DNS 暗号化プロトコルとは何ですか?どれがあなたのウェブトラフィックを最もよく保護しますか?

ドメインネームシステム (DNS) は、インターネットの電話帳として広く考えられており、ドメイン名を IP アドレスなどのコンピューターが読み取り可能な情報に変換します。

アドレスバーにドメイン名を入力すると、DNS はそれを対応する IP アドレスに自動的に変換します。ブラウザはこの情報を使用して、元のサーバーからデータを取得し、サイトを読み込みます。

しかし、ハッカーは DNS トラフィックを監視することが多いため、Web ブラウジングのプライバシーと安全性を保つには暗号化が必要です。

DNS 暗号化プロトコルとは何ですか?

DNS 暗号化プロトコルは、DNS クエリと応答を暗号化することで、ネットワークまたは Web サイトのプライバシーとセキュリティを向上させるように設計されています。 DNS クエリと応答は、通常、プレーンテキストで送信されるため、ハッカーが通信を傍受したり改ざんしたりすることが容易になります。

DNS 暗号化プロトコルにより、ハッカーが機密データを閲覧、変更したり、ネットワークを侵害したりすることがますます困難になります。クエリを詮索好きな目から保護できる暗号化された DNS プロバイダーは数多くあります。

最も一般的なDNS暗号化プロトコル

現在使用されている DNS 暗号化プロトコルはいくつかあります。これらの暗号化プロトコルを使用すると、トランスポート層セキュリティ (TLS) 接続を介して HTTPS プロトコル内のトラフィックを暗号化することで、ネットワークのスヌーピングを防ぐことができます。

1. DNS暗号化

DNSCrypt は、ユーザーのコンピューターと共通ネームサーバー間のすべての DNS トラフィックを暗号化するネットワークプロトコルです。このプロトコルは、公開鍵インフラストラクチャ (PKI) を使用して、DNS サーバーとクライアントの信頼性を検証します。

公開鍵と秘密鍵の 2 つの鍵を使用して、クライアントとサーバー間の通信を認証します。 DNS クエリを開始するとき、クライアントはサーバーの公開キーを使用してそれを暗号化します。

暗号化されたクエリはサーバーに送信され、サーバーは秘密鍵を使用してクエリを復号化します。このようにして、DNSCrypt はクライアントとサーバー間の通信が常に認証され、暗号化されることを保証します。

DNSCrypt は比較的古いネットワークプロトコルです。新しいプロトコルはより広範なサポートと強力なセキュリティ保証を提供するため、DNS-over-TLS (DoT) と DNS-over-HTTPS (DoH) に大部分が置き換えられました。

2. DNS over TLS

DNS-over-TLS は、トランスポート層セキュリティ (TLS) を使用して DNS クエリを暗号化します。 TLS により、DNS クエリがエンドツーエンドで暗号化され、中間者 (MITM) 攻撃が防止されます。

DNS-over-TLS (DoT) を使用すると、DNS クエリは暗号化されていないリゾルバではなく、DNS-over-TLS リゾルバに送信されます。 DNS-over-TLS リゾルバは DNS クエリを復号化し、ユーザーに代わって権威 DNS サーバーに送信します。

DoT のデフォルトポートは TCP ポート 853 です。 DoT 接続を使用する場合、クライアントとリゾルバの両方がデジタルハンドシェイクを実行します。次に、クライアントは暗号化された TLS チャネルを介して DNS クエリをリゾルバに送信します。

DNS リゾルバはクエリを処理し、対応する IP アドレスを見つけ、暗号化されたチャネルを介してクライアントに応答を返します。暗号化された応答はクライアントによって受信され、復号化され、クライアントは IP アドレスを使用して目的の Web サイトまたはサービスに接続します。

3. DNS over HTTPS

HTTPS は、現在 Web サイトへのアクセスに使用されている HTTP の安全なバージョンです。 DNS-over-TLS と同様に、DNS-over-HTTPS (DoH) は、ネットワーク経由で送信される前にすべての情報を暗号化します。

目標は同じですが、DoH と DoT にはいくつかの基本的な違いがあります。まず、DoH はトラフィックを暗号化するために TLS 接続を直接作成するのではなく、すべての暗号化されたクエリを HTTPS 経由で送信します。

2 つ目は、一般的な通信にポート 403 を使用するため、一般的な Web トラフィックと区別することが困難になることです。 DoT はポート 853 を使用するため、そのポートからのトラフィックを識別してブロックすることが容易になります。

DoH は既存の HTTPS インフラストラクチャを活用するため、Mozilla Firefox や Google Chrome などの Web ブラウザーで広く採用されています。 DoT は、Web ブラウザーに直接統合されるのではなく、オペレーティングシステムや専用の DNS リゾルバーによって使用されることが一般的です。

DoH がより広く採用されている主な理由は 2 つあります。既存の Web ブラウザーに統合するのがより簡単なことと、さらに重要な点として、通常の Web トラフィックとシームレスに融合するため、ブロックするのがはるかに困難になることです。

4. DNS over QUIC

DNS-over-QUIC (DoQ) は、このリストにある他の DNS 暗号化プロトコルと比較するとかなり新しいものです。これは、QUIC (Quick UDP Internet Connections) トランスポートプロトコルを介して DNS クエリと応答を送信する、新しい安全なプロトコルです。

今日のほとんどのインターネットトラフィックは、伝送制御プロトコル (TCP) またはユーザーデータグラムプロトコル (UDP) のいずれかに依存しており、DNS クエリは多くの場合 UDP 経由で送信されます。ただし、TCP/UDP の欠点の一部を克服し、遅延を減らしてセキュリティを向上させるために QUIC プロトコルが導入されました。

QUIC は、TCP や TLS などの従来のプロトコルよりも優れたパフォーマンス、セキュリティ、信頼性を提供することを目的として、Google によって開発された比較的新しいトランスポートプロトコルです。 QUIC は TCP と UDP の機能を組み合わせ、TLS に似た組み込み暗号化も統合します。

DoQ は新しいため、上記のプロトコルに比べていくつかの利点があります。まず、DoQ はパフォーマンスの向上、全体的なレイテンシの削減、接続時間の改善を実現します。これにより、DNS 解決 (DNS が IP アドレスを解決するのにかかる時間) が速くなります。最終的には、Web サイトをより速く提供できるようになります。

さらに重要なのは、DoQ は TCP ベースのプロトコルとは異なり、完全な再送信を行わずに失われたパケットから回復できるため、TCP や UDP よりもパケット損失に対する耐性が高いことです。

さらに、QUIC を使用すると接続の移行が簡単になります。 QUIC は複数のストリームを単一の接続にカプセル化し、接続に必要なラウンドトリップの回数を減らしてパフォーマンスを向上させます。これは、Wi-Fi とセルラーネットワークを切り替えるときにも便利です。

他のプロトコルと比較すると、QUIC はまだ広く採用されていません。しかし、Apple、Google、Meta などの企業はすでに QUIC を使用しており、独自のバージョンを作成することも少なくありません (Microsoft はすべての SMB トラフィックに MsQUIC を使用しています)。これは将来にとって良い兆候です。