DNS over HTTPS 諸問題ほか

ウィキペディア

DNS over HTTPS

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/10/08 01:31 UTC 版)

諸問題ほか

サポート面

現状（2020年現在）まで、DoHの有効化設定にはOSやクライアントでユーザが積極的にインストールや設定をする必要があり^{[注 6]}、DHCP/DHCPv6などによる端末側自動設定などの仕組みは標準化されていない。

何が改善されうるのか

セキュリティの向上に加えて、性能の向上もDNS over HTTPSの目的の1つであると言われる^[30]。しかし、これはDoHに本質的なものではなく、むしろプロトコル・オーバヘッド自体は従来のDNSクエリよりも暗号化やhttpsセッション管理の分、悪化しうる。性能の向上というのは、現状の選択肢の上ではサービス利用上の前提となるパブリックDNSサーバー（英語版）の利用に伴うものが主張されている^[30]。ISPが提供するDNSリゾルバは（貧弱なものでは）75パーセンタイルで181ミリ秒掛かっているという調査があり、遅いため、1つのウェブページで10以上の名前解決が必要とされる今日では、ユーザのウェブ体験におけるレスポンスが悪化する場合があり、問題となっている^[30]。パブリックDNSサーバーではそのような点において、ISP提供のDNSサーバのそれと比較した速度・レスポンスの改善に訴求点を置いていた。

しかし、中間者攻撃などによるDNSスプーフィングやドメイン名ハイジャック等の諸攻撃の脅威が現実味を帯びた2000年代後半以降は、レスポンス性能は重要な訴求では無くなった。例えば、ISPのDNSサービスに直接、従来のDNSクエリを投げる場合と比べて、パブリックDNSサーバー（英語版）へ直接、従来のDNSクエリを投げる場合には、ISP事業者外のネットワークを平文で通過するため、そのクエリ自体に中間者攻撃などに遭うリスクが増加する。よって、何らかの理由によりパブリックDNSサーバーを利用するのであれば、DoH/DoTを使用した方がセキュリティ上は望ましいと考えられる^{[3][注 7]}。

ISPのDNSサービスの品質が相当悪くない限り（そしてそれは国やISP事業者にもよるが少ない）、ネットワークホップ数上、近くにあるISPのDNSサーバーの方が。概ねホップ数の多いパブリックDNSサーバーよりも有利である事が多い。これは、そのパブリックDNSサービスプロバイダ（英語版）のロードバランス方針およびユーザと実リゾルバ間のネットワーク上の距離に依存する（なお、ISPのDNSサーバーもロードバランス方針については同じ立場にある）。

公衆Wi-Fiその他ネットワーク層レベルで信頼性の低いもの^{[注 8]}を利用するケースなど^{[注 9]}、盗聴やなりすましのリスクが常にある環境においては、従来のDNSクエリ方式では平文でやり取りされるため、中間者攻撃などに遭うリスクが増加する事になる。あるいは、接続先のネットワークでデフォルト提供されるDNSリゾルバに信頼性その他問題がある場合もある。これらの場合もDoH/DoTを使用した方がセキュリティ上は望ましい場合がある^{[3][注 10]}。

ポリシーと批判

DoHは、IPアドレスやServer Name Indication（SNI）などの、HTTPSリクエストの暗号化されていない部分からまだ取得できる情報だけを暗号化していることから、誤った意味のセキュリティを提供するものであると主張されてきた^[31][32]。

また、現在のウェブブラウザのDoHの実装はサードパーティのDNSプロバイダに依存しているため、DNSの非中央集権的な性質とは逆であり、プライバシーの問題がある。OpenBSDは、FirefoxのビルドでCloudflareのサービスがデフォルトで使われているという理由で、DoHをデフォルトで無効化した^[33]。

Google Chromeでは、ユーザーが選んだDNSプロバイダがDoHをサポートしている場合にのみDoHを使用するが、アメリカのISPからは、ユーザーにGoogle Public DNSサービスの使用を強制することになると非難された^[34][35]。

セキュリティ面

DoHは、サイバーセキュリティのために実施されているDNSトラフィックの解析や監視から逃れて隠れる手段を提供する。2019年、DDoSワームのGodulaは、command-and-controlサーバーへの接続を隠すためにDoHを利用した^[32]。DoHは、コンテンツフィルタリングソフトウェアやエンタープライズのDNSポリシーに対するバイパスとなる可能性が論じられている。

