DNSSEC 対応とか経路ハイジャック対策とかは力を入れてくれるでしょうが、セキュリティはそれだけではないですよね。誰がいつどのドメインを問い合わせたという記録が、電気通信事業の規制に掛からない会社に送られているわけです。 User-Agent の情報や TLS Session Ticket も含まれるので、 DNS (over 53) と比べると NAT 越しでも IP アドレスに加えて Web ブラウザひいては利用者を特定できる情報が送られています。 Public DNS サービスは DNS が速いことを売りにしているようですが、 Web ページの読み込み時間のうち DNS の占める割合はとても小さ
DNS の囲い込みが問題あることは正しいですね。更なる問題は、 DNS over HTTPS のクライアントに直接ネットワーク管理者が DNS サーバの在り処を伝える手段が現時点では存在しないことです。 Chrome も MS と同じような方法を取るようですが、事前に「うちの ISP の DNS サーバはこれです」という情報をブラウザに登録しないといけません。 その登録作業を一体何社に 対してすれば良いのでしょう。 Firefox に至ってはそのような仕組みがありません。 Mozilla が決めた「trusted」なサーバか、自分で about:config を編集するしかありません。そもそも DNS over HTTPS 推進者の言い分が「ISP による不当なブロッキングや捻じ曲げを回避する」なので、特定の(彼らにとって信頼できる) DNS サーバに集中させる方向になるとしか思えません。
Google/Cloudflare/IBM に情報を握られる (スコア:1)
(T/O)
DNSSEC 対応とか経路ハイジャック対策とかは力を入れてくれるでしょうが、セキュリティはそれだけではないですよね。誰がいつどのドメインを問い合わせたという記録が、電気通信事業の規制に掛からない会社に送られているわけです。 User-Agent の情報や TLS Session Ticket も含まれるので、 DNS (over 53) と比べると NAT 越しでも IP アドレスに加えて Web ブラウザひいては利用者を特定できる情報が送られています。
Public DNS サービスは DNS が速いことを売りにしているようですが、 Web ページの読み込み時間のうち DNS の占める割合はとても小さ
Re: (スコア:0)
関連ストーリー [security.srad.jp]より
警戒するとしたら名前解決に相互運用性のない独自プロトコルを導入して囲い込みを図ろうとすることだろう
Re: (スコア:1)
DNS の囲い込みが問題あることは正しいですね。更なる問題は、 DNS over HTTPS のクライアントに直接ネットワーク管理者が DNS サーバの在り処を伝える手段が現時点では存在しないことです。 Chrome も MS と同じような方法を取るようですが、事前に「うちの ISP の DNS サーバはこれです」という情報をブラウザに登録しないといけません。 その登録作業を一体何社に 対してすれば良いのでしょう。 Firefox に至ってはそのような仕組みがありません。 Mozilla が決めた「trusted」なサーバか、自分で about:config を編集するしかありません。そもそも DNS over HTTPS 推進者の言い分が「ISP による不当なブロッキングや捻じ曲げを回避する」なので、特定の(彼らにとって信頼できる) DNS サーバに集中させる方向になるとしか思えません。
情報の補足 (スコア:1)
Mozilla が決めた「trusted」なサーバか、自分で about:config を編集するしかありません。
この情報はちょっと古いですね。
最近だと設定画面(about:preferences)で任意のURLをDoHのサーバーとして追加できるようになっています。
Firefox Nightlyでしか確認していないのでRelease版に実装されているのかは分かりませんが、それほど厳重なテストが必要な機能でもないので、仮に実装されていないとしても数か月でReleaseに降りてくると思いますよ。
Re: (スコア:0)
情報ありがとうございます。 76.0.1 ではまだですね。
about:config や about:preferences で追加できたとしても、現時点では DHCP で配るようにはいかず、 Mozilla が決めた「trusted」なサーバに囲い込まれやすいことには変わりないかと思います。