※当ページはアフィリエイトプログラムによる収益を得ています。
パプリックDNSサーバーを使うなら気をつけたい通信の暗号化
DNSサーバーはISPが提供する物とは別に接続先の安全性やフィルタリングを行ってくれるパプリックDNSサーバーを使うことも可能です。
ISPのDNSサーバーが不調な際やアクセス過多で速度低下している際もパプリックDNSサーバーへ切り替えることでブラウジングの高速化に繋がることから常用しているユーザーも多くいます。
しかしDNSサーバーの通信は暗合されないことが一般的でパプリックDNSサーバーも同様です。ISPが契約者向けに提供するDNSサーバーと違い、多くの通信が混み合うパプリックDNSサーバーでは通信の改ざんというリスクがあり暗号化の導入が注目されています。そこで今回はパプリックDNSサーバーを使うなら気をつけたい通信の暗号化についてご紹介します。
DNSサーバーとの通信をTLSやHTTPSで暗号化する方法が登場
パプリックDNSサーバーとの通信は幾つものサーバーを経由するため通信内容の傍受や改ざんという危険があります。一方でISPのDNSサーバーはISPの通信網内で完結してる為パプリックDNSサーバーのようなリスクは考えにくく、通信の暗号化はパプリックDNSサーバーにこそ必要です。暗号化にはTLSやHTTPSが採用され、それぞれ「DoT」・「DoH」と呼ばれています。
暗号化によって安全性は向上するが完全ではない
暗号化によってパプリックDNSサーバーとユーザー間の改ざんや盗聴というリスクから解放されますが、パプリックDNSサーバーの提供する内容が正しいとは限りません。
フィルタリングの内容も含めてパプリックDNSサーバーが信頼できるかどうかは公開されている利用規約や運営会社次第である点に注意しましょう。
「DoT」・「DoH」導入によってわずかにレスポンスは低下する
暗号化のプロセスはデータをサーバー側で暗号化し、ユーザー側で複合化するというものであり処理にはわずかながら時間を要します。
そのため暗号化されていないDNSサーバーと比較してDoT・DoHを導入したDNSサーバーはわずかにPing値が上昇するという弊害があります。ブラウジングであればほとんど影響はありませんがゲーミング用途ならどの程度提供が出るか計測した上で利用しましょう。
OSやブラウザは「DoT」・「DoH」への対応が進んでいるが設定が難しい場合も
主要なOSやブラウザでは既にDoT・DoHへ対応が終わっていますが、実際に使用するために必要な機能の有効化や導入手順はやや複雑です。
中には普段一般ユーザーが見る機会もない動作保証外の設定画面でしか有効かできないFirefoxのような例もあり、やや上級者向けの作業内容となっている点が今後どこまで改善するか注目です。
まとめ
DoTとDoHは標準化よりもその必要性から実装が早期に始まった技術であり、今度どのような方向へ進むのか不透明です。しかしWEB上のやりとりが非暗号化から暗号化へ進んでいるようにDNSサーバーとの通信も暗号化が進んでいくことは間違いないようです。
もちろん導入設定やレスポンスの低下といった障害はありますが安全性を優先するならDoTとDoHの導入をおすすめします。