コンテンツのフィルタリング政策面

イギリスのISPを代表する業界団体のInternet Watch Foundation（英語版）とInternet Service Providers Association（英語版）（ISPA）は、広く使われているFirefoxウェブブラウザを開発しているMozillaとGoogleに対して、DoHのサポートにより、ISPデフォルトの成人向けコンテンツのフィルタリングや裁判所の命令による著作権侵害サイトの強制フィルタリングなどのイギリスのウェブブロッキング（英語版）プログラムが弱体化してしまう恐れがあると非難した。ISPAは2019年にMozillaに「インターネットの敵（Internet Villain）」賞を（EUのデジタル単一市場における著作権に関する指令とDonald Trumpとともに）与えた。受賞理由は「イギリスのフィルタリングの義務とペアレンタル・コントロールをバイパスするDNS-over-HTTPSの導入により、イギリスのインターネットの安全基準を劣化させた」というものである。MozillaはISPAの主張に対して、DoHはフィルタリングを妨げるものではなく、「ISPの業界団体が、数十年前の古くなったインターネットインフラの改善に対して誤った判断をしていることに驚き、残念に思う」と述べた^[36][37]。この批判に対してISPAは謝罪し、ノミネートを取り下げた^[38][39]。Mozillaはその後、関連するステークホルダーとの十分な議論が行われるまではイギリスではDoHを使用しないようにすると発表したが、「イギリスにも現実のセキュリティ上の恩恵を提供できるはずだ」と述べている^[40]。

プライバシー追跡面

従来のDNSクエリの場合、DNSリゾルバ側からは、スタブリゾルバ（多くの場合、組織内のルーター）のIPアドレス以外は見えないため、実際のクエリをリクエストした端末やユーザを固有追跡する事は困難であった（IPv6でも、端末側で一時アドレスを利用すれば、ネットワークアドレス以外の追跡は困難である）^[3]。

しかしDoH/DoTにおいては、HTTPSによりTLSセッションが維持され続けるため、DNSリゾルバ側から端末単位でクエリの追跡が原理上可能となる。さらにTLSの仕様上、IPアドレス（ネットワーク上の場所）に変化があっても同一のTLSセッションを再開できるため、端末単位の追跡が容易となる^[3]。

また、DoH/DoTセッションでクライアント（例えばWebブラウザ）側が渡す user-agent ヘッダその他の情報もユーザ追跡上重要な情報となり得る。さらにDoHセッション毎にcookieの設定も理論上は可能である（実装上は不明）^[3]。

以上の問題は、ユーザ側とDNSフルリゾルバ（現状ではサービス利用上選択肢前提となるパブリックDNSサーバー（英語版））間の、クエリに関するデータ利用・プライバシーポリシーに完全に依存する^[3]。

