Mozilla は、非営利団体の Firefox ブラウザの米国ユーザー向けに、暗号化された DNS-over-HTTPS (DoH) をデフォルトで展開し始めました。
DoHはDNS(ドメインネームシステム)トラフィックを暗号化し、セキュリティとプライバシーの両方のメリットをもたらしますが、ここで問題となるのはDoHプロトコル自体の使用だけではありません。もう一つの疑問は、名前解決にどのサーバーを使用するかということです。
DNSは、インターネット名をネットワークアドレスに変換するプロセスです。このシステムはインターネットの黎明期にまで遡り、セキュリティとプライバシーに関するいくつかの問題を抱えています。
通常、使用する DNS サーバーは接続先のネットワークによって提供されます。マシンに IP 番号を割り当てるサーバーは、DHCP (Dynamic Host Configuration Protocol) を介して DNS サーバーのアドレスも提供します。
DNSには、セキュリティとプライバシーに関する多くの脆弱性があります。悪意のあるDNSサーバーが、ユーザーがリクエストしていないサイトに誘導したり、誰かがDNSトラフィックを盗聴したり改ざんしたりする恐れがあります。プライバシーが問題となるのは、DNSリクエストを解決するサーバーがユーザーの閲覧履歴を記録しているためです。この記録は商業的価値を持つだけでなく、スパイや法執行機関の関心を引く可能性もあります。
ここで提起された問題に対する Mozilla の回答は、Firefox の DNS リゾルバをデフォルトで Cloudflare に設定し、ブラウザのネットワーク設定を詳しく調べられるほどの技術力があれば、NextDNS または独自のカスタム プロバイダーのオプションを追加するというものです。
主張の根拠は、ここで説明されているように、指定されたプロバイダーは「信頼できる再帰リゾルバー」パートナーであるため、ユーザーは暗号化と悪意のあるリダイレクトからの保護が保証されるというものです。これらのパートナー(現在は2社のみ)は、識別可能なすべてのデータを24時間以内に削除し、集計データのみを保持し、ユーザーデータを第三者に販売しないことに同意しています。また、「リゾルバーが運営されている法域で法律で明示的に義務付けられている場合を除き、ドメインをブロックまたはフィルタリングしない」ことにも同意しています。
本日の発表では、「米国でのみ、DoH をデフォルトで有効化します。米国外にお住まいで DoH を有効化したい場合は、[設定] から有効化できます。DoH は、2020 年に当社が提供する数多くのプライバシー保護策の 1 つにすぎません。」と述べています。
FirefoxのDoH設定(現在Cloudflare、NextDNS、カスタム)
DoH をサードパーティのリゾルバと組み合わせると、ISP がウェブトラフィックをフィルタリングしてブロックすることが難しくなるため、英国の Internet Watch Foundation 慈善団体や、どうやら英国政府など、そのようなブロックに熱心な人々からは不評です。
昨年、Mozillaのトラスト&セキュリティ担当バイスプレジデント、アラン・デイビッドソン氏は英国政府に対し、「英国でDoH機能をデフォルトで有効にする予定はなく、官民の関係者との更なる協議なしに有効にする予定もありません」と述べていました。Mozillaは米国政府に対し、「米国以外でDoHを展開する当面の計画はありません」と回答しました。
Cloudflareは、DNS経由のトラフィックのフィルタリングとブロックは不適切なアプローチだと主張している。「ブラウザ拡張機能などのアプリケーション固有の制御の方が効果的です。URLを実際に確認し、コンテンツへのアクセスを選択的にブロックできるからです」と、Cloudflareの暗号チームに所属するピーター・ウー氏は述べている。
GoogleもChromeにDoHを導入する計画だが、重要な違いがある。設定されたDNSサーバーがDoHをサポートしている場合にのみDoHを使用する。「これにより、ユーザーのDNSプロバイダーは変更されずに、DNS解決に使用されるプロトコルがアップグレードされる」とGoogleは述べている。
GoogleはMozillaのアプローチに従う予定はないと述べた。
PowerDNSの創設者であるバート・ヒューバート氏は、Mozillaのこの動きに声高に反対している。彼は本日、 The Reg紙に次のように語った。「Mozillaが、米国人ユーザー全員を代表して、この案を良いアイデアだと判断したことは、非常に残念です。暗号化DNSは素晴らしいものですが、誰にDNSを暗号化するかは非常に重要です(最終的には誰かが平文で情報を受け取ることになるからです)。」
Mozillaは選択肢を『ダークパターン』にしたため、ほぼすべてのユーザーが新しいデフォルト設定を採用することになります。つまり、彼らは『すべてのDNSクエリをCloudflareに送信するのが最善だと判断しました』と言っているようなものです。
ヒューバート氏は、問題はプロトコルとしてのDoHではなく、中央集権化されたDoHにあると述べ、支持者らは両者を意図的に混同していると述べた。「中央集権化推進派の多くは、反対派が暗号化を嫌っていると仕立て上げようとしている」とヒューバート氏は述べた。「『プロトコルとしてのDoH』を擁護する方が、『土地収奪としてのDoH』を擁護するよりもはるかに簡単だ」
管理者や技術ユーザーはMozillaの選択を簡単に上書きできますが、多くのユーザーはデフォルト設定を受け入れるでしょう。では、どちらがより信頼できるのでしょうか?ISPのDNSリゾルバ(空港やカフェのWi-Fi経由で提供されるDNSも含まれる可能性があります)と、Mozillaが選定したパートナー(現在はCloudflare)のどちらを選びますか?
もう一つの関連する疑問は、インターネットのさらなる集中化が本質的に悪いことなのかどうかということです。®
