NW屋的新幹線通勤日記(3ヶ月限定名称)

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

DNS over HTTPSが気になってます(1)

 こんばんは。DNSに関するセキュリティ周りについて話す機会があったので、以前から気になっていたDNS over HTTPSについて少しググってみました。

 DNSは基本的に53/udpでクエリを返してくれます。UDPであることによる信頼性の問題という話が必ず出てきます。Webサイトが常時SSL化されても、名前解決であるDNSに関する信頼性について疑問が残ると、「全体としての信頼性はどうなの?」という話になるのは十分理解出来ます。

 上記の問題点を踏まえて、信頼性を担保するためにDNS over TLSDNS over DTLSなどの技術が登場してきた背景があります。 両者に関して、昨年夏に記事を書いてました。こちらです。

karasuma-kitaoji.hatenablog.com

 853/tcpや853/udpを使います。これらのポートをFWで閉じている組織も少なくないのではないでしょうか。技術的な問題もあるのでしょうが、単純にFWでフィルタリングがかかっていて使えないというケースも多そうです。

 これを受けてなのかどうかは分かりませんが、通信経路を暗号化して安全な通信が出来るようにするためのハードルを下げることを狙って、DNS over HTTPSが登場したものと推測します。443/tcpならば、FWで通信許可している場合が多いと思われます。利用者側にも提供者側にも都合がいい仕組みとも言えそうです。

 JPNICのページに詳細が載っていますので、こちらを御参照下さい。

インターネット用語1分解説~DNS over HTTPSとは~ - JPNIC

 DNS over HTTPSについては、もう少し書いてみたいことがありますので、続きは後日書いてみることにします。しばしお待ち下さいませ。<(_ _)>