ニュース

Firefox/Google Chromeに続き、Windowsでも“DNS over HTTPS”をサポートへ

将来的には“DNS over TLS”にも対応

“Microsoft Tech Community”でのアナウンス

 米Microsoftは11月17日(現地時間)、WindowsのDNSクライアントで“DNS over HTTPS(DoH)”をサポートする計画を明らかにした。将来的には“DNS over TLS(DoT)”にも対応していくという。

 “DNS(Domain Name System)”は“example.com”といったドメイン名からIPアドレスを調べてWebサイトに接続できるようにする仕組みで、インターネットにおける重要な基盤技術の一つだ。しかし、DNSサーバーに対するの問い合わせやその応答は通常、平文で行われるため、中間者攻撃(man-in-the-middle attack)により内容を盗聴したり、改竄やなりすましに悪用される可能性がある。

 そこで、セキュリティやプライバシーを守るためにいくつかのDNS暗号技術が標準化されたが、最近有力視されているのが“DoH”だ。HTTPSによる暗号化接続はWebブラウザーで広く普及しており、導入が比較的容易で、短期間での実装が可能であるのが主な理由で、「Firefox」や「Google Chrome」でも導入が進んでいる。既存の設定を維持したままWindows環境をDoHに対応させるのは容易ではないが、同社はインターネットのエコシステム全体を健全にするのに役立つとして、DoHサポートを積極的に進める考えだ。

 一方で、WindowsのDoH対応に対してはいくつかの課題もある。DNSの設定が過度に複雑になったり、DoHを利用するためにOSがユーザーのDNS設定を無視したり、勝手に変更するのではないかという懸念や、サーバー・クライアントの両方が暗号化をサポートしていない場合に、通常のDNSへシームレスに切り替える“フォールバック”処理をどうするかといった問題だ。フォールバックの問題は、ISPが提供するフィルタリングサービスやピアレンタルコントロールサービスがDoHでは利用できないという事情にも関わる。

 同社はこの点に関し、ユーザーや管理者が構成したDNS設定を尊重し、勝手に変更を加えないこと(ユーザーによるコントロール)、DoHがどのようなものがわからないユーザーも保護されるよう、利用可能であれば既定でDoHを利用すること(プライバシーの重視)といった原則を掲げている。手始めとして、DoHをサポートするパブリックDNSサーバーを利用するよう設定されている環境でDoHを既定で有効化し、フォールバック処理に関する課題を見極めたい考えだ。