1.1.1.1とは何ですか?どのようにしてインターネットを高速化し、閲覧時のデータを保護しますか?

1.1.1.1とは何ですか?

1.1.1.1 は、有名なリバース プロキシ サービス プロバイダーである Cloudflare の高速で安全性の高い DNS サービスです。 CloudflareのDNSサービスは、ユーザーがインターネットのアクセス速度を向上させながら、閲覧履歴の追跡を最小限に抑えるのに役立ちます。 Cloudflare によると、DNS サービスの応答時間はわずか 14 ミリ秒で、OpenDNS (20 ミリ秒) や Google DNS (34 ミリ秒) よりもはるかに高速です。

APNIC によって提供される Cloudflare の IPv4 アドレスは、1.1.1.1 と 1.0.0.1 で覚えやすいです。

また、CloudflareのDNSサービスを利用すると、記録されたすべての記録が24時間以内に削除され、データが公開されたり使用されたりすることがないため、ユーザーは安心して利用できます。

DNS におけるリゾルバーの役割

ドメイン名を解決するとき、クエリはバックエンド システム (Web ブラウザなど) から再帰DNS サービスに送信されます。 DNSレコードがサービスのローカル キャッシュにない場合は、信頼された DNS 階層に再帰的にクエリを実行して、探している IP アドレス情報を見つけます。再帰は DNS 1.1.1.1 の機能の一部であるため、高速かつ安全である必要があります。

1.1.1.1の目的

Cloudflareの目標は、ユーザーのプライバシー保護の基準を引き上げながら、世界最速のパブリックリゾルバーを動作させることです。インターネットを高速化するために、同社はユーザーからコンテンツまでの距離 (つまり遅延) を短縮するために世界中にデータセンターを構築しました。

3月だけで、Cloudflareは世界中で31の新しいデータセンターを稼働させました（イスタンブール、レイキャビク、リヤド、マカオ、バグダッド、ヒューストン、インディアナポリス、モンゴメリー、ピッツバーグ、サクラメント、メキシコシティ、テルアビブ、ダーバン、ポートルイス、セブシティ、エディンバラ、リガ、タリン、ビリニュス、カルガリー、サスカトゥーン、ウィニペグ、ジャクソンビル、メンフィス、タラハシー、ボゴタ、ルクセンブルク市、キシナウ）、およびこのネットワーク内の他の都市と同様に、新しいサイトでは初日に DNS リゾルバー 1.1 .1.1 を実行します。

この高速で広範囲に分散されたネットワークは、あらゆるプロトコルに対応できるように構築されており、Cloudflare は現在、インターネット上で最も高速で信頼性の高い DNS プロバイダーです。さらに、同社は 30 台のルート ネームサーバーのうち 2 台に対してエニーキャスト サービス (ルート ドメイン名解決サービス) を提供し、ユーザーには再帰 DNS サービスも提供します。再帰では、同じ場所にある権限のあるサーバーを利用して、すべてのドメイン名の検索を高速化できます。

DNSSEC は、リゾルバーと信頼できるサーバー間のデータの整合性を保証しますが、ユーザーの「ラスト ワンマイル」のプライバシーは保護しません。ただし、DNS リゾルバー 1.1.1.1 は、新しい DNS セキュリティ標準である DNS-over-TLS および DNS-over-HTTPS をサポートし、ユーザーの DNS クエリを非公開かつ機密に保つためのラストマイル暗号化を提供します。

リゾルバーはプライバシーを保護します

以前は、ルートまたは信頼できる DNS への経路を見つけるために、完全なドメイン名を任意の仲介者に再帰的に送信していました。これは、Web サイト quantrimang.com にアクセスすると、ルート サーバーが単にリダイレクトするだけであっても、ルート サーバーと .com サーバーは完全なドメイン名 (つまり、quantrimang と com の部分) で照会されることを意味します。.com に変換されます (完全なドメインから独立しています)。 DNS 経由でこれらすべての個人的な閲覧情報に簡単にアクセスできることは、多くの人にとって懸念事項です。この問題は一部のリゾルバー ソフトウェア パッケージで解決されますが、これらの解決策を誰もが知っているわけではありません。

