DNS over HTTPSを使用してルーターに触れることなくDNSを暗号化する方法

DoH は HTTPS (ポート 443) を使用して DNS クエリを暗号化し、プライバシーを向上させ、改ざんを防止します。
ルーターに依存せずに、ブラウザーやシステム (Windows Server 2022 を含む) でアクティブ化できます。
従来の DNS と同様のパフォーマンス。応答を検証するために DNSSEC によって補完されます。
一般的な DoH サーバー (Cloudflare、Google、Quad9) と、独自のリゾルバーを追加または設定する機能。

¿DNS over HTTPS を使用してルーターに触れることなく DNS を暗号化する方法は? 自分が接続したウェブサイトを誰が見ているか気になる場合は、 DNS over HTTPS でドメインネームシステムクエリを暗号化する ルーターと格闘することなくプライバシーを強化する最も簡単な方法の一つです。DoHを使用すると、ドメインをIPアドレスに変換するトランスレータが、暗号化されていない状態での通信を停止し、HTTPSトンネルを経由するようになります。

このガイドでは、専門用語を使わずに、直接的な言葉で、 DoHとは一体何なのか、DoTなどの他の選択肢とどう違うのかブラウザやオペレーティングシステム（Windows Server 2022を含む）でDoHを有効にする方法、実際に動作しているかどうかを確認する方法、サポートされているサーバー、そして勇気があれば独自のDoHリゾルバーを設定する方法まで、すべて網羅しています。 ルーターに触れることなく…MikroTik で設定したい人向けのオプションのセクションを除きます。

DNS over HTTPS (DoH)とは何か、なぜ重要なのか

ドメイン (たとえば、Xataka.com) を入力すると、コンピューターは DNS リゾルバーにその IP を問い合わせます。 このプロセスは通常プレーンテキストで行われる そして、ネットワーク上の誰でも、インターネットプロバイダーや中間デバイスでも、それを盗聴したり操作したりすることができます。これが、従来のDNSの本質です。高速で、ユビキタスであり、第三者に対して透明性があるのです。

ここで DoH が登場します: DNSの質問と回答を、セキュアウェブで使用されるのと同じ暗号化チャネル（HTTPS、ポート443）に移動します。その結果、データが「オープン」な状態で移動することはなくなり、スパイ行為、クエリハイジャック、そして特定の中間者攻撃の可能性が低減されます。さらに、多くのテストにおいて、 遅延は顕著に悪化しない トランスポートの最適化により、さらに改善される可能性もあります。

重要な利点は DoHはアプリケーションレベルまたはシステムレベルで有効化できるなので、通信事業者やルーターに頼って何かを有効にする必要はありません。つまり、ネットワーク機器に触れることなく、「ブラウザから」自分自身を保護できるのです。

DoH と DoT (DNS over TLS) を区別することが重要です。 DoTはポート853でDNSを暗号化します DoHはTLS経由で直接通信するのに対し、DoHはそれをHTTP(S)に統合する。DoTは理論上はより単純だが、 ファイアウォールによってブロックされる可能性が高い 一般的でないポートをカットするDoHとは異なり、443を使用することで、これらの制限をより適切に回避し、暗号化されていないDNSへの強制的な「プッシュバック」攻撃を防止します。

プライバシーについて: HTTPS の使用は、Cookie や DoH での追跡を意味するものではありません。 規格ではその使用を明示的に推奨していない この文脈において、TLS 1.3はセッションの再起動の必要性を減らし、相関関係を最小限に抑えます。また、パフォーマンスが懸念される場合は、HTTP/3 over QUICを利用することで、ブロッキングなしでクエリを多重化することで、さらなるパフォーマンス向上を実現できます。

DNSの仕組み、一般的なリスク、DoHの適用範囲

通常、オペレーティングシステムは、DHCP 経由でどのリゾルバを使用するかを学習します。 自宅では通常ISPを使用しますオフィス、企業ネットワークなど、様々な場所で発生します。この通信が暗号化されていない場合（UDP/TCP 53）、Wi-Fiやそのルート上の誰でも、検索されたドメインを確認したり、偽の応答を挿入したり、一部の事業者のように、ドメインが存在しないにもかかわらず検索ページにリダイレクトしたりすることが可能になります。

一般的なトラフィック分析では、ポート、送信元/宛先 IP、および解決されたドメイン自体が明らかになります。 これは閲覧習慣を明らかにするだけでなくまた、これにより、たとえば Twitter アドレスなどへの後続の接続を関連付け、どのページにアクセスしたかを正確に推測することも容易になります。