脚注

注釈

1. ^ むしろ名前解決はネットワークアプリケーションの主要な動機の1つであり、OSはその手段の1つをAPIとして提供しているに過ぎない。この場合は、アプリケーションが自発的にDoHに接続するものであり、OS内部で何らかのバイパス機構を組み入れる訳ではない。
2. ^ なお、DoH/DoTへの接続設定に関し、ホスト名またはホスト名を含むURLが指定される場合が多いが、その場合、DoH/DoTサーバーへの接続にはOS経由の名前解決が必須となる。
3. ^ ここでは、OSによる名前解決という意味である。OSによって従来のDNSクエリ（ポート53/DNS）、あるいはOSが対応していればポート853/DoTによる。さらにここでは、そのOSによる名前解決のリゾルバにローカルネットワークのネームサーバーを指定する前提である。
4. ^ 他に従来のDNSクエリモード、あるいは指定されたDoT対応DNSサーバへのDoTクエリ専用モード（この場合接続できないと名前解決失敗となる）がある。
5. ^ IIJではあくまでも試験的サービスという位置づけである（開始 - 2021年1月現在）。
6. ^ ただし、Android 9以降では、DoTが自動設定されている。また、Google ChromeでもセキュアDNSがデフォルトONとなっている。ただし、これらの設定で具体的にどのDoH/DoTサーバに接続を試み、または従来のDNSクエリにフォールバックするのかは明らかになっていない。
7. ^ なお、DoH/DoTへの接続設定に関し、ホスト名またはホスト名を含むURLが指定される場合が多いが、その場合、DoH/DoTサーバーへの接続にはOS経由の名前解決が必須となる。そのため、設定や環境によっては、DoH/DoTサーバーの名前解決に対する中間者攻撃のリスクが残ったり、それ自体にDNSブロッキングが掛かる場合がある（従来のDNSクエリ方式では、DNSサーバのIPアドレスを直接設定する）。
8. ^ 他には、宿泊施設/集合住宅等提供/ゲスト借用のWi-Fiアクセスポイント経由、あるいは宿泊施設/集合住宅等提供の有線LAN経由インターネット、さらには十分に保護されていないFTTx(FTTB)その他の共用インターネット施設サービスが想定される。なお、ユーザ個宅まで直接光ケーブルを引き込むFTTH(FTTP)では、光ファイバー経路上は通常暗号化されており、このような問題は無い。
9. ^ なお、モバイルネットワーク経由の場合は、通常のモバイル事業者(ISP)であれば、適切に当該ISPのDNSサーバーにクエリするよう設定されるため、この問題は無い。
10. ^ なお、DoH/DoTへの接続設定に関し、ホスト名またはホスト名を含むURLが指定される場合が多いが、その場合、DoH/DoTサーバーへの接続にはOS経由の名前解決が必須となる。よって、設定や環境によっては、DoH/DoTサーバーの名前解決に対する中間者攻撃のリスクが残ったり、それ自体にDNSブロッキングが掛かる場合がある（従来のDNSクエリ方式では、DNSサーバのIPアドレスを直接設定する）。

