DNSSEC 対応とか経路ハイジャック対策とかは力を入れてくれるでしょうが、セキュリティはそれだけではないですよね。誰がいつどのドメインを問い合わせたという記録が、電気通信事業の規制に掛からない会社に送られているわけです。 User-Agent の情報や TLS Session Ticket も含まれるので、 DNS (over 53) と比べると NAT 越しでも IP アドレスに加えて Web ブラウザひいては利用者を特定できる情報が送られています。 Public DNS サービスは DNS が速いことを売りにしているようですが、 Web ページの読み込み時間のうち DNS の占める割合はとても小さ
Google/Cloudflare/IBM に情報を握られる (スコア:1)
(T/O)
DNSSEC 対応とか経路ハイジャック対策とかは力を入れてくれるでしょうが、セキュリティはそれだけではないですよね。誰がいつどのドメインを問い合わせたという記録が、電気通信事業の規制に掛からない会社に送られているわけです。 User-Agent の情報や TLS Session Ticket も含まれるので、 DNS (over 53) と比べると NAT 越しでも IP アドレスに加えて Web ブラウザひいては利用者を特定できる情報が送られています。
Public DNS サービスは DNS が速いことを売りにしているようですが、 Web ページの読み込み時間のうち DNS の占める割合はとても小さ
Re: (スコア:0)
ツッコミどころ満載ですね
User-Agent は送る必要がない
(なんでワザワザ利用者が特定できる情報を送るんですか?)
TLS Session Ticketはランダムなものをつかうから、NAT越しなら、利用者までは特定できない
(あなたはTLSの仕組みを誤解しています。
あなたの考えているSession Ticketの使い方だと TLSを使う全てのアプリで利用者が特定できてしまいます)
Public DNS サービスを使って速くなるか遅くなるかは実際に測ってみれば済むことで
タラレバを言っても意味がない(速くなることもあれば遅くなることもある。だから何?)
Re:Google/Cloudflare/IBM に情報を握られる (スコア:0)
User-Agent について、 Firefox でも半年前まで送っていました (https://bugzilla.mozilla.org/show_bug.cgi?id=1543201) HTTP(S) 処理を既存の Web ブラウザのコードを使い回せば楽になるという発想があるので、あえて User-Agent を送らないようにするというコードを書かないといけない。他のクライアントは知りませんが、少なくとも Firefox は不注意な実装だったのは事実ですね。
Session Ticket は Webサーバが送った ticket をブラウザが次回接続時に返してくれるので、トラッキングに使えるのでは? (https://svs.informatik.uni-hamburg.de/publications/2018/2018-12-06-Sy-ACSAC-Tracking_Users_across_the_Web_via_TLS_Session_Resumption.pdf)
DNS にかかる時間だけ見せるアンフェアな宣伝ではなく、 Alexa の上位いくつかで、世界各地からのページロード時間を示せばよろしい。これは DNS over HTTPS を日本国内の ISP が皆サポートすれば良い、というご指摘であればその通りごもっともです。