DoTではDNSメッセージはポート853のTLS内に入りますが、DoHでは DNSクエリは標準のHTTPSリクエストにカプセル化されますは、ブラウザAPIを介してWebアプリケーションからも利用できるようになります。どちらのメカニズムも、証明書によるサーバー認証とエンドツーエンドの暗号化チャネルという共通の基盤を共有しています。

限定コンテンツ - ここをクリックしてください Instagramでボットをブロックする方法

新しい港の問題は、 一部のネットワークは853をブロックしますソフトウェアが暗号化されていないDNSに「フォールバック」することを促します。DoHは、Webで一般的な443を使用することで、この脆弱性を軽減します。DNS/QUICも有望な選択肢ですが、UDPのオープンアクセスが必要であり、常に利用できるとは限りません。

トランスポートを暗号化する場合でも、次の 1 つのニュアンスに注意してください。 リゾルバが嘘をついた場合、暗号はそれを訂正しません。この目的のためにDNSSECが存在します。DNSSECは応答の整合性を検証できますが、普及が進んでおらず、一部の仲介者によって機能が損なわれています。それでもDoHは、第三者がクエリを盗聴したり改ざんしたりするのを防ぎます。

ルーターに触れずに有効化する：ブラウザとシステム

最も簡単な方法は、ブラウザまたはオペレーティングシステムで DoH を有効にすることです。 チームからの問い合わせを防ぐ方法 ルーターのファームウェアに依存せずに。

グーグルクローム

現在のバージョンでは、 chrome://settings/security 「セキュアDNSを使用する」の欄には、 オプションを有効にしてプロバイダーを選択します (DoH をサポートしている現在のプロバイダー、または Cloudflare や Google DNS など Google のリストにあるプロバイダー)。

以前のバージョンでは、Chromeは実験的なスイッチを提供していました。 chrome://flags/#dns-over-https「セキュアDNSルックアップ」を検索し、 デフォルトから有効に変更します変更を適用するにはブラウザを再起動してください。

Microsoft Edge（Chromium）

ChromiumベースのEdgeにも同様のオプションがあります。必要な場合は、 edge://flags/#dns-over-https「セキュアDNSルックアップ」を見つけて 有効にする最新バージョンでは、プライバシー設定でアクティベーションを行うこともできます。

モジラファイアフォックス

メニュー（右上）を開く > 設定 > 一般 > 「ネットワーク設定」までスクロールして、構成「アクティブ DNS ソブレ HTTPS」。CloudflareやNextDNSなどのプロバイダーから選択できます。

細かい制御をしたい場合は、 about:config 調整する network.trr.mode: 2（機会主義者）はDoHを使用し、フォールバックを行う 利用できない場合 3つの（厳格な）義務DoH サポートされていない場合は失敗します。厳密モードでは、ブートストラップリゾルバを次のように定義します。 network.trr.bootstrapAddress=1.1.1.1.

オペラ

バージョン65以降、Operaには 1.1.1.1でDoHを有効にするデフォルトでは無効になっており、日和見モードで動作します。1.1.1.1:443 が応答した場合は DoH を使用し、それ以外の場合は暗号化されていないリゾルバにフォールバックします。

Windows 10/11: 自動検出 (AutoDoH) とレジストリ

Windowsは、特定の既知のリゾルバでDoHを自動的に有効にすることができます。古いバージョンでは、 行動を強制できる レジストリから: 実行 regedit そして HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

DWORD（32ビット）を作成します EnableAutoDoh 価値のある 2 y コンピュータを再起動しますこれは、DoH をサポートする DNS サーバーを使用している場合に機能します。

Windows Server 2022: ネイティブ DoH を備えた DNS クライアント

Windows Server 2022 の組み込み DNS クライアントは DoH をサポートしています。 DoH は、「既知の DoH」リストにあるサーバーでのみ使用できます。 または自分で追加します。グラフィカルインターフェースから設定するには：

Windowsの設定を開く > ネットワークとインターネット.
入力 イーサネット インターフェースを選択します。
ネットワーク画面で下にスクロールします DNS設定 そして押す編集.
優先サーバーおよび代替サーバーを定義するには、「手動」を選択します。
これらのアドレスが既知のDoHリストに含まれている場合、有効になります 「優先DNS暗号化」 次の XNUMX つのオプションがあります。
- 暗号化のみ（DNS over HTTPS）: DoH を強制します。サーバーが DoH をサポートしていない場合は解決されません。
- 暗号化を優先し、非暗号化を許可する: DoH を試行し、失敗した場合は暗号化されていない従来の DNS にフォールバックします。
- 暗号化されていないもののみ: 従来のプレーンテキスト DNS を使用します。
変更を適用するには保存します。

PowerShell を使用して、既知の DoH リゾルバーのリストを照会および拡張することもできます。 現在のリストを見るには:

Get-DNSClientDohServerAddress

新しい既知の DoH サーバーをテンプレートに登録するには、次を使用します。

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

コマンドレット Set-DNSClientServerAddress 自分自身を制御しない DoHの使用。暗号化は、それらのアドレスが既知のDoHサーバーのテーブルに含まれているかどうかに依存します。現在、Windows Server 2022 DNSクライアントのDoHは、Windows Admin Centerまたは sconfig.cmd.

