ネットワークセキュリティ
DNS over HTTPS(DoH)
別称: DoH
定義
DNS のクエリと応答を暗号化された HTTPS 接続で運ぶプロトコルで、ローカルネットワーク上での盗聴や改ざんから保護する。
DoH(RFC 8484)は標準的な DNS クエリを HTTPS リクエストにラップし、通常はポート 443 を介して対応リゾルバに送信します。トラフィックは一般的な Web 通信に見えるため選択的なブロックが難しく、クライアントとリゾルバ間でエンドツーエンドに暗号化されます。これにより、経路上の攻撃者・キャプティブポータル・ISP が DNS 解決を観察したり書き換えたりすることを防げます。DoH 自体はデータの真正性を検証しません(それは DNSSEC の役割です)が、クエリの機密性は保たれます。企業ではローカル DNS フィルタが回避されるため反対されることもあり、対策として管理リゾルバの強制、既知の公開 DoH エンドポイントの遮断、DDR を用いたセキュア DNS ポリシー配布などが用いられます。
例
- ブラウザを DoH 経由で Cloudflare 1.1.1.1 を利用するよう設定し、OS リゾルバを問わずすべての DNS クエリを暗号化する。
- 端末が DoH で名前解決を行うため、モバイルキャリアは DNS 広告リダイレクトを挿入できない。
関連用語
DNS over TLS (DoT)
DNS over TLS (DoT) — definition coming soon.
DNSSEC
DNS のゾーンデータを暗号署名する拡張仕様で、リゾルバが応答の真正性と完全性を検証できるようにする。
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
中間者攻撃 (MitM)
通信中の双方が直接やり取りしていると信じている間に、攻撃者が通信を密かに中継・改ざんする攻撃。