【初心者向け】Windows／AndroidでDoHを設定してセキュリティを高める方法

このサイトを検索 | Search this site

【初心者向け】Windows／AndroidでDoHを設定してセキュリティを高める方法

DNS: Domain Name System、ドメインネームシステム
ホスト名をグローバルIPアドレスに変換するためのプロトコル

DoH /DNS over HTTPS

WindowsやAndroidは、DNS over HTTPS（DoH）をサポートしています。

DoHが有効な場合、DNSクライアントとDNSサーバー間のDNSクエリは、平文（プレーンテキスト）ではなく、セキュリティで保護されたHTTPS接続を経由します。暗号化された接続を介してDNSクエリを送信することで、悪意のある第三者による傍受から保護されます。

設定が必要です

WindowsまたはAndroidでDoHを利用するには、ユーザー自身で設定を行う必要があります。

通常のDNSクエリはプレーンテキストで送信されるため、悪意のある第三者によって傍受される可能性があります。DoHはラストワンマイルと呼ばれており、インターネット利用時のセキュリティを確保したい場合は、DoH設定を有効にすることが推奨されます。

この記事では、WindowsとAndroidのDoH設定方法を紹介します。

設定情報

日本国内からのインターネットアクセスにおいては、CloudflareのDNSが高速であるというのが一般的な見解です。しかし、実際の応答速度は使用しているネットワーク環境やプロバイダ、地域、時間帯などによって変動するため、一概に「Cloudflareが最速」とは断言できません。

実際に最適なDNSサーバーは、個々の利用環境によって異なる可能性があります。

Windows

＊筆者の環境では、「HTTPS経由のDNS」は IPv4とIPv6 （優先／代替）のどれか一つは「オフ」にしないと設定が完了できなかった。（謎）

[Windows 11]

設定（スタートボタン：右クリック > 設定）
ネットワークとインターネット > Wi-Fi（DoHを設定するネットワーク）
ハードウェアのプロパティ
DNSサーバーの割り当て > 「編集」
設定表を参考にして、設定を完了させる
「HTTPS経由のDNS：オン（自動テンプレート）」を選択する
以上
（DNSサーバーの割り当て）

（DNS設定の編集／IPv4）

Android

AndroidでセキュアDNS（プライベートDNS）を利用する方法は過去記事でまとめているので、ご確認ください。

Google、Cloudflare 以外に利用可能なパブリックDNSの情報は以下の記事で詳しく書いています。

DoH Template (Windows)

DoH Template とは？

「DoH設定に必要なDoH Template」という言葉は、Windows 環境で DNS over HTTPS (DoH) を設定する際に使われます。

DoH Template は、DoH サーバーへの HTTPS リクエストの URL 構造を定義するものです。DoH クライアントは、このテンプレートに基づいて DNS クエリを HTTPS リクエストに変換し、DoH サーバーに送信します。

例えば、Google Public DNS の DoH Template は https://dns.google/dns-query{?dns} のようになっています。クライアントは、DNS クエリを {?dns} の部分に Base64 エンコードして埋め込み、この URL に HTTPS POST または GET リクエストを送信します。

Android は DoH Template の設定は不要

Android は、DoH を設定するためのより抽象化された仕組みを提供しています。Android 9 以降では、設定アプリの「ネットワークとインターネット」> 「プライベート DNS」から、DoH を有効にできます。

Android で DoH を設定する際には、DoH サーバーのホスト名 (例えば、dns.google、one.one.one.one) を指定するだけで済みます。Android OS が内部的に適切な DoH Template を使用して通信を行うため、ユーザーが個別のテンプレートを意識する必要はありません。

つまり、Android はユーザーフレンドリーなインターフェースを提供することで、DoH の複雑な設定を隠蔽していると言えます。

Browser Check

DoHの設定が終わったら、正常に動作しているかチェックしてみましょう。「セキュアSNI」はNGになっても気にしなくてよいそうです。

チェック項目

セキュアDNS
DNSクエリと応答が暗号化されているかどうか
DNSSEC
DNSリゾルバーがDNSSECを使用しているかどうか
TLS 1.3
ページへの接続に使用されているTLSのバージョン
セキュアSNI
ブラウザがEncrypted Client Hello（ECH）を使用したサーバー名表示（SNI）のセキュリティ保護をサポートしているかどうか

External link

Cloudflare Browser Check | Cloudflare

Windows付属のDoHサーバーを確認する方法

PowerShell コマンド：Get-DNSClientDohServerAddress

[スナップショット]

Windows ターミナル

PS C:\> Get-DNSClientDohServerAddress ServerAddress AllowFallbackToUdp AutoUpgrade DohTemplate ------------- ------------------ ----------- ----------- 149.112.112.112 False False https://dns.quad9.net/dns-query 9.9.9.9 False False https://dns.quad9.net/dns-query 8.8.8.8 False False https://dns.google/dns-query 8.8.4.4 False False https://dns.google/dns-query 1.1.1.1 False False https://cloudflare-dns.com/dns-query 1.0.0.1 False False https://cloudflare-dns.com/dns-query 2001:4860:4860::8844 False False https://dns.google/dns-query 2001:4860:4860::8888 False False https://dns.google/dns-query 2606:4700:4700::1001 False False https://cloudflare-dns.com/dns-query 2606:4700:4700::1111 False False https://cloudflare-dns.com/dns-query 2620:fe::9 False False https://dns.quad9.net/dns-query 2620:fe::fe False False https://dns.quad9.net/dns-query 2620:fe::fe:9 False False https://dns.quad9.net/dns-query