Windows Server 2022 のグループポリシー

という指令があります 「DNS over HTTPS (DoH) を構成する」 en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS有効にすると、以下を選択できます。

DoHを許可する: サーバーがサポートしている場合は DoH を使用し、サポートしていない場合は暗号化せずにクエリを実行します。
バン・ドハ: DoH は使用しません。
DoHを要求する: DoH を強制します。サポートされていない場合は解決に失敗します。

限定コンテンツ - ここをクリックしてください携帯電話のパスワードを解読する方法

重要： ドメインに参加しているコンピュータでは「DoH が必要」を有効にしないでくださいActive DirectoryはDNSに依存しており、Windows ServerのDNSサーバーの役割はDoHクエリをサポートしていません。AD環境内でDNSトラフィックを保護する必要がある場合は、 IPsecルール クライアントと内部リゾルバ間。

特定のドメインを特定のリゾルバにリダイレクトしたい場合は、 NRPT (名前解決ポリシーテーブル)宛先サーバーが既知のDoHリストに登録されている場合、 これらの協議 DoH を通過します。

Android、iOS、Linux

Android 9以降では、オプション プライベートDNS DoT (DoH ではない) を 2 つのモードで許可します: 「自動」(日和見的、ネットワークリゾルバを使用) と「厳密」(証明書によって検証されたホスト名を指定する必要があり、直接 IP はサポートされていません)。

iOSとAndroidでは、アプリ 1.1.1.1 CloudflareはVPN APIを使用して厳密モードでDoHまたはDoTを有効にし、暗号化されていないリクエストを傍受し、 安全なチャネルを通じて転送する.

Linuxでは、 systemd-resolved systemd 239以降ではDoTをサポートしています。デフォルトでは無効になっています。証明書を検証しない日和見モードと、CA検証はするがSNIや名前検証はしない厳密モード（243以降）を提供しています。 信頼モデルを弱める 道路上の攻撃者に対して。

Linux、macOS、Windowsでは、次のような厳密モードのDoHクライアントを選択できます。 cloudflared proxy-dns （デフォルトでは1.1.1.1を使用しますが、 アップストリームを定義できる 代替手段）。

既知のDoHサーバー（Windows）と追加方法

Windows Server には、DoH をサポートすることがわかっているリゾルバーのリストが含まれています。 PowerShellで確認できる 必要に応じて新しいエントリを追加します。

これらは すぐに使える既知のDoHサーバー:

サーバー所有者	DNSサーバーのIPアドレス
クラウドフレア	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
グーグル	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
クワッド9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

のために リストを見る、実行：

Get-DNSClientDohServerAddress

のために テンプレートを使用して新しいDoHリゾルバを追加する、用途:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

複数の名前空間を管理する場合、NRPTを使用すると、 特定のドメインを管理する DoH をサポートする特定のリゾルバへ。

DoHがアクティブかどうかを確認する方法

ブラウザでは、 https://1.1.1.1/help; そこで、 あなたのトラフィックはDoHを使用しています 1.1.1.1 に対応しているかどうか。現在の状態を確認するための簡単なテストです。

Windows 10（バージョン2004）では、クラシックDNSトラフィック（ポート53）を監視できます。 PKTMON 特権コンソールから:

pktmon filter add -p 53
pktmon start --etw -m real-time

53にパケットの連続ストリームが表示される場合、 まだ暗号化されていないDNSを使用しています覚えておいてください:パラメータ --etw -m real-time 2004 が必要です。それ以前のバージョンでは、「不明なパラメーター」エラーが表示されます。

オプション: ルーター (MikroTik) で設定する

ルーター上で暗号化を集中管理したい場合は、MikroTik デバイスで DoH を簡単に有効にできます。 まずルートCAをインポートします 接続先のサーバーによって署名されます。Cloudflareの場合はダウンロードできます。 DigiCertGlobalRootCA.crt.pem.

ファイルをルーターにアップロードし（「ファイル」にドラッグして）、 システム > 証明書 > インポート それを組み込む。次に、ルーターのDNSを次のように設定します。 Cloudflare DoH URLアクティブになると、ルータはデフォルトの暗号化されていない DNS よりも暗号化された接続を優先します。

限定コンテンツ - ここをクリックしてください Kaspersky Anti-Virus を使用するにはどうすればよいですか?

