ChromeでDoHを利用する方法|DNS over HTTPS

このサイトを検索 | Search this site
DNSアイコン
DNS1DNS2
OpenDNS208.67.222.222208.67.220.220
Cloudflare1.1.1.11.0.0.1
Google8.8.8.88.8.4.4


Google Chrome 83からDNS-over-HTTPS (DoH) を利用できるようになりました。(Chromium blog

[DoHサービスを提供している会社]
  • CISCO (OpenDNS)
  • Google
  • Cloudflare
  • IIJ
  • ... など

出典:DNS over HTTPS (aka DoH) - The Chromium Projects
DoH%2BProviders


DoHとは?

DoHは、DNSサーバーへのアクセスをHTTPS化する技術です。
ラストワンマイルと言われています。

[条件]
  1. DNSサーバがDoHに対応していること
  2. ChromeなどのブラウザがDoHに対応していること

日本国内で初めてDoHに対応したプロバイダはIIJです。
2019年5月8日に試験運用を開始しています。

ラストワンマイル

DNS:Domain Name System:ドメインネームシステム

DNSはドメイン名とIPアドレスのデータベースです。

URL文字列をIPアドレスに変換する重要な仕事をしています。

ブラウザとWebサーバ間の通信はTLS化の流れで動いており、ChromeはSSL通信を優先するよう仕様変更されました。(URLがhttpで始まるサイトでも、先ずは、httpsへの接続を試みる)

ところが、

DNSサーバへの問い合わせはUDPプロトコルを使用した平文通信です。

この暗号化されていない状態をラストワンマイルといいます。

[プロトコル]
  1. Chromeのオムニボックスに www.google.com と入力する
  2. DNSサーバへ問い合わせを行いIPアドレスを取得する(UDP) ← ラストワンマイル
  3. DNSサーバの回答に従い 172.217.161.228 へアクセスする
  4. ウェブページ (www.google.com) が表示される

プロトコル2は平文で通信しているので、DNSリークなどの脅威にさらされる可能性があります。

ChromeでDoH

[手順]
  1. chrome://settings/security
  2. ドロップダウンリストからDNSプロバイダを選択する
  3. 終了

スナップショット

chrome-settings-security

まとめ

  • ラストワンマイルのセキュリティを確保する手段として、DoHを利用する方法がある。
  • Chrome 84はデフォルトでDoHへのアクセスを試みる仕様になっているが、明示的にDoHサーバを指定した方がよい。
  • Google Public DNS、Cloudflare DNSはDoHをサポートしている。
  • 日本ではIIJがDoHをサポートしている。
  • OpenDNSはCISCOが運営しているDoHサービス。

検証:Chrome 84.0.4147.125
SC2
ブログサークルSNS
クリックして応援してね!
人気ブログランキングPVアクセスランキング にほんブログ村ブログランキング・にほんブログ村へ

このサイトを検索 | Search this site