Interviews Brawte nfaq 0 Comments

Chrome開発者は、DNS over HTTPSは地獄の扉を開くものではないと世界に告げる

Table of Contents

Chrome開発者は、DNS over HTTPSは地獄の扉を開くものではないと世界に告げる

Chrome 開発者は「誤報」について少し不満を述べ、DNS-over-HTTPS (DoH) はサポートされるものの、ブラウザの今後のビルドで必ずしも自動的に使用されるわけではないと繰り返し主張した。

GoogleのChrome製品マネージャーは昨夜公開されたブログ記事で、先週リリースされたChrome 78にDNSプロバイダーの技術を組み込んだ後、「ユーザーにDNSプロバイダーの変更を強制する」つもりはないと主張した。

この宣伝文句は、世界中の敵対的な警察機関や立法府に対し、DNS over HTTPS(DoH)を導入しても、一般人のインターネット利用が政府機関やISPによる監視・取り締まりから完全に保護されるわけではないことを説得しようとするGoogleの取り組みの一環である。監視機関は盗聴に一層の努力を払う必要があるだけだ。一方、Firefoxの開発元であるMozillaは、ユーザーのDNSクエリを自社の推奨ホストであるCloudflareにリダイレクトするよう設定した場合、DoH導入を推進すると表明している。

Googleは昨夜、ChromeのDoH機能は、ユーザーのDNSプロバイダ(通常はISP)がGoogleのDoH参加プロバイダリストに掲載されているかどうかを確認することで動作すると発表しました。このリストは今のところ小規模ですが、Google自身のDNSサービス、OpenDNS、Cloudflare、その他数社が含まれています。ユーザーのプロバイダがリストに掲載されている場合、クエリはそのDoHサーバーにルーティングされます。掲載されていない場合は、現在と同様に、DNSクエリは暗号化されていない接続を介して継続されます。

「DoHがユーザーのプライバシーとセキュリティの向上にもたらす可能性については楽観的ですが、DNSの重要性と、私たちが予期していなかった実装上の懸念が生じる可能性も理解しています」と、チョコレートファクトリーはブログ記事で苦笑いした。まるで「規制当局の皆様、これを禁止したり、ごまかしたりしないでください」とでも言っているかのようだ。

さらに同社は、「この実験では段階的なアプローチを採用しており、現在の計画では、既にDoH対応のDNSプロバイダーをご利用のユーザーのうち1%のみにDoHサポートを有効にする予定です。これにより、GoogleとDoHプロバイダーはDoHのパフォーマンスと信頼性をテストできるようになります。また、ユーザーやISPを含むその他の関係者からのフィードバックもモニタリングしていきます」と付け加えた。

画像提供:elroyspelbos https://www.shutterstock.com/g/elroyspelbos

DoH! Mozillaは英国大臣に対し、英国民向けFirefoxではDNS-over-HTTPSがデフォルトにならないと保証

続きを読む

さらに、企業管理者の安全を確保し、企業のエンドユーザーが綿密に策定された企業のウェブアクセスポリシーを回避できないようにするため、Googleは次のように付け加えた。「学校や企業など、管理されたChrome環境のほとんどは、デフォルトで実験から除外されています。管理者がこの機能を制御するためのポリシーも提供しています。」

ファーサイト・セキュリティーのCEOでDNSプロトコルの設計にも貢献したポール・ヴィクシー氏は先月、DoHがネットワーク管理者の自律性を制限する可能性があると警告したが、昨夜ツイッターで、Mozillaは「GoogleがChromeで行っているように、FirefoxでもDoHを行うべきだ」と意見を述べた。

DNSルックアップは、ブラウザに入力したドメイン名(例えばtheregister.com)を機械が読み取れる形式に変換するものです。これにより、インターネットサーバーはITニュースや毎日の猫動画などを取得できます。現時点では、これらのクエリは暗号化されておらず、理論的には盗聴、フィルタリング、改ざんに対して脆弱ですが、実際には世界は大きな問題なく動いています。

英国などの国は、ユーザーのDNSクエリの監視を非常に重視しています。GoogleとMozillaのDoH提案の文脈において、政府機関が利用できる最も有用な手段は、国内のDNSサーバー運営者に、児童虐待コンテンツにつながるような特定の検索結果をシンクホール化するよう命令する権限です。インターネット・ウォッチ財団のブラックリストはまさにこの仕組みで運用されています。

英国の悪名高いハイテク恐怖症の官僚や政府閣僚を阻止するため、Mozillaは英国ユーザーに対してDoHをデフォルト設定にしないことに同意した。ただし、DoHを有効にするにはマウスを数回クリックするだけで済む。しかし、米国ユーザーは最終的にすべてのDNSクエリをCloudflareに送信することをデフォルトとすることになるだろう。

ISPは、ユーザーが地方自治体の懸念を抱くコンテンツにアクセスするのを防ぐだけでなく、独自のDNSサーバーを利用してペアレンタルコントロール、ウイルス対策、一般的なオンラインセーフティなどの機能も実装し、ユーザーが不正アクセスされたウェブサイトにアクセスできないようにしています。ISPのユーザーベースの多くが基本的なオンラインセキュリティ対策について知らず、学ぶことにもあまり関心がない現状において、これは非常に有効な手段です。®

Interviews

Smart Recommendations

Discover More