出典

1. ^ ^{a b} Chirgwin, Richard (2017年12月14日). “IETF protects privacy and helps net neutrality with DNS over HTTPS” (英語). https://www.theregister.co.uk/2017/12/14/protecting_dns_privacy/ 2018年3月21日閲覧。 
2. ^ Chirgwin, Richard. “IETF protects privacy and helps net neutrality with DNS over HTTPS” (英語). www.theregister.com. 2021年1月20日閲覧。
3. ^ ^{a b c d e f g h i j} 山口崇徳 (2020). “public DNSとプライバシー”. JANOG45 meeting. 
4. ^ Hoffman. “RFC 8484 - DNS Queries over HTTPS” (英語). datatracker.ietf.org. 2018年5月20日閲覧。
5. ^ ^{a b} Hoffman. “draft-ietf-doh-dns-over-https-08 - DNS Queries over HTTPS” (英語). datatracker.ietf.org. 2018年5月20日閲覧。
6. ^ “Experimenting with same-provider DNS-over-HTTPS upgrade” (英語). Chromium Blog. 2019年9月13日閲覧。
7. ^ Deckelmann. “What's next in making Encrypted DNS-over-HTTPS the Default” (英語). Future Releases. 2019年9月13日閲覧。
8. ^ “About” (英語). Encrypted DNS Deployment Initiative. 2019年9月13日閲覧。
9. ^ Lovejoy, Ben (2020年12月8日). “Apple and Cloudflare team up to protect your web privacy” (英語). 9to5Mac. 2020年12月9日閲覧。
10. ^ Gallagher (2019年11月19日). “Microsoft says yes to future encrypted DNS requests in Windows” (英語). Ars Technica. 2019年11月20日閲覧。
11. ^ “Get Started | Public DNS” (英語). Google Developers. 2021年1月25日閲覧。
12. ^ Brinkmann, Martin (2019年3月21日). “AdGuard 3.0 for Android: Redesign, Stealth Mode, Custom Filter Lists”. Ghacks Technology News. https://www.ghacks.net/2019/03/21/adguard-3-0-for-android-redesign-stealth-mode-custom-filter-lists/ 2019年8月2日閲覧。 
13. ^ Orr, Andrew (2019年7月13日). “AdGuard 3 Brings DNS Privacy, 250,000 Filter Rules, Premium Features”. The Mac Observer, Inc.. https://www.macobserver.com/cool-stuff-found/adguard-3-update/ 2019年8月2日閲覧。 
14. ^ Davenport, Corbin (2018年12月29日). “AdGuard officially releases its own DNS service, and it works with Android Pie”. Android Police (Illogical Robot LLC). https://www.androidpolice.com/2018/12/29/adguard-officially-releases-its-own-dns-service-and-it-works-with-android-pie/ 2019年8月1日閲覧。 
15. ^ Cimpanu. “Cloudflare launches Android and iOS apps for its 1.1.1.1 service” (英語). ZDNet. 2018年12月13日閲覧。
16. ^ “DNS over HTTPS”. Argo Tunnel. Cloudflare. 2019年7月20日閲覧。
17. ^ “DoH in curl”. 2019年12月7日閲覧。
18. ^ “DNSCrypt-proxy v2.0” (2019年8月5日). 2019年12月7日閲覧。
19. ^ “DNSP” (2019年7月22日). 2019年12月7日閲覧。
20. ^ “DNS over HTTPS PHP Client” (2019年8月3日). 2019年12月7日閲覧。
21. ^ “Trusted Recursive Resolver” (html). Mozilla (2019年9月15日). 2019年9月12日時点のオリジナルよりアーカイブ。2019年9月15日閲覧。 “All preferences for the DNS-over-HTTPS functionality in Firefox are located under the `network.trr` prefix (TRR == Trusted Recursive Resolver). The support for these were added in Firefox 62.”
22. ^ “Improving DNS Privacy in Firefox”. 2019年12月7日閲覧。
23. ^ “Go DoH Proxy Server”. 2019年12月7日閲覧。
24. ^ “Intra on Play Store”. 2019年12月7日閲覧。
25. ^ “GitHub - dimkr/NSS-TLS: A DNS over HTTPS resolver for glibc.” (2019年8月2日). 2019年12月7日閲覧。
26. ^ “DNS over HTTPS C# Client” (2019年7月18日). 2019年12月7日閲覧。
27. ^ “nextdns”. www.nextdns.io. 2019年7月13日閲覧。
28. ^ “Nebulo - DNS over HTTPS/TLS - Apps on Google Play”. 2019年12月7日閲覧。
29. ^ “DNS over HTTPS Implementations” (英語) (2018年4月27日). 2018年4月27日閲覧。
30. ^ ^{a b c} Chirgwin, Richard (2017年12月14日). “IETF protects privacy and helps net neutrality with DNS over HTTPS” (英語). https://www.theregister.co.uk/2017/12/14/protecting_dns_privacy/ 2018年3月21日閲覧。 
31. ^ “A Controversial Plan to Encrypt More of the Internet” (英語). Wired. ISSN 1059-1028. https://www.wired.com/story/dns-over-https-encrypted-web/ 2019年11月19日閲覧。 
32. ^ ^{a b} Cimpanu. “DNS-over-HTTPS causes more problems than it solves, experts say” (英語). ZDNet. 2019年11月19日閲覧。
33. ^ “Google Unveils DNS-over-HTTPS (DoH) Plan, Mozilla's Faces Criticism” (英語). BleepingComputer. 2019年9月14日閲覧。
34. ^ Tung. “DNS over HTTPS: Google hits back at 'misinformation and confusion' over its plans” (英語). ZDNet. 2019年11月19日閲覧。
35. ^ Lee (2019年9月30日). “Why big ISPs aren’t happy about Google’s plans for encrypted DNS” (英語). Ars Technica. 2019年11月19日閲覧。
36. ^ Cimpanu. “UK ISP group names Mozilla 'Internet Villain' for supporting 'DNS-over-HTTPS'” (英語). ZDNet. 2019年7月5日閲覧。
37. ^ “Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature” (英語). TechCrunch. 2019年7月19日閲覧。
38. ^ “British ISPs fight to make the web LESS secure” (英語). IT PRO. 2019年9月14日閲覧。
39. ^ Patrawala (2019年7月11日). “ISPA nominated Mozilla in the “Internet Villain” category for DNS over HTTPs push, withdrew nominations and category after community backlash” (英語). Packt Hub. 2019年9月14日閲覧。
40. ^ Hern, Alex (2019年9月24日). “Firefox: 'no UK plans' to make encrypted browser tool its default” (英語). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2019/sep/24/firefox-no-uk-plans-to-make-encrypted-browser-tool-its-default 2019年9月29日閲覧。