パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 10 Insider Preview、DNS over HTTPSがテスト可能に」記事へのコメント

  • (T/O)

    DNSSEC 対応とか経路ハイジャック対策とかは力を入れてくれるでしょうが、セキュリティはそれだけではないですよね。誰がいつどのドメインを問い合わせたという記録が、電気通信事業の規制に掛からない会社に送られているわけです。 User-Agent の情報や TLS Session Ticket も含まれるので、 DNS (over 53) と比べると NAT 越しでも IP アドレスに加えて Web ブラウザひいては利用者を特定できる情報が送られています。
    Public DNS サービスは DNS が速いことを売りにしているようですが、 Web ページの読み込み時間のうち DNS の占める割合はとても小さ

    • by Anonymous Coward

      関連ストーリー [security.srad.jp]より

      DNSクエリを暗号化するDoHに対しては、対応DNSサーバーしか使用できないので集中化が進むといった批判 [it.srad.jp]もみられる。ただし、この問題はDoHの導入が進めば解消し、現在と同様の分散化が維持できる。そのためにはWindowsのようなクライアントOSによるDoHサポートが重要だという。

      警戒するとしたら名前解決に相互運用性のない独自プロトコルを導入して囲い込みを図ろうとすることだろう

      • by Anonymous Coward on 2020年05月17日 6時41分 (#3816383)

        DNS の囲い込みが問題あることは正しいですね。更なる問題は、 DNS over HTTPS のクライアントに直接ネットワーク管理者が DNS サーバの在り処を伝える手段が現時点では存在しないことです。 Chrome も MS と同じような方法を取るようですが、事前に「うちの ISP の DNS サーバはこれです」という情報をブラウザに登録しないといけません。 その登録作業を一体何社に 対してすれば良いのでしょう。 Firefox に至ってはそのような仕組みがありません。 Mozilla が決めた「trusted」なサーバか、自分で about:config を編集するしかありません。そもそも DNS over HTTPS 推進者の言い分が「ISP による不当なブロッキングや捻じ曲げを回避する」なので、特定の(彼らにとって信頼できる) DNS サーバに集中させる方向になるとしか思えません。

        親コメント
        • by Anonymous Coward on 2020年05月17日 15時48分 (#3816548)

          Mozilla が決めた「trusted」なサーバか、自分で about:config を編集するしかありません。

          この情報はちょっと古いですね。

          最近だと設定画面(about:preferences)で任意のURLをDoHのサーバーとして追加できるようになっています。
          Firefox Nightlyでしか確認していないのでRelease版に実装されているのかは分かりませんが、それほど厳重なテストが必要な機能でもないので、仮に実装されていないとしても数か月でReleaseに降りてくると思いますよ。

          親コメント
          • by Anonymous Coward

            情報ありがとうございます。 76.0.1 ではまだですね。
            about:config や about:preferences で追加できたとしても、現時点では DHCP で配るようにはいかず、 Mozilla が決めた「trusted」なサーバに囲い込まれやすいことには変わりないかと思います。

        • by Anonymous Coward

          > その登録作業を一体何社に 対してすれば良いのでしょう

          難しくてわからないのですが、記事中のMSのブログは、設定手順でコントロールパネルか設定アプリで対応サーバーを指定するとあります。
          ご家庭のパソコンなら、明示的に設定しないかぎりはレンタルされたモデムとDHCPを経由してISPのDNSサーバーになると思ったのですが、間違ってますでしょうか。

          • by Anonymous Coward

            念のためもう一度書きますと、「DNS over HTTPS のクライアントに直接ネットワーク管理者が DNS サーバの在り処を伝える手段が現時点では存在しない」のが問題です。現状ではごく少数の DNS over HTTPS サーバに囲い込まれることになります。

            MS の実装は、レジストリに「DNS (over 53) のIPアドレス」と「DNS over HTTPS サーバ の URL」のマップを持っています。
            プライマリ/セカンダリ DNS サーバとしてマップにマッチするエントリがあれば、そのエントリを利用して DNS over HTTPS するという仕掛けです。ですので、利用者が DHCP で指定されたアド

            • by Anonymous Coward

              > 「DNS over HTTPS サーバ の URL」のマップを持っています

              ここ理解できてなかった。解説ありがとう。
              証明書検証をしたいけど、マップに証明書の情報自体を入れるわけでもないみたいね。

              ISPがDoHをやろうとするなら、DoHクライアントの作りを改修して、
              ・IPはDHCPの配布した値は特別扱い
              ・ホスト名はdohdns.comとかを特別扱い(現状でもルーターなどが独自のホスト名を名乗ることがある)
              ・パスは/dns-query決め打ち
              にすれば行けることは行けると思う。

              > DHCP サーバで指定された DNS サーバは 192.168.11.1 などモデムの LAN 側 IP アドレスです
              これはモデムがルーターを兼ねてる場合だから、必ずしもそうじゃないはず。
              単機能のモデムなんて今時ないかもしれないけど。
              レンタルしてるのがモデム兼ルーターなら、モデム兼ルーター前提の対処ができることにもなる。

              長々と書いたけど、ISPがやるほどの話じゃなさそうだね。

アレゲは一日にしてならず -- アレゲ見習い

処理中...