DNS over HTTPS (DoH) の動向

DNS

TL;DR

  • 主要ブラウザのサポートによって DoH の普及がますます進みそう
  • DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い
  • 一般ユーザにはまずは使ってみることをオススメする (個人の意見です)
  • 企業内では現状はブロックすることをオススメする (個人の意見です)

目次

動向整理

少し前にポッドキャストでも取り上げた DNS over HTTPS (DoH)。最近になって Firefox, Chrome に続いて Windows も今後 DoH をサポートすることを表明した。いずれも単にプロトコルとしてサポートするだけでなく、積極的にユーザに利用してもらう仕組み (自動アップグレード) も盛り込まれている。(ブラウザによって多少仕組みが異なる。詳細は後述)

これらの動きによって今後 DoH がますます普及することが予想される。一方、さまざまな観点から DoH に反対する声も多く聞かれる。ここではこれらの動向について整理する。

なお本記事では DoH の技術的な詳細には触れないので、こちらの解説記事RFC などを参照のこと。

DoH 推進派

普及にもっとも積極的なのが Firefox を開発する Mozilla で、2018年からテストを重ねつつ、2019年 9月には将来的に DoH をデフォルトで有効にする計画を発表した。

上記によると、いずれは全ユーザを対象にする予定だが、まずは米国の少数のユーザに対して 9月末からデフォルト有効化を実施して慎重にモニタリングを行い、問題がなければ徐々に対象を拡大していくとのこと。デフォルトで有効化されると OS の DNS 設定に関係なく Firefox では DoH が使われるようになる (デフォルト設定では Cloudflare の Public DNS サービス 1.1.1.1 を利用)1。DoH が有効になっても、DoH による名前解決に失敗した場合や、ペアレンタルコントロールの利用を検知した場合などには、OS 設定による DNS 名前解決が行われる ("fallback" モード)。さまざまな配慮が十分に行われているとはいえ、既存の設定を上書きして適用するという非常にアグレッシブな方針を採用している。

一方 Chrome の場合には、既存の DNS 設定が DoH 対応の Public DNS サービスを利用している場合にのみ、自動的に DoH にアップグレードするという、やや保守的な対応方針を表明している2。この場合、Firefox とは異なり DNS プロバイダの変更は行われず、あくまでもプロトコルのアップグレードのみが行われる。Windows の計画も Chrome とほぼ同じだ3

DoH 反対派

反対派の筆頭はインターネットサービスプロバイダ (ISP) だ。たとえばイギリスの Internet Services Providers’ Association (ISPA UK) は、今年 7月に 2019年の Internet Hero and Villain の最終候補を発表したが、DoH を推進する Mozilla をインターネットの敵として名指しで非難している。

また ISP の他に、英議会や GCHQ なども児童ポルノブロッキングが機能しなくなることなどを理由に DoH に反対しており、その結果 Mozilla は「イギリスで DoH をデフォルト有効化する予定はない」と表明している。


一方、米国の通信業界を代表する 3つのロビー団体 NCTA, CTIA, USTelecom も、今年 9月に米議会の委員会に対して連名で書簡を送り、GoogleChromeAndroid4 において DoH を推進しようとしていることに懸念を表明している。もっとも、Google は自社の DNS プロバイダ (Google Public DNS) に強制的に設定を変更するようなことは計画しておらず、Goolge への一極集中を懸念したこの書簡の内容はやや的外れと言える。

この動きに対して Mozilla は、ISP の方こそユーザの DNS 利用データを適切に扱っていないとして、調査を行うよう米議会に書簡を送っている。電子フロンティア財団 (EFF) も Consumer Reports および National Consumers League との連名で、消費者のプライバシー保護の観点から、NCTA などの書簡に反対する意見表明を行っている。


セキュリティやプライバシーの専門家の中にも、 DoH の普及に反対する人達が多数いる。DoH 導入によるメリットは限定的なのに対して、デメリットが大きすぎるというのが、これらの主張のポイントだろう。

これらの反対理由を主に一般利用者向け、企業向けにまとめると次のとおり5 6

(一般利用者にとってのデメリット)

  • ISP による児童ポルノブロッキング、ペアレンタルコントロールによるアクセス制限、広告や有害あるいは違法なコンテンツのブロックなどができなくなる (DNS 以外の方法を使う必要がある)
  • ISP によるユーザのトラッキングなどを防ぎ、プライバシーを向上させるには DoH だけでは不十分7
  • CDN による効率的なコンテンツ配信ができなくなる (これは DoH に限らず、Public DNS 利用による影響)
  • 一部の DoH 対応 Public DNS プロバイダ (その多くが米国企業によって運営されている) に過度に集中することにより、逆にプライバシー上の懸念や、DNS インフラの安定稼動に懸念が生じる

(企業にとってのデメリット)

  • 業務上不要なサイトや悪性サイトへのアクセスを DNS でブロックすることが難しくなる
  • 内部向けと外部向けで DNS を分離運用している場合、内部用の名前解決ができなくなったり、内部のみで参照されるべき名前解決の第三者へのリークなどが起こる
  • 企業内に侵入した攻撃者、あるいは内部不正を行うインサイダーによって、外部との通信手段として DoH が悪用される (C2 通信に DoH を利用するマルウェアがすでに多数存在する)
  • フィッシングやマルウェア感染などのインシデント対応において、DNS クエリーログによるユーザの行動追跡が困難になる


