パスワードを忘れた? アカウント作成
15733964 story
Windows

Windows 11 Insider Preview、DNS over TLS が利用可能に 14

ストーリー by headless
暗号 部門より
Microsoft が 13 日に Dev チャネルでリリースした Windows 11 Insider Preview ビルド 25158 では、DNS over TLS (DoT) が利用可能になっている (Windows Insider Blog の記事Networking Blog の記事)。

DoTを使用するには、「設定」の「ネットワークとインターネット」で「Wi-Fi > ハードウェアのプロパティ」または「イーサネット」を開き、「DNS サーバーの割り当て」の「編集」をクリックする。「DNS 設定の編集」ダイアログボックスが表示されるので「手動」を選び、「IPv4」または「IPv6」をオンにして「優先DNS」にDoTサーバーのIPアドレスを入力する。「保存」をクリックして設定を保存すると、「IPv4 DNS サーバー」または「IPv6 DNS サーバー」に「 (非暗号化)」と表示される。

あとは管理者権限のコマンドプロンプトで netsh コマンドを実行して DoT と暗号化を設定後、ipconfig コマンドで DNS キャッシュをフラッシュすれば完了だ。設定では引き続き「非暗号化」と表示されるが、これは予期した動作とのこと。実際に暗号化が有効になっているかどうかについては、「netsh dns show encryption」コマンドの実行結果で指定した DoT ホストの「自動アップグレード」が「yes」になっていることを確認する必要があるようだ。
  • by Anonymous Coward on 2022年07月17日 19時15分 (#4291526)

    NextDNS使うとDoTとかDNSSECにも対応してる上、広告がほぼゼロになるので一石二鳥。
    誤タップ狙いの広告とかがほぼ皆無になるのが超快適。ちゃんとしたサイトの運営者を考えると申し訳ない気持ちにもなるけど。

    ここに返信
    • by Anonymous Coward

      自分の使い方だとNextDNSの無料枠超えてしまうから専らAdGuard DNSだな

  • by Anonymous Coward on 2022年07月17日 18時24分 (#4291503)

    かんぶかい、、、。
    これで自端末内のサービスであっても隠蔽されるので
    余計に面白くなるな。

    #金玉にアルコール消毒のスプレーをしたら、痛熱い感じでちょーくせになる。

    ここに返信
    • by Anonymous Coward

      その自端末内サービスが接続する通信先(IPアドレスとポート)は、DNSがTLSになろうとも今まで通りアクセス時にバレるから、DNSが新たにTLSになった所でって気はするね
      偉い人たちから、気はする、を大きく上回るトリックが出てくることを期待しよう

      • by Anonymous Coward

        接続先がCloudflare等のCDNだったりすると、Cloudflareがサービスを停止させない限りアクセスを止められなくなります。
        Cloudflareへのアクセス全体を止める手もありますが、この場合は巻き添え覚悟でやらなければなりませんし。

        • by Anonymous Coward

          Cloudflare等のCDNを利用するって時点で既にHTTPSなりの話でしょ?
          それDNS部分がTLSじゃなくても同じことだよね?

          DNSのパケットの中身みて判断するって話だったらなら、それFWなりDNS型WAFなりが間に入ってるって事だからプロキシよろしくそこを暗号化通信経路のエンドに出来るから実質的に平文として扱えるよね

      • by Anonymous Coward

        DNSトラフィックを暗号化して得られるメリットは、単に覗き見されるかどうかより、
        通信先を他へ書き換える難易度を上げる方じゃないのかな。

        • by Anonymous Coward

          今時httpsなので、IPアドレスを書き換えても結局証明書エラーになるだけ

  • by Anonymous Coward on 2022年07月17日 19時11分 (#4291524)

    今回はOSレベルで実装のようですが、デフォルトで有効化する予定はあるのでしょうか。
    その場合、ISPによるブロッキング [it.srad.jp]はほとんど機能しなくなるのでしょうか。

    ここに返信
  • by Anonymous Coward on 2022年07月17日 22時44分 (#4291599)

    IP アドレスに対して証明書を発行してくれる CA にお金を払わないと、 DNS サーバーも運用できない時代か

    ここに返信
    • by Anonymous Coward

      とりあえず今回の話で関係あるのはクライアントとDNSキャッシュサーバーの間の通信。なので、君の言うDNSサーバーがDNSコンテンツサーバーのことなら当面影響ないのでは?

      • by Anonymous Coward

        DNS キャッシュサーバーの話です。どうしてこの文脈で authoritative の話だと?

        • by Anonymous Coward

          それは失礼した。DoTを検討するなんて、8.8.8.8や1.1.1.1のようなパブリックなサーバーの運営者くらいだと思い込んでいた。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...