何が改善されうるのか
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/03/15 08:19 UTC 版)
「DNS over HTTPS」の記事における「何が改善されうるのか」の解説
セキュリティの向上に加えて、性能の向上もDNS over HTTPSの目的の1つであると言われる。しかし、これはDoHに本質的なものではなく、むしろプロトコル・オーバヘッド自体は従来のDNSクエリよりも暗号化やhttpsセッション管理の分悪化しうる。性能の向上と言うのは、現状の選択肢の上ではサービス利用上の前提となるパブリックDNSサーバー(英語版)の利用に伴うものが主張されている。ISPが提供するDNSリゾルバは(貧弱なものでは)75パーセンタイルで181ミリ秒掛かっていると言う調査があり、遅いため、1つのウェブページで10以上の名前解決が必要とされる今日では、ユーザのウェブ体験におけるレスポンスが悪化する場合が有り、問題となっている。パブリックDNSサーバーではそのような点において、ISP提供のDNSサーバのそれと比較した速度・レスポンスの改善に訴求点を置いていた。 しかし、中間者攻撃などによるDNSスプーフィングやドメイン名ハイジャック等の諸攻撃の脅威が現実味を帯びた2000年代後半以降は、レスポンス性能は重要な訴求では無くなった。例えば、ISPのDNSサービスに直接、従来のDNSクエリを投げる場合と比べて、パブリックDNSサーバー(英語版)へ直接、従来のDNSクエリを投げる場合には、ISP事業者外のネットワークを平文で通過するため、そのクエリ自体に中間者攻撃などに遭うリスクが増加する。よって、何らかの理由によりパブリックDNSサーバーを利用するのであれば、DoH/DoTを使用した方がセキュリティ上は望ましいと考えられる。 ISPのDNSサービスの品質が相当悪くない限り(そしてそれは国やISP事業者にもよるが少ない)、ネットワークホップ数上、近くにあるISPのDNSサーバーの方が。概ねホップ数の多いパブリックDNSサーバーよりも有利である事が多い。これは、そのパブリックDNSサービスプロバイダ(英語版)のロードバランス方針およびユーザと実リゾルバ間のネットワーク上の距離に依存する(なお、ISPのDNSサーバーもロードバランス方針については同じ立場にある)。 なお、公衆Wi-Fiその他ネットワーク層レベルで信頼性の低いものを利用するケースなど、盗聴やなりすましのリスクが常にある環境においては、従来のDNSクエリ方式では平文でやり取りされるため、中間者攻撃などに遭うリスクが増加する事になる。あるいは、接続先のネットワークでデフォルト提供されるDNSリゾルバに信頼性その他問題がある場合もある。これらの場合もDoH/DoTを使用した方がセキュリティ上は望ましい場合がある。
※この「何が改善されうるのか」の解説は、「DNS over HTTPS」の解説の一部です。
「何が改善されうるのか」を含む「DNS over HTTPS」の記事については、「DNS over HTTPS」の概要を参照ください。
- 何が改善されうるのかのページへのリンク
