Mozillaが米国のFirefoxユーザー向けに段階的にDNS-over-HTTPS(DoH)をデフォルトで利用できるようにする計画を発表したわずか数日後、GoogleはChrome 78でDoHをテストする意向を発表した。Chrome 78は今後2週間以内にベータ版をリリースする予定だ。
DoHは、ドメイン名のクエリを、ありきたりのプレーンテキスト形式の安全でないDNSサーバーではなく、DNSサーバーへの安全な暗号化されたHTTPS接続で包み込むことで、盗聴者がクエリにアクセスできないようにします。これは、オンライン通信におけるセキュリティとプライバシーのギャップを埋めることを目的とした、いくつかの新興インターネットプロトコルの一つです。
Googleの実験では、Chrome 78ユーザーのDNSプロバイダが、DoHのテスト準備状況に基づいて選定された6つのサービス(Cleanbrowsing、Cloudflare、DNS.SB、Google、OpenDNS、Quad9)に含まれているかどうかを確認します。もし含まれていれば、少なくとも実験グループ内の幸運な少数のユーザーについては、Chromeは標準DNSから同じサービスプロバイダを使用するDoHに切り替えます。
Googleは、Mozillaのアプローチによって生じる懸念の一つを回避し、FirefoxユーザーにDNSプロバイダーをCloudflareに変更するよう強制しています。これにより、Chocolate Factoryは、DNSプロバイダーが提供するマルウェアスクリーニングとペアレンタルフィルタリング機能が、DoH下でも可能な限り機能し続けることを保証しています。
「この実験は、既にDoHをサポートしているDNSプロバイダーと連携して実施されます。両社のユーザーのセキュリティとプライバシーを向上させることが目的です」と、Chromeプロダクトマネージャーのケンジ・バヒュー氏はブログ投稿で説明しました。「このアプローチでは、使用するDNSサービスは変更されず、プロトコルのみが変わります。」
Baheux 氏によると、Google の目標は Chrome での DoH 実装を検証し、プロトコルがパフォーマンスに与える影響を測定することだという。
この実験には、LinuxとiOSを除くサポート対象プラットフォームのChromeユーザーの一部が参加します。また、オプトアウトの方法も用意されており、 でフラグ設定を無効にすることができますchrome://flags/#dns-over-https。企業顧客向けのマネージドChrome導入の大部分はテストの対象外となります。Googleは、ネットワーク管理者向けのDoHに関する情報をまもなくEnterprise Blogで公開する予定です。
Android 9 以降を使用しており、プライベート DNS 設定で DNS-over-TLS (DoT) プロバイダーを設定している場合、Chrome は DoH の利用を試みることがあり、失敗した場合は DoT 設定にフォールバックします。
Mozilla Firefox、今月末からDNS over HTTPSのデフォルト導入を段階的に開始
続きを読む
DoHとDoTは、DNSクエリを暗号化するための別々の規格です。DoHはTLSとHTTP/2を利用し、トラフィックには標準のHTTPSポート443を使用します。一方、DoTは接続プロトコルとしてTCPを使用し、TLS暗号化と独自ポート853での認証を組み合わせることで、ネットワークレベルでの可視性を高め、ブロックしやすくしています。
ファーサイト・セキュリティのCEOであり、DNSプロトコルの設計にも貢献したポール・ヴィクシー氏は、月曜日のTwitter投稿で、DoHはネットワーク管理者の自律性を制限すると警告した。
「DoTはDoHと同じではありません」と彼は書いている。「どちらもTLSレベルのプライバシーを提供します。しかし、DoTはネットワークファイアウォールでブロックされる可能性があります。DoHは『DNS操作におけるオンパス干渉を防止するように設計されている』(RFC 8484の序文)。DoTは普遍的な善です。DoHは、どんな善をもたらすとしても、全体としては害になります。」
今年初め、彼はDoHは、自社ネットワークのルールを自ら設定したい人々を犠牲にして、米国のテクノロジー企業がDNS解決パスを支配しようとするキャンペーンの一環だと主張した。「少なくともSiteFinderの失敗以来、あるいはそれ以前から、DNS解決パスの支配権をめぐる争いが続いています」と彼は述べた。「これはその長い戦いにおける最新の戦いです。アメリカの大手テクノロジー企業は、どんな手段を使ってでもDNSトラフィックを手に入れたいのです。」®