すべてが順調であることを確認するには、 1.1.1.1/ヘルプルーターの背後にあるコンピューターから。 ターミナル経由ですべてを行うこともできます 必要に応じて RouterOS で実行してください。

パフォーマンス、追加のプライバシー、およびアプローチの限界

速度に関しては、解決時間と実際のページ読み込みという 2 つの指標が重要です。 独立したテスト（SamKnowsなど） 彼らは、DoH と従来の DNS (Do53) の違いはどちらの面でもわずかであり、実際には速度低下に気付くことはないはずだと結論付けています。

DoH は「DNS クエリ」を暗号化しますが、ネットワーク上にはさらに多くの信号が存在します。 DNSを隠してもISPは推測できる TLS接続（一部のレガシーシナリオではSNIなど）またはその他のトレースを介して行われます。プライバシーを強化するには、DoT、DNSCrypt、DNSCurve、またはメタデータを最小限に抑えるクライアントを検討してください。

すべてのエコシステムがまだ DoH をサポートしているわけではありません。 多くの従来のリゾルバはこれを提供していません。、パブリックソース（Cloudflare、Google、Quad9など）への依存を余儀なくされます。これにより、中央集権化に関する議論が巻き起こります。クエリを少数のアクターに集中させることは、プライバシーと信頼のコストを伴います。

企業環境では、DoHは次のようなセキュリティポリシーと衝突する可能性があります。 DNS監視またはフィルタリング （マルウェア、ペアレンタルコントロール、法令遵守）。ソリューションとしては、DoH/DoTリゾルバーを厳密モードに設定するMDM/グループポリシーや、ドメインベースのブロックよりも精度の高いアプリケーションレベルの制御との組み合わせなどが挙げられます。

DNSSEC は DoH を補完します。 DoHはトランスポートを保護し、DNSSECは応答を検証する導入状況は不均一で、中間デバイスによっては暗号化が破られるケースもありますが、傾向としては良好です。リゾルバと権威サーバー間の経路では、DNSは伝統的に暗号化されていません。大規模事業者の間では、保護強化のためにDoT（DoT：Dot Protocol）を使用する実験が既に行われています（例：Facebookの権威サーバーでは1.1.1.1）。

中間的な代替案としては、 ルーターとリゾルバデバイスとルーター間の接続は暗号化されません。安全な有線ネットワークでは有効ですが、オープンなWi-Fiネットワークでは推奨されません。LAN内で他のユーザーがこれらのクエリを傍受したり操作したりする可能性があるためです。

独自のDoHリゾルバを作成する

完全な独立性が必要な場合は、独自のリゾルバを展開できます。 Unbound + Redis (L2 キャッシュ) + Nginx DoH URL を提供し、自動的に更新可能なリストでドメインをフィルタリングするための一般的な組み合わせです。

このスタックは、中程度のVPS（例えば、 1芯2線 家族向けです。このリポジトリのような、すぐに使用できる手順が記載されたガイドがあります: github.com/ousatov-ua/dns-filtering。 一部のVPSプロバイダーはウェルカムクレジットを提供しています 新規ユーザー向けに、低コストでトライアルを設定できます。

プライベートリゾルバを使用すると、フィルタリングソースを選択し、保持ポリシーを決定し、 クエリを集中化しないようにする 第三者に提供します。その代わりに、セキュリティ、メンテナンス、高可用性を管理します。

最後に、重要な注意事項を 1 つ述べます。インターネットでは、オプション、メニュー、名前が頻繁に変更されます。 古いガイドの中には時代遅れになっているものもある (たとえば、Chrome の「フラグ」を確認することは、最近のバージョンでは不要になりました。) 必ずブラウザまたはシステムのドキュメントを確認してください。

ここまで読んでいただければ、DoHが何をするのか、DoTやDNSSECとどう関係するのか、そして最も重要なことは、 今すぐデバイスで有効化する方法 DNSが平文のまま送信されるのを防ぐためです。ブラウザで数回クリックするか、Windows（Server 2022ではポリシーレベルでも）で調整するだけで、クエリを暗号化できます。さらに高度なセキュリティが必要な場合は、暗号化をMikroTikルーターに移行するか、独自のリゾルバーを構築することもできます。重要なのは、 ルーターに触れることなく、現在最も話題になっているトラフィック部分の 1 つを保護できます。.

クリスチャン・ガルシア

幼い頃からテクノロジーに熱中。私はこの分野の最新情報を知ること、そして何よりもそれを伝えることが大好きです。だからこそ、私は長年テクノロジーとビデオゲームのウェブサイトでのコミュニケーションに専念してきました。 Android、Windows、MacOS、iOS、Nintendo、またはその他の思いついた関連トピックについて書いているのを見つけることができます。