Mozillaは金曜日、FirefoxブラウザにDNS-over-HTTPS(DoH)プロトコルをデフォルトで実装する予定であり、9月下旬から段階的に展開していくと発表した。
2017 年から開発が進められている DoH は、ドメイン名とサーバーの IP アドレスを一致させようとするドメイン名クエリを、保護されていない暗号化されていない標準的な DNS 接続ではなく、安全で暗号化された HTTPS 接続を介して DNS サーバーに転送します。
この追加のセキュリティレイヤーは、ネットワークサービスプロバイダーなどの第三者がインターネットユーザーが訪問したウェブサイトを容易に閲覧することを防ぎ、悪意のある人物がドメイン名検索を改ざんするのを防ぎます。DoHは現状よりも高いプライバシーを提供しますが、コンテンツフィルタリングを必須とする監視環境など、プライバシーの欠如が前提とされる、あるいは求められる状況では議論の余地があります。
7月、英国インターネットサービスプロバイダー協会(ISPA)は、DoHが、露骨表現やわいせつな表現、その他不適切なウェブサイトへのアクセスをブロックするために設置されたDNSベースのコンテンツフィルターを破っているとして、Mozillaを「今年のインターネット悪役」賞にノミネートしました。数日後、オンライン上での批判を受け、業界団体は方針を撤回しました。
英国ISPAはコメント要請にすぐには応じなかった。英国の2017年デジタル経済法には、ウェブサイトに対するコンテンツフィルタリングの明確な要件が盛り込まれているが、施行は今年後半まで延期されている。DoHによって、ネットワークベースのコンテンツフィルタリングを回避しやすくなると主張されているが、MozillaはDoHがインターネット全体のセキュリティを向上させると主張している。
Mozillaのシニアエンジニアリングディレクター、セレナ・デッケルマン氏はブログ投稿で、7万人以上のFirefoxユーザーがすでにFirefoxでDoHを有効にしており、ブラウザメーカーは一般向けにDoHをリリースする準備を進めていると述べた。
FirefoxのDoHサービスは、Cloudflareの1.1.1.1 DNSサービスを通じて提供されますが、サポートされるサービスプロバイダーのリストは今後拡大する可能性があります。このシステムは第三者によるDNSクエリへのアクセスを拒否しますが、その際にデータはCloudflareに提供されることになります。これは、大手サービスプロバイダーの力を強めることになるため、一部の人々から批判されています。
Mozillaは、Firefoxは広告ブロッカーを無効にすることはないと述べている。ある広告大手ブラウザとは違って
続きを読む
Cloudflare は、通常のプライバシー ポリシーとは別に、Firefox の DNS 解決データを「Firefox 用 Cloudflare Resolver のパフォーマンスを向上させるため、および問題が発生した場合のデバッグ作業に役立てるためだけに」使用するというプライバシーに関する約束をしています。
ただし、DoHはすぐにすべてのユーザーに適用されるわけではありません。セキュアクエリシステムは、今月後半に米国の「ごく一部のユーザー」に対してデフォルト設定され、すべてが順調に進めば徐々に普及していく予定です。DoHが有効化されると、Firefoxユーザー(手動で設定していない場合)には変更が通知され、オプトアウトするかどうかを尋ねられます。
DoH をデフォルトとして受け入れるユーザーの場合、ネットワーク サービス プロバイダーとネットワーク管理者は、コンテンツ フィルタリングなどの特定の機能が DoH によって悪影響を受けることを通知できるようになります。
Firefox がこのような信号を受信すると、ユーザーが手動で「常に DoH」設定を行っていない限り、ネットワーク セッションの残りの間 DoH を無効にします。
Deckelmann 氏によれば、Mozilla の計画は、ペアレンタルコントロールを有効にしたユーザーと企業管理者の選択を尊重し、異常なネットワーク構成により検索が失敗した場合にはオペレーティングシステムの DNS デフォルトにフォールバックすることだという。
デッケルマン氏によると、Mozillaはネットワークベースのペアレンタルコントロールを提供する組織と協力し、「カナリアドメイン」をブロックリストに追加する予定だという。「Firefoxが当社のカナリアドメインがブロックされていると判断した場合、これはネットワーク上でオプトイン型のペアレンタルコントロールが有効になっていることを示し、FirefoxはDoHを自動的に無効化します」とデッケルマン氏は述べた。®
