デプロイのシナリオ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/03/15 08:19 UTC 版)
「DNS over HTTPS」の記事における「デプロイのシナリオ」の解説
DoHはDNSリゾルバによる再帰的なDNS解決に使用される。リゾルバ(DoHクライアント)はクエリエンドポイントをホストするDoHサーバーへアクセスできる必要がある。 2020年現在[update]、DoHにはオペレーティングシステム (OS) のネイティブサポートが少ないため、ユーザーは追加のソフトウェアのインストールが必要となる場合がある。次の3つの使用方法が一般的である。 アプリケーション内に含まれるDoHの実装を使用する。ビルトインのDoH実装が行われているブラウザでは、OSのDNS機能をバイパスしてクエリを実行することができる。欠点は、設定ミスやその他により、アプリケーションがユーザーにDoHクエリをスキップしたかどうかを通知しない場合があることである。2020年現在[update]、Mozilla FirefoxやGoogle Chrome等で個別の名前解決にDoHを利用したかどうか簡便に知る手段がない。 ローカルネットワークのネームサーバーにDoHプロキシをインストールする。クライアントシステムは従来のDNSを使用してローカルネットワークのネームサーバーにクエリを送り、ネームサーバーは、レスポンスに必要な情報をインターネット上のDoHサーバーへDoHを使用してアクセスし取得する。この手法はエンドユーザーに対して透過的である。欠点は、サーバ構築管理が容易でないこと、ブロードバンドルータ等への実装が普及しない事などである。 ローカルシステムにDoHプロキシをインストールする。OSをローカルで動作するDoHプロキシにクエリを送るように設定する。1つ前の手法と比べると、DoHを使用したいすべてのシステムにインストールする必要があり、大規模な環境では多くの作業が必要になる可能性がある。 DoHリゾルバプラグインをOSにインストールする。前者と同様に、DoHリゾルバプラグインをOSに組み込んで設定する。OS側がそのようなプラグインのインストールに対応している必要がある。DoHを使用したいすべてのシステムにインストールする必要があるのも前者と同様。 これらすべてのシナリオにおいて、DoHクライアントは権威ネームサーバーに対していかなるクエリも直接行わない。その代わりに、DoHサーバーは従来のポートを使用したクエリを発行し、最終的に権威サーバーに到達する。そのため、DoHはエンドツーエンド暗号化プロトコルではなく、ホップ間の暗号化を行うもので、DNS over TLSが一貫して使用された場合に限られる。
※この「デプロイのシナリオ」の解説は、「DNS over HTTPS」の解説の一部です。
「デプロイのシナリオ」を含む「DNS over HTTPS」の記事については、「DNS over HTTPS」の概要を参照ください。
- デプロイのシナリオのページへのリンク