Mozilla は、Comcast が米国の Firefox ブラウザ ユーザー向けに安全な DNS-over-HTTPS クエリを処理する初の家庭用ブロードバンド インターネット プロバイダーになることに同意したと発表した。
これは、MozのTrusted Recursive Resolver(TRR)プログラムに参加しているISPが、Firefoxを使用する加入者に対して、暗号化されたHTTPSチャネルを介してドメイン名からIPアドレスへのルックアップを実行することを意味します。これにより、ネットワーク盗聴者がDNSクエリを盗聴したり、不正なウェブページへの接続をリダイレクトするために干渉したりするのを防ぎます。
昨年、Comcast や他のブロードバンド大手は、そのような安全対策に激しく反対していましたが、Comcast は考えを変えたようです。おそらく、プレーンテキスト DNS リゾルバだけでなく、DNS-over-HTTPS サービスも提供できると気づいたためでしょう。
近い将来、Comcast に加入している Firefox ユーザーは、ISP の DNS-over-HTTPS リゾルバをデフォルトで使用するようになりますが、他の安全な DNS プロバイダーに切り替えるか、完全にオプトアウトすることもできます。
「コムキャストはDNS暗号化技術の採用に迅速に動いており、同社がTRRプログラムに参加してくれることを大変嬉しく思う」とFirefoxの最高技術責任者(CTO)エリック・レスコラ氏は木曜日に語った。
ISPをTRRプログラムに参加させることで、既存のユーザーエクスペリエンスを損なうことなく、オンライン上のユーザープライバシーを保護することができます。これがブラウザとISPのさらなる協力の先例となることを期待しています。
驚くべきことに、DNS-over-HTTPSは、ISPが加入者のウェブ活動を盗聴・分析し、ユーザーの興味に合わせた広告を表示したり、その情報をパッケージとして広告主や業界アナリストに販売したりするのを防ぐ手段として大いに期待されていました。ところが、ComcastはFirefoxユーザー向けにDNS-over-HTTPSサービスを提供し、必要に応じて受信クエリを検査・活用できるようにしています。まさに狐が鶏小屋を守っているようなものです。
ISPは「ユーザーの閲覧履歴のストリームにアクセスできる」と、Mozillaのトラスト&セキュリティ担当シニアディレクター、マーシャル・アーウィン氏は11月に警告した。「ブロードバンドのプライバシー規制の撤廃により、ISPによるデータ利用に関するガードレールが撤廃されたことを考えると、これは特に懸念すべき事態だ。同じISPが今、DNS over HTTPSの導入を阻止しようと奮闘しているのだ。」
誇大広告を信じてはいけない!データに飢えたISPはあなたを騙している、とMozillaが議員に警告
続きを読む
Mozilla は本日、新たな親友である Comcast が礼儀正しく行動し、DNS プライバシー プログラムのルールに従うと主張した。
Mozによると、これはつまり、Comcastは「Firefoxブラウザから送信されたDNSクエリから得られる個人情報、IPアドレス、その他のユーザー識別子、またはユーザークエリパターンを、(法律で義務付けられている場合を除き)いかなる第三者にも保持、販売、譲渡してはならない」ということです。また、「クエリから収集したデータを、個々のエンドユーザーを特定できる方法で他のデータと組み合わせること」や、「ユーザーデータに関するいかなる権利も、他の個人または団体に販売、ライセンス供与、サブライセンス供与、または付与すること」も禁止されています。
コムキャストは10月にDNS over HTTPSサービスのテストを開始したと伝えられています。同社は当時、この技術に反対するロビー活動を行っていました。しかし今、ついにセキュリティ対策を導入するに至りました。
もしこれがテレビだったら、Mozがカメラの方を向き、レンズをまっすぐ見つめ、本当にこれは良くない、という最高の口調で語るシーンだろう。「また10月には、Comcastが一連の重要なプライバシーに関する取り組みを発表しました」とMozillaチームは本日発表した。「これには、顧客がブロードバンド接続を通じて訪問するウェブサイトや使用するアプリを追跡しないという長年の取り組みの再確認が含まれています。Comcastはまた、顧客がプライバシー設定を管理・制御し、プライバシーポリシーの詳細を理解できるように、新しいXfinityプライバシーセンターも導入しました。」
まあ、少なくともブロードバンドプロバイダーは、この技術を禁止しようと争うのではなく、FirefoxでDNS-over-HTTPSに対応しています。また、加入者はComcastのセキュアDNSサービスの使用を強制されることはありません(ただし、デフォルトになる予定です)。暗号化されていない従来のDNSを使用するよりも優れています。通常のプレーンテキストDNSをComcastに任せているのであれば、論理的にDNS-over-HTTPSでもComcastを信頼すべきです。
「DNSプライバシーの重要な進化を支援するためにMozillaと提携する最初のISPであることを誇りに思います」と、Comcast Cableの技術政策・標準担当副社長であるジェイソン・リビングード氏は述べています。「世界的な技術コミュニティと連携することで、お客様を保護するためのより優れたツールが得られます。このようなパートナーシップは、お客様のインターネット体験をよりプライベートで安全なものにするという私たちの使命をさらに推進するものです。」
Mozillaは3月にTRRプログラムを開始し、これまでにCloudflareとNextDNSがDNS over HTTPSリゾルバの提供に参入しています。Googleは5月にChromeユーザー向けに独自の技術を導入しました。
「TRRプログラムにISPを追加することで、お客様に信頼できるDNS解決のセキュリティを提供する道が開かれると同時に、ペアレンタルコントロールサービスや、より最適化されたローカライズされた検索結果など、ISPが提供するリゾルバのメリットも享受できるようになります」と、Team Mozillaは今週結論付けました。「MozillaとComcastは共同でテストを実施し、Firefoxが各ユーザーに最適なTRRを割り当てる方法を検討していきます。」®