利用者の立場から考えると、DoH はクライアント (スタブリゾルバ) とキャッシュサーバ (フルサービスリゾルバ) との間の通信を暗号化して保護してはくれるが、ISP や Public DNS などの DNS サービスプロバイダは利用者の DNS クエリの内容を当然見ることができる。それをどのような目的で使うか、あるいは使わないかは事業者次第だ (もちろん法令を遵守した上での話だが)。結局のところ、「どこを信用すべきか」という問いに対する立場の違いが、そのまま対立構造を生み出しているとも言える。

一方、企業内に限ってみれば、今のところ DoH を使うメリットはほとんどないので、勝手に使われないように管理者はブロックしておいたほうがよい8

以上、DoH の最近の動向をざっとまとめてみた。みなさんは DoH 使う? 使わない?

(おまけ) DoH サポート状況まとめ

Browser vendors

ブラウザ DNSサーバ変更
自動アップグレード
 変更条件 対応状況
Firefox Yes
(デフォルトで Cloudflare) 		Yes Canary Domain の名前解決、Safe Search の確認、ペアレンタルコントロールの有無、DoH を無効にする設定の有無、これらのチェックにすべて成功した場合 - Firefox 62 からサポート
- 2019年9月からデフォルト有効にするテスト (米国のみ)
Chrome No Yes すでに DoH 対応の Public DNS サーバを利用している場合 (ホワイトリスト方式) - Chrome 66 からサポート
- Chrome 79 からアップグレードのテスト
Edge (Windows) No Yes 同上 - Chromium ベースの Edge からサポート
- アップグレードの対応は未定

Firefox (Mozilla)

Chrome (Google)

Windows (Microsoft)

Application / Tool

1.1.1.1 (Cloudflare)

cloudflared

DOH Proxy

Curl

goDoH

DoHC2

DNSBotnet

Publicly available servers

Spec

Timeline

 DNS over TLS (DoT) / DNS over HTTPS (DoH) に関連する出来事
2016年4月 Google Public DNS で実験的に DoH をサポート、ただし RFC8484 とは異なる Google 独自形式 (JSON で応答)
2016年5月 DoT が RFC7858 として標準化される
2017年11月 Quad9 が Public DNS サービス 9.9.9.9 を開始、DoT もサポート
2018年4月 Cloudflare が Public DNS サービス 1.1.1.1 を開始、DoT/DoH もサポート (DoH は RFC 前のドラフト段階)
2018年4月 Android 9 Pie が Private DNS モードで DoT に対応 (デフォルトで自動アップグレード)
2018年10月 Quad9 が DoH に対応
2018年10月 DoH が RFC8484 として標準化される
2018年11月 Cloudflare がモバイルアプリ 1.1.1.1 をリリース、DoT/DoH を利用
2019年1月 Google Public DNS が DoT に対応
2019年6月 Google Public DNS が DoH (RFC8484) に対応
2019年9月 Firefox (Mozilla), Chrome (Google) がそれぞれ DoH 有効化に関する計画を発表、Firefox は9月末から米国でのテストを開始
2019年11月 Windows (Microsoft) が DoH 有効化に関する計画を発表

  1. 最初に有効化が行われる際にユーザに通知されるので、そこで拒否することが可能。また有効化されたあと、いつでも設定変更が可能。DNS プロバイダを Cloudflare から変更することもできる。https://support.mozilla.org/en-US/kb/firefox-dns-over-https

  2. Chrome 79 からテストを開始する予定で、当初は 7つの DNS プロバイダのみがアップグレード対象となる。https://www.chromium.org/developers/dns-over-https

  3. ただし具体的な対応スケジュールは今のところ明らかになっていない。https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229

  4. 2018年にリリースされた Android 9 Pie で Private DNS モードが追加された。設定されている DNS プロバイダが DNS over TLS (DoT) に対応している場合、デフォルトで自動的にアップグレードされる。DoH ではない点に注意。https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html

  5. DoH の問題点については次の Internet Draft (I-D) にまとまっている。draft-livingood-doh-implementation-risks-issues-04 - Centralized DNS over HTTPS (DoH) Implementation Issues and Risks

  6. ZDNet の記事も DoH への懸念点がまとまっていてわかりやすい。DNS-over-HTTPS causes more problems than it solves, experts say | ZDNet

  7. DNS 以外にも平文による通信が発生する場合があり、それらも保護する必要がある。たとえば、(1) HTTP による平文通信 → HTTPS、(2) HTTPS 通信のサーバ証明書 → TLS1.3、(3) HTTPS 通信の SNI → ESNI、(4) OCSP による問い合わせ → OCSP stapling、など。これらをすべて保護するのであれば、VPN の利用が推奨される。またこのほか、ユーザがアクセスする IP アドレス情報だけから 95%以上の Web サイトを特定可能という研究結果もある。What can you learn from an IP address? | APNIC Blog

  8. 具体的には、主要な Public DNS プロバイダへのアクセスを Firewall 等でブロックする、Firefox が使用している Canary Domain の名前解決にエラーを返す、Firefox で DoH がデフォルトで有効にならないように設定ファイルをクライアントに配布する、などがある。Configuring Networks to Disable DNS over HTTPS | Firefox Help