DNS リゾルバー サービス 1.1.1.1 は、スタブリゾルバーと再帰リゾルバーの間で使用するために特定され推奨されているすべての DNS プライバシー保護メカニズムを提供します。スタブリゾルバは、再帰リゾルバと「通信」するオペレーティング システムのコンポーネントです。 DNS リゾルバー 1.1.1.1 は、RFC7816 で定義されている Query Name Minimization DNS のみを使用することにより、ルートや TLD などの中間 DNS サーバーに情報が漏洩する可能性を低くします。つまり、DNS リゾルバー 1.1.1.1 は、リゾルバーが次に何を尋ねるべきかを認識できるのに十分な名前のみを送信します。

DNS リゾルバー 1.1.1.1 は、ポート 853 でのプライベート TLS クエリ (DNS over TLS) もサポートしているため、クエリをネットワーク リークから隠すことができます。さらに、実験的な DoH プロトコル (DNS over HTTPS) を提供することで、ブラウザーと他のアプリケーションが相互に接続できるようになり、サービスは将来ユーザーのプライバシーと速度の両方を向上させ、DNS と HTTPS トラフィックを単一の接続に統合します。

RFC8198 で説明されているように、DNS でのネガティブ キャッシュ (ネガティブ キャッシュはエラーを意味する「ネガティブ」な応答を保存するキャッシュ) の使用が増加しているため、Cloudflare はシステムの負荷を引き続き軽減できます。この手法では、まず既存のリゾルバーのネガティブ キャッシュを使用して、ネガティブ (または存在しない) 情報を一定期間保持します。 DNSSE 署名付きゾーンの場合、およびメモリ内の NSEC レコードから、リゾルバーは追加のクエリを実行せずに、要求された名前が存在しないことを検出できます。したがって、wwwwww ドットを入力して何かを書き込み、次に wwwwww ドットを入力して何かを書き込むと、2 番目のクエリにはすぐに「いいえ」と答えられます (DNS の世界では NXDOMAIN)。ネガティブ キャッシュは、ルートと、昨日署名された 1544 個の TLD のうち 1400 個を含む、DNSSEC 署名付きゾーンでのみ機能します。

同社は DNSSEC 認証を使用しています。これにより、署名検証コストが低く経済的で、回答が正しいことを保証できるからです。 Cloudflareは常にユーザーが受け取った回答を信頼することを望んでおり、顧客にとって否定的な回答を避けるために可能な限りあらゆるチェックを実行します。

ただし、DNS オペレーターによって引き起こされる DNSSEC 構成のエラーにより、ドメインが誤って構成される可能性があります。この問題を解決するために、CloudflareはDNSSECエラーが特定され修正されたドメインに「ネガティブトラストアンカー」を設定し、オペレーターが設定を修正するときにそれらを削除します。これにより、構成が間違っている特定のドメインの DNSSEC 検証を一時的に無効にし、エンド カスタマーへのアクセスを復元することで、失敗した DNSSEC ドメインの影響を制限します。

DNS リゾルバー 1.1.1.1 サービスはどのようにして形成されましたか?

Cloudflareは当初、独自のリゾルバーを構築することを考えていましたが、複雑さと、顧客に固有の価値を提供し、競争上の優位性を獲得する市場投入（GTM）戦略に関連する考慮事項により、このアイデアは後に却下されました。市場にあるすべてのオープンソース リゾルバーを検討した後、この長いリストから、ほとんどのプロジェクトの目標に適合する 2 つまたは 3 つのオプションに選択肢を絞り込みました。最終的に、同社は 2 年半前にリリースされた CZ NIC の Knot Resolver 上にシステムを構築することを決定しました。 Knot Resolver を選択すると、ソフトウェアの多様性も高まります。ハイライトは、Cloudflareが望んでいたよりも多くのコア機能を備えていることです。 OpenResty と同様のモジュラー アーキテクチャにより、Knot Resolver が使用および開発されています。

