DNS over TLS (DoT)

Q: DNS over TLS (DoT) とは何ですか?

専用の TLS セッション内で DNS クエリを暗号化し、ネットワーク上での盗聴や改ざんを防ぐプロトコル。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。

監修Florian AmetteCybersecurity entrepreneur & security researcher

DNS over TLS (DoT) とは何ですか?

DNS over TLS (DoT)専用の TLS セッション内で DNS クエリを暗号化し、ネットワーク上での盗聴や改ざんを防ぐプロトコル。

DNS over TLS は RFC 7858 で規定された仕様で、TLS で保護された TCP コネクション(通常はポート 853)を介して通常の DNS メッセージを再帰リゾルバに送ります。TLS によって機密性と完全性が確保されるため、ローカルネットワークや経路上の観察者がクエリを参照したり改ざんしたりすることはできません。DoH と異なり、DoT は独自の well-known ポートを用いるため、ネットワーク側で識別しやすく、許可や遮断の制御も容易です。この特性は企業管理者や家庭用ルーターの開発者にしばしば好まれます。受動的な監視や経路上のなりすましに対抗し、DNSSEC 検証と組み合わせることで機密性と応答の真正性の両方を実現できます。

● 例

01
Android 端末で「プライベート DNS」のホスト名を設定し、すべてのクエリを TLS 経由で送出する。
02
家庭用ルーターが各クライアントのクエリをポート 853 の DoT リゾルバに転送する。

● よくある質問

DNS over TLS (DoT) とは何ですか?

専用の TLS セッション内で DNS クエリを暗号化し、ネットワーク上での盗聴や改ざんを防ぐプロトコル。サイバーセキュリティのネットワークセキュリティカテゴリに属します。

DNS over TLS (DoT) とはどういう意味ですか?

専用の TLS セッション内で DNS クエリを暗号化し、ネットワーク上での盗聴や改ざんを防ぐプロトコル。

DNS over TLS (DoT) からどのように防御しますか?

DNS over TLS (DoT) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

DNS over TLS (DoT) の別名は何ですか?

一般的な別名: DoT, RFC 7858。

● 関連用語

● 関連項目

DNS リーク