DNS1 | DNS2 | |
OpenDNS | 208.67.222.222 | 208.67.220.220 |
Cloudflare | 1.1.1.1 | 1.0.0.1 |
8.8.8.8 | 8.8.4.4 |
Google Chrome 83からDNS-over-HTTPS (DoH) を利用できるようになりました。(Chromium blog)
[DoHサービスを提供している会社]
- CISCO (OpenDNS)
- Cloudflare
- IIJ
- ... など
出典:DNS over HTTPS (aka DoH) - The Chromium Projects
DoHとは?
DoHは、DNSサーバーへのアクセスをHTTPS化する技術です。ラストワンマイルと言われています。
[条件]
- DNSサーバがDoHに対応していること
- ChromeなどのブラウザがDoHに対応していること
日本国内で初めてDoHに対応したプロバイダはIIJです。
2019年5月8日に試験運用を開始しています。
ラストワンマイル
DNS:Domain Name System:ドメインネームシステム
DNSはドメイン名とIPアドレスのデータベースです。
URL文字列をIPアドレスに変換する重要な仕事をしています。
ブラウザとWebサーバ間の通信はTLS化の流れで動いており、ChromeはSSL通信を優先するよう仕様変更されました。(URLがhttpで始まるサイトでも、先ずは、httpsへの接続を試みる)
ところが、
DNSサーバへの問い合わせはUDPプロトコルを使用した平文通信です。
この暗号化されていない状態をラストワンマイルといいます。
[プロトコル]
- Chromeのオムニボックスに www.google.com と入力する
- DNSサーバへ問い合わせを行いIPアドレスを取得する(UDP) ← ラストワンマイル
- DNSサーバの回答に従い 172.217.161.228 へアクセスする
- ウェブページ (www.google.com) が表示される
プロトコル2は平文で通信しているので、DNSリークなどの脅威にさらされる可能性があります。
ChromeでDoH
[手順]- chrome://settings/security
- ドロップダウンリストからDNSプロバイダを選択する
- 終了
スナップショット
まとめ
- ラストワンマイルのセキュリティを確保する手段として、DoHを利用する方法がある。
- Chrome 84はデフォルトでDoHへのアクセスを試みる仕様になっているが、明示的にDoHサーバを指定した方がよい。
- Google Public DNS、Cloudflare DNSはDoHをサポートしている。
- 日本ではIIJがDoHをサポートしている。
- OpenDNSはCISCOが運営しているDoHサービス。
External link
検証:Chrome 84.0.4147.125
:SC2
このサイトを検索 | Search this site