メールマガジン

  1. サーバ構築のデージーネットTOP
  2. メールマガジン
  3. DNS over HTTPS/TLSとdnsdist

DNS over HTTPS/TLSとdnsdist

OSS研究室 加茂 智之

今回はDNS over HTTPS/TLSについて、およびdnsdistでの利用についてご紹介いたします。

DNS over HTTPS/TLSとは

DNSの問い合わせは、大雑把に言うと「クライアントがキャッシュDNSサーバに問い合わせ、キャッシュDNSサーバが権威DNSサーバに問い合わせる」という流れで行なわれます。

これまでこれらの通信は平文で行なわれてきたため、通信を傍受されるとユーザがどのホスト名のサーバにアクセスしようとしているかが漏れてしまう危険がありました。クライアントがキャッシュDNSサーバに問い合わせる部分をHTTPS通信の中を通したり、TLSを利用することにより暗号化し、通信を傍受されてもアクセス先ホスト名がわからないようにしよう、というプロトコルが提案されています。それがDNS over HTTPS(DoH)やDNS over TLS(DoT)です。

現在、CloudflareやGoogleなどがDoHやDoTの公開サービスを提供しており、クライアントが対応していればすぐに試すことが可能です。

dnsdistとは

公開サービスを使うのではなく自前でDoHやDoTのサーバを構築したい場合、dnsdistが利用できます。たとえば、不特定の人が使用する無線AP用のキャッシュDNSサーバを立てる、といった場合は、自前のDoHやDoTのサーバの構築を検討することも考えられるでしょう。

dnsdistは、DNSの負荷分散やルーティングを行うサーバソフトウェアです。UnboundやPowerDNSなどの通常のDNSサーバのフロントエンドとして立ち、DNS問い合わせを同じ設定のDNSサーバに振り分けたり、一定のルールに従って異なる設定のDNSサーバに振り分けたりできます。「リバースプロキシサーバのDNS版」とお考えいただくとわかりやすいかと思われます

dnsdistにはDoHやDoTでの問い合わせを受け付け、バックエンドのDNSサーバに通常のDNSで問い合わせを転送する機能があります。簡単な設定でDoHやDoTサービスを提供することができます。

DoH/DoTの現状

このようなDoH/DoTですが、有効に利用するのはなかなか難しいというのが現状です。

まず対応したクライアントが限られています。PCのブラウザについては、Microsoft Edge(Chromium 版)、Google Chrome、Firefoxの最新版でDoHは利用可能です。いずれもDoTには対応していません。Androidでは Chromeを使用すれば、DoHは利用可能です。Android 9以降であればDoTが利用可能ですが、実用性に難があるとの報告もあります。(https://eng-blog.iij.ad.jp/archives/5298#dns_over_tls%e3%81%a8%e9%81%85%e5%bb%b6外部サイトへ
iPhoneではDoHやDoTが利用可能ですが、プロファイルを作成してインストールする必要があり、設定は難しい状況です。

また、本当に通信先を秘匿できるのかという問題もあります。秘匿したい通信を行う場合、HTTPSが使われることが多いでしょうが、HTTPSでは通信開始時にアクセス先ホスト名を平文で流すという仕様となっています。このため、通信を傍受されるとDNSだけ暗号化しても、HTTPSから通信先ホスト名が漏れてしまいます。この部分を暗号化する仕組み(Encrypted Client Hello)も提案されていますが、現状では普及しておらず、サーバとブラウザの双方の対応を待つ必要があります。

デージーネットの取り組み

DNS over HTTPSやDNS over TLSは現状では提案段階であり有効活用は難しいですが、プライバシー保護の手段として今後の展開が期待されています。デージーネットでは、引き続き動向を見守っていく予定です。

関連ページ

用語集「DNS over HTTPS/TLSとは」

用語集(DNSoverHTTPS/TLS)

ここではDNS over HTTPS/TLSについて、DoHとDoTの違い、安全性や利用環境について説明をしています。

デージーネットからのお知らせ

【Webセミナー】社員教育や営業でも利用できる!OSSの動画配信システムの導入セミナーを無料で開催いたします。

テレワークが普及したことで、動画の活用用途が広がっています。Web会議や研修などでは、動画を録画することができるようになりました。動画をきちんと管理・共有することができれば、リモートワークでの業務効率を大きく改善することができます。今回は、動画の保管・共有することができるオープンソースソフトウェアの動画配信システムAVideoを紹介します!弊社がAVideoをどう活用しているのか事例を交えて紹介します。

  • 日程:2021年3月19日(金)
  • 時間:15:00 〜 16:00(ログイン可能時間14:50 〜)
  • 定員:50名

お申込みはまだ間に合います!ぜひこの機会にご参加ください。

お申し込みフォーム↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=52

無料資料ダウンロードの【Apache Guacamole調査報告書 1.02版】にWake on LAN(WoL)の設定について追記をしました。

https://www.designet.co.jp/download/#remotework

無料資料ダウンロードに【DNS over HTTPS/TLS調査報告書】を掲載しました。

DNS over HTTPS(DoH)やDNS over TLS(DoT)とは、クライアントがキャッシュDNSサーバに問い合わせる部分をHTTPS通信の中を通したりTLSを利用することにより暗号化し、通信を傍受されてもアクセス先ホスト名がわからないようにするプロトコルです。本書では、DNS over HTTPSやDNS over TLSとそれをとりまく現状について、およびdnsdistを用いてDNS over HTTPSサーバやDNS over TLSサーバを構築する手順についてまとめたものです。

https://www.designet.co.jp/download/#dns

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker外部サイトへ

次へ(システム導入事例)

デージーネットマガジン2021年3月号記事一覧

DNS over HTTPS/TLSとdnsdistの先頭へ