入って新しいことを学んだ場合は、友達やソーシャルメディアで共有し、ニュースレターを購読してください。