DNS over HTTPS（DoH）のすすめ

DNSとは…

普段ネットを見るとき、例えば「king.mineo.jp」だったら、マイネ王だと認識出来ると思います。（これをドメインと言います。）
しかし、コンピュータはドメインのアルファベットの羅列をそのままでは認識出来ません。

コンピュータは、IPアドレス（インターネットの住所）をつかってサイトにアクセスします。
マイネ王なら「52.68.46.99」です。

これらを相互に照らし合わせて、インターネットのアクセスの手助けをしてくれるのが、DNSという仕組みです。
インターネットに接続する機器にはこの機能が必ず備わっています。

「king.mineo.jp」⇔「52.68.46.99」
これを相互に変換します。

これは、電話をかけるときに似ていますね。
誰かに電話をかける時に電話番号をつかって電話をかけますよね。


DNS over HTTPS（DoH）とは…

IPアドレスとドメインを照らし合わせる、DNSのサーバーは、サービスごとに存在し、世界中の至るところにありますが、それをまとめて一つにしてくれる「DNSリゾルバ」という物があります。
電話で例えるなら、インターネットの電話帳ですね。
これのおかげで、インターネットに接続する時間が格段に早くなります。

しかし、これには一つ問題があります。
そのままでは、パソコンとDNSリゾルバとの通信が暗号化されていません。

暗号化していないと、サーバー同士の情報伝達のバケツリレーの途中で偽物とすり替えられてしまう可能性があります。

なので、インターネットでポピュラーな「HTTPS」という暗号化方式を使い、正しいDNSの情報を得ようと言うのがDNS over HTTPS（DoH）です。

暗号化していれば、偽物とすり替えられてもすぐに気付くことができます。
また、どこのサイトにアクセスしようとしていたか、第三者に悟られることもありません。


MacBookでDNS over HTTPS（DoH）を設定してみた。

このサイトを参考に、ターミナルにコマンドを打ち込んでDoHのツールをインストールします。
https://news.ycombinator.com/item?id=16729705

今回はCloud Flareが提供するDNSリゾルバを選択しましたが、他にもいくつか選択可能です。

DoHをパソコン上で通常のDNS通信に変換してくれる物です。

自分のパソコン上であれば、ウイルスやマルウェアに感染していない限り、不正な動作は行われないと考えていいでしょう。

ツールの設定が終わったら、通常のDNSサーバー名は、自分のパソコンを示す「127.0.0.1（ループバックアドレス）」に変更します。

そして、疎通テストです。

※本名が丸出しだったので一部加工しています。

nslookupコマンド、digコマンドともに、問題なく応答があります。

これで、より安全なインターネット接続が出来るようになりました。


今のところ、DoHはスマホやルータなどでの対応は聞いたことがありませんが、近いうちに普及すると思います。
パソコンも、わざわざコマンド使ってツールをインストールしなくても、設定画面をちょっと触るだけで使えるようになるかも知れません。


※mineoの通信や家でのインターネットでプロバイダ（インターネット接続サービス会社）の物をそのまま使っている人は、通常DNSが偽物に書き換えられる可能性は非常に低いですが、
普段からパブリックDNSリゾルバ（公共DNSリゾルバ）を使用している人や、公衆Wi-Fi・公衆ネットワークを使う人は、ネットワーク上でDNSを書き換える不正なプログラムが働いている可能性が否定できないので、DoHの設定をやっておいた方がいいかもしれません。