DoH・DoT・DoQ でぃーおーえいち・でぃーおーてぃー・でぃーおーきゅー
DoHDoTDoQDNS over HTTPS暗号化DNSプライバシー
DoH・DoT・DoQについて教えて
DoH・DoT・DoQとは
従来のDNSプロトコル(UDP/TCP port 53)は暗号化されていない平文通信であり、ISP・ネットワーク管理者・攻撃者がユーザーのDNSクエリを盗聴・改ざんできる状態でした。これを解決するために開発されたのが、DNSクエリを暗号化プロトコルで保護するDoH・DoT・DoQです。
- DoH(DNS over HTTPS):HTTPSプロトコル(port 443)を使ってDNSクエリを暗号化。ブラウザが直接利用できるため普及が早い。ただし、企業のHTTPSフィルタリングをすり抜けるため、管理上の課題もある
- DoT(DNS over TLS):TLSプロトコル(port 853)でDNSクエリを暗号化。DoHより単純な実装だが、専用ポートが必要
- DoQ(DNS over QUIC):QUICプロトコル(UDP)でDNSクエリを暗号化。低遅延が特徴
3方式の比較
| 方式 | プロトコル | ポート | 特徴 |
|---|---|---|---|
| DoH | HTTPS | 443 | ブラウザ対応・ファイアウォール通過しやすい |
| DoT | TLS | 853 | シンプル・OSレベル対応 |
| DoQ | QUIC(UDP) | 853 | 最低遅延・新しい規格 |
| 従来DNS | UDP/TCP | 53 | 平文・高速・広く対応 |
歴史と背景
- 2016年:GoogleがDoHの実験を開始
- 2018年:RFC 7858(DoT)が公開
- 2018年:RFC 8484(DoH)が公開
- 2019年:Mozilla FirefoxがデフォルトでDoHを有効化
- 2020年:ChromeもDoHをデフォルト化
- 2022年:RFC 9250(DoQ)が公開
- 現在:主要OS・ブラウザ・セキュリティ製品でDoH/DoT対応が標準に
企業での考慮点
DoHはHTTPS通信の中に混在するため、企業のDNSフィルタリングやプロキシを迂回してしまう場合があります。セキュリティポリシーを維持するには以下の対応が必要です:
| 対応策 | 内容 |
|---|---|
| DoH/DoTの強制制御 | 企業DNSサーバーでDoH/DoTを提供し、ブラウザの設定を統制 |
| ファイアウォールポリシー | port 853のブロック(DoT)、信頼できるDoHサービスのみ許可 |
| EDR・SWG連携 | エンドポイント・SWGでDoH通信を可視化・制御 |
関連する規格・RFC
| 規格 | 内容 |
|---|---|
| RFC 7858 | DoT(DNS over TLS) |
| RFC 8484 | DoH(DNS over HTTPS) |
| RFC 9250 | DoQ(DNS over QUIC) |