パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 10 Insider Preview、DNS over HTTPSがテスト可能に」記事へのコメント

  • (T/O)

    DNSSEC 対応とか経路ハイジャック対策とかは力を入れてくれるでしょうが、セキュリティはそれだけではないですよね。誰がいつどのドメインを問い合わせたという記録が、電気通信事業の規制に掛からない会社に送られているわけです。 User-Agent の情報や TLS Session Ticket も含まれるので、 DNS (over 53) と比べると NAT 越しでも IP アドレスに加えて Web ブラウザひいては利用者を特定できる情報が送られています。
    Public DNS サービスは DNS が速いことを売りにしているようですが、 Web ページの読み込み時間のうち DNS の占める割合はとても小さ

    • by Anonymous Coward

      関連ストーリー [security.srad.jp]より

      DNSクエリを暗号化するDoHに対しては、対応DNSサーバーしか使用できないので集中化が進むといった批判 [it.srad.jp]もみられる。ただし、この問題はDoHの導入が進めば解消し、現在と同様の分散化が維持できる。そのためにはWindowsのようなクライアントOSによるDoHサポートが重要だという。

      警戒するとしたら名前解決に相互運用性のない独自プロトコルを導入して囲い込みを図ろうとすることだろう

      • by Anonymous Coward

        DNS の囲い込みが問題あることは正しいですね。更なる問題は、 DNS over HTTPS のクライアントに直接ネットワーク管理者が DNS サーバの在り処を伝える手段が現時点では存在しないことです。 Chrome も MS と同じような方法を取るようですが、事前に「うちの ISP の DNS サーバはこれです」という情報をブラウザに登録しないといけません。 その登録作業を一体何社に 対してすれば良いのでしょう。 Firefox に至ってはそのような仕組みがありません。 Mozilla が決めた「trusted」なサーバか、自分で about:config を編集するしかありません。そもそも DNS over HTTPS 推進者の言い分が「ISP による不当なブロッキングや捻じ曲げを回避する」なので、特定の(彼らにとって信頼できる) DNS サーバに集中させる方向になるとしか思えません。

        • by Anonymous Coward

          > その登録作業を一体何社に 対してすれば良いのでしょう

          難しくてわからないのですが、記事中のMSのブログは、設定手順でコントロールパネルか設定アプリで対応サーバーを指定するとあります。
          ご家庭のパソコンなら、明示的に設定しないかぎりはレンタルされたモデムとDHCPを経由してISPのDNSサーバーになると思ったのですが、間違ってますでしょうか。

          • by Anonymous Coward on 2020年05月17日 13時06分 (#3816483)

            念のためもう一度書きますと、「DNS over HTTPS のクライアントに直接ネットワーク管理者が DNS サーバの在り処を伝える手段が現時点では存在しない」のが問題です。現状ではごく少数の DNS over HTTPS サーバに囲い込まれることになります。

            MS の実装は、レジストリに「DNS (over 53) のIPアドレス」と「DNS over HTTPS サーバ の URL」のマップを持っています。
            プライマリ/セカンダリ DNS サーバとしてマップにマッチするエントリがあれば、そのエントリを利用して DNS over HTTPS するという仕掛けです。ですので、利用者が DHCP で指定されたアドレスで DNS over HTTPS するには、そのマップに載っている必要があります。一般的な ISP では、 DNS (over 53) の IP アドレスは DHCP による自動設定でしょう。日本国内だけでも ISP は数百社あると思いますが、 MS はそれら全ての DNS サーバをマップに載せてくれるのでしょうか。 Chrome のような Web ブラウザは OS の仕組みを使わずに自前で DNS over HTTPS するようなので、 ISP としては MS に加えて 同じ仕組みを採用している Web ブラウザ各社に対してもマップに登録するよう依頼しなければならなくなります。

            上記の方法とは別に、 MS のブログでは netsh dns add encryption コマンドを使って、レジストリのマップを編集する方法も提供されています。マップに追加しないと使ってくれない仕組みであることは変わらず、結局 ISP ごとに設定を投入する必要があります。オンラインサインアップ CD を配るような時代ではありませんし、「当社の ISP サービスに接続するには下記コマンドを実行して下さい」というのは一般ユーザーには無理でしょう。

            さらに問題になるのが、ご指摘の「レンタルされたモデムとDHCPを経由してISPのDNSサーバー」というケースです。 ISP が頑張って DNS サーバを MS や Chrome に登録してもらったとしても、クライアント PC から見える DHCP サーバで指定された DNS サーバは 192.168.11.1 などモデムの LAN 側 IP アドレスです。「192.168.11.1 の DNS over HTTPS サーバの URL」を一意に決めるのは不可能ですので、この仕組みに乗せることはできません。

            # 現状だと、「DNS に 8.8.8.8 を指定して DNS over HTTPS しよう」というブログ記事が溢れる未来になりそうですね

            親コメント
            • by Anonymous Coward

              > 「DNS over HTTPS サーバ の URL」のマップを持っています

              ここ理解できてなかった。解説ありがとう。
              証明書検証をしたいけど、マップに証明書の情報自体を入れるわけでもないみたいね。

              ISPがDoHをやろうとするなら、DoHクライアントの作りを改修して、
              ・IPはDHCPの配布した値は特別扱い
              ・ホスト名はdohdns.comとかを特別扱い(現状でもルーターなどが独自のホスト名を名乗ることがある)
              ・パスは/dns-query決め打ち
              にすれば行けることは行けると思う。

              > DHCP サーバで指定された DNS サーバは 192.168.11.1 などモデムの LAN 側 IP アドレスです
              これはモデムがルーターを兼ねてる場合だから、必ずしもそうじゃないはず。
              単機能のモデムなんて今時ないかもしれないけど。
              レンタルしてるのがモデム兼ルーターなら、モデム兼ルーター前提の対処ができることにもなる。

              長々と書いたけど、ISPがやるほどの話じゃなさそうだね。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...