Windows 11 Insider Preview、DNS over TLS が利用可能に 14
ストーリー by headless
暗号 部門より
暗号 部門より
Microsoft が 13 日に Dev チャネルでリリースした Windows 11 Insider Preview ビルド 25158 では、DNS over TLS (DoT) が利用可能になっている
(Windows Insider Blog の記事、
Networking Blog の記事)。
DoTを使用するには、「設定」の「ネットワークとインターネット」で「Wi-Fi > ハードウェアのプロパティ」または「イーサネット」を開き、「DNS サーバーの割り当て」の「編集」をクリックする。「DNS 設定の編集」ダイアログボックスが表示されるので「手動」を選び、「IPv4」または「IPv6」をオンにして「優先DNS」にDoTサーバーのIPアドレスを入力する。「保存」をクリックして設定を保存すると、「IPv4 DNS サーバー」または「IPv6 DNS サーバー」に「 (非暗号化)」と表示される。
あとは管理者権限のコマンドプロンプトで netsh コマンドを実行して DoT と暗号化を設定後、ipconfig コマンドで DNS キャッシュをフラッシュすれば完了だ。設定では引き続き「非暗号化」と表示されるが、これは予期した動作とのこと。実際に暗号化が有効になっているかどうかについては、「netsh dns show encryption」コマンドの実行結果で指定した DoT ホストの「自動アップグレード」が「yes」になっていることを確認する必要があるようだ。
DoTを使用するには、「設定」の「ネットワークとインターネット」で「Wi-Fi > ハードウェアのプロパティ」または「イーサネット」を開き、「DNS サーバーの割り当て」の「編集」をクリックする。「DNS 設定の編集」ダイアログボックスが表示されるので「手動」を選び、「IPv4」または「IPv6」をオンにして「優先DNS」にDoTサーバーのIPアドレスを入力する。「保存」をクリックして設定を保存すると、「IPv4 DNS サーバー」または「IPv6 DNS サーバー」に「 (非暗号化)」と表示される。
あとは管理者権限のコマンドプロンプトで netsh コマンドを実行して DoT と暗号化を設定後、ipconfig コマンドで DNS キャッシュをフラッシュすれば完了だ。設定では引き続き「非暗号化」と表示されるが、これは予期した動作とのこと。実際に暗号化が有効になっているかどうかについては、「netsh dns show encryption」コマンドの実行結果で指定した DoT ホストの「自動アップグレード」が「yes」になっていることを確認する必要があるようだ。
DoHやDoTに直接関係する話題ではないけど (スコア:2, 興味深い)
NextDNS使うとDoTとかDNSSECにも対応してる上、広告がほぼゼロになるので一石二鳥。
誤タップ狙いの広告とかがほぼ皆無になるのが超快適。ちゃんとしたサイトの運営者を考えると申し訳ない気持ちにもなるけど。
Re: (スコア:0)
自分の使い方だとNextDNSの無料枠超えてしまうから専らAdGuard DNSだな
ついにクライアントもセキュアDNSの時代かぁ (スコア:0)
かんぶかい、、、。
これで自端末内のサービスであっても隠蔽されるので
余計に面白くなるな。
#金玉にアルコール消毒のスプレーをしたら、痛熱い感じでちょーくせになる。
Re: (スコア:0)
その自端末内サービスが接続する通信先(IPアドレスとポート)は、DNSがTLSになろうとも今まで通りアクセス時にバレるから、DNSが新たにTLSになった所でって気はするね
偉い人たちから、気はする、を大きく上回るトリックが出てくることを期待しよう
Re: (スコア:0)
接続先がCloudflare等のCDNだったりすると、Cloudflareがサービスを停止させない限りアクセスを止められなくなります。
Cloudflareへのアクセス全体を止める手もありますが、この場合は巻き添え覚悟でやらなければなりませんし。
Re: (スコア:0)
Cloudflare等のCDNを利用するって時点で既にHTTPSなりの話でしょ?
それDNS部分がTLSじゃなくても同じことだよね?
DNSのパケットの中身みて判断するって話だったらなら、それFWなりDNS型WAFなりが間に入ってるって事だからプロキシよろしくそこを暗号化通信経路のエンドに出来るから実質的に平文として扱えるよね
Re: (スコア:0)
DNSトラフィックを暗号化して得られるメリットは、単に覗き見されるかどうかより、
通信先を他へ書き換える難易度を上げる方じゃないのかな。
Re: (スコア:0)
今時httpsなので、IPアドレスを書き換えても結局証明書エラーになるだけ
デフォルトで有効化する予定は?影響は? (スコア:0)
今回はOSレベルで実装のようですが、デフォルトで有効化する予定はあるのでしょうか。
その場合、ISPによるブロッキング [it.srad.jp]はほとんど機能しなくなるのでしょうか。
Re:デフォルトで有効化する予定は?影響は? (スコア:4, 参考になる)
デフォ有効化するのに必要なプロトコルのinternet draftがこちら。まだdraftだけどRFCになるのはほぼ確実な状況。
https://datatracker.ietf.org/doc/html/draft-ietf-add-dnr [ietf.org]
https://datatracker.ietf.org/doc/html/draft-ietf-add-ddr [ietf.org]
著者にmicrosoftの人が含まれてるので、windowsもたぶん対応するでしょう。ios/macosは次期バージョンで対応するっぽい。
証明書 (スコア:0)
IP アドレスに対して証明書を発行してくれる CA にお金を払わないと、 DNS サーバーも運用できない時代か
Re: (スコア:0)
とりあえず今回の話で関係あるのはクライアントとDNSキャッシュサーバーの間の通信。なので、君の言うDNSサーバーがDNSコンテンツサーバーのことなら当面影響ないのでは?
Re: (スコア:0)
DNS キャッシュサーバーの話です。どうしてこの文脈で authoritative の話だと?
Re: (スコア:0)
それは失礼した。DoTを検討するなんて、8.8.8.8や1.1.1.1のようなパブリックなサーバーの運営者くらいだと思い込んでいた。