Windows 11で可能になったパブリックDNS利用時のDoHによる暗号化を試す

DoHがネットワークアダプターの設定に登場

　従来のWindows 10では、Edgeのオプション設定として用意されていたDoHが、Windows 11ではネットワークアダプターの設定として利用可能になった。

　これにより、Edge以外のウェブブラウザーやアプリでも名前解決にDoHが利用できるようになり、パブリックDNSを利用した名前解決を暗号化できるようになった。

　DoHは、HTTPSの仕組みを利用して、DNSの問い合わせや応答を暗号化する仕組みだ。従来のDNSでは、「watch.impress.co.jp」というホスト名から実際に通信するための宛先となる「202.218.128.207」というIPアドレスを知るために、「watch.impress.co.jp」というホスト名を平文のままDNSサーバーに送信する仕組みとなっていた。これを暗号化しようというわけだ。

　DNSの通信を暗号化する方法は、大きく分けて「DNS over TLS（DoT）」と「DNS over HTTPS（DoH）」の2種類がある。

　DoTは、TLSの仕組みを利用する方法で、853番ポートを利用してDNSのやり取りを暗号化する。どちらかというと特定のアプリの通信に依存せず、OS全体で利用する仕組みとして利用されるが、現状、Windows 11ではサポートされていない。

　一方のDoHは、HTTPSの仕組みを利用する方法で443番ポートを利用してDNSのやり取りを暗号化する。こちらは、ウェブブラウザー向けの機能として提供されてきたが、Windows 11では、アダプターの設定としてOS全体に適用可能となっている。

　DoTは853番ポートを利用するためファイアウォールなどで遮断される可能性があるが、DoHはHTTPSと同じ443番ポートを利用するため、ほとんどの環境で利用可能なのがメリットとなる。

　なお、DoHで暗号化されるのは端末と参照サーバーの間の通信のみとなる。パブリックDNSのサーバー（例えば8.8.8.8や1.1.1.1）との間のやり取りは暗号化されるが、このサーバーで参照できなかった（キャッシュにない）場合に、実際にその情報が登録されている権威サーバーと参照サーバーの間でやり取りされる情報は平文となる。