Windows 11で可能になったパブリックDNS利用時のDoHによる暗号化を試す
DoHがネットワークアダプターの設定に登場
従来のWindows 10では、Edgeのオプション設定として用意されていたDoHが、Windows 11ではネットワークアダプターの設定として利用可能になった。
Windows 11で利用可能になったアダプターごとのDoH設定。有効にした場合、DNSの項目が「暗号化されています」と表示されるこれにより、Edge以外のウェブブラウザーやアプリでも名前解決にDoHが利用できるようになり、パブリックDNSを利用した名前解決を暗号化できるようになった。
DoHは、HTTPSの仕組みを利用して、DNSの問い合わせや応答を暗号化する仕組みだ。従来のDNSでは、「watch.impress.co.jp」というホスト名から実際に通信するための宛先となる「202.218.128.207」というIPアドレスを知るために、「watch.impress.co.jp」というホスト名を平文のままDNSサーバーに送信する仕組みとなっていた。これを暗号化しようというわけだ。
従来のDNSとDoHによる暗号化DNSの通信を暗号化する方法は、大きく分けて「DNS over TLS(DoT)」と「DNS over HTTPS(DoH)」の2種類がある。
DoTは、TLSの仕組みを利用する方法で、853番ポートを利用してDNSのやり取りを暗号化する。どちらかというと特定のアプリの通信に依存せず、OS全体で利用する仕組みとして利用されるが、現状、Windows 11ではサポートされていない。
一方のDoHは、HTTPSの仕組みを利用する方法で443番ポートを利用してDNSのやり取りを暗号化する。こちらは、ウェブブラウザー向けの機能として提供されてきたが、Windows 11では、アダプターの設定としてOS全体に適用可能となっている。
DoTは853番ポートを利用するためファイアウォールなどで遮断される可能性があるが、DoHはHTTPSと同じ443番ポートを利用するため、ほとんどの環境で利用可能なのがメリットとなる。
なお、DoHで暗号化されるのは端末と参照サーバーの間の通信のみとなる。パブリックDNSのサーバー(例えば8.8.8.8や1.1.1.1)との間のやり取りは暗号化されるが、このサーバーで参照できなかった(キャッシュにない)場合に、実際にその情報が登録されている権威サーバーと参照サーバーの間でやり取りされる情報は平文となる。
参照サーバー(パブリックDNS)から先の通信が暗号化されるかどうかはまた別の話