Cloudflareのリゾルバーを他とは違うものにする興味深い点

DNS リゾルバー 1.1.1.1 サービスの高度な機能は次のとおりです。

• クエリの最小化 RFC7816
• DNS-over-TLS (トランスポート層セキュリティ) RFC7858
• DoH DNS-over-HTTPS プロトコル
• RFC8198「否定」応答

Knot Resolver の主任開発者 Marek Vavruša は、Cloudflare DNS チームに 2 年以上勤務しています。

リゾルバーを高速化する方法

リゾルバーの速度に影響を与える要因は数多くあります。何よりもまず、キャッシュから応答できるかどうかです。可能な場合、応答にかかる時間は、クライアントからリゾルバーまでのパケットの「往復」時間にすぎません。

リゾルバーが当局からの回答を必要とする場合、リゾルバーはドメイン名を解決するために DNS 階層を追跡する必要があり、ドメイン名で始まる複数の信頼できるサーバーと通信する必要があるため、状況は少し複雑になります。オリジンサーバー。たとえば、アルゼンチンのブエノスアイレスのリゾルバーは、信頼できるサーバーに近いため、ドイツのフランクフルトのリゾルバーよりも DNS 階層の監視に時間がかかります。この問題を解決するには、共通名の帯域外でキャッシュに事前に設定する必要があります。これは、実際のクエリが受信されたときに、応答をキャッシュからはるかに高速に取得できることを意味します。

スケールアウト ネットワークの問題の 1 つは、キャッシュ ヒット率が各データ センターに構成されているノードの数に反比例することです。最も近いデータ センターにノードが 1 つしかない場合、同じクエリを 2 回尋ねると、2 回目はキャッシュされた回答が得られることが確実です。ただし、各データセンターには数百のノードがあるため、ユーザーは未解決の応答を受け取る可能性があり、要求ごとに遅延が発生します。一般的な解決策は、すべてのリゾルバーの前にキャッシュ ロード バランサーを配置することですが、これはシステム全体と Cloudflare の単一障害点になるため、行わないでください。 DNS リゾルバー 1.1.1.1 は、集中型キャッシュに依存する代わりに、高度な分散キャッシュを使用します。

データポリシー

Cloudflareは、顧客のIPアドレスを決して保存せず、DNSリゾルバーのパフォーマンスを向上させるためにのみクエリ名を使用すると主張しています（リージョン内の人気のドメインに基づいて、および/またはぼかし後のキャッシュを埋めるなど）。

Cloudflareは、エンドユーザーを特定する情報をログに保存することはなく、収集されたこれらの記録はすべて24時間以内に削除されます。同社は今後もプライバシーポリシーに従い、ユーザーデータが広告主に販売されたり、消費者をターゲットにするために使用されたりしないようにすると述べた。

DNSリゾルバー1.1.1.1の設定方法

Quantrimang.com には、PC とモバイルでこの DNS を設定する方法に関する非常に具体的な手順が記載されています。興味がある場合は、それに従うことができます。

• セキュリティと高速な Web サーフィンを実現するために、コンピュータの DNS を 1.1.1.1 に変更します。
• Android と iPhone で DNS を 1.1.1.1 にすばやく変更する方法

DNS リゾルバー アドレスに関するいくつかの事項

CloudflareはAPNICと連携し、IPv4アドレス1.0.0.1と1.1.1.1を使用しました（これらのアドレスは覚えやすいということで全員が同意しました）。何年にもわたる研究とテストがなければ、これらのサイトは運用環境に入ることができなかったでしょう。

IPv6の場合、同社はこのサービスに 2606:4700:4700::1111 および 2606:4700:4700::1001 を選択しました。ご存知のとおり、IPv6 アドレスを取得するのは簡単ではありませんが、数字のみを使用するアドレスを選択しました。

しかし、なぜ覚えやすいアドレスを使用するのでしょうか?このパブリック リゾルバーの特別な点は何ですか?このプロセスで最初に行うことは、これらの数値をどこに配置するかです。任意のコンピュータに入力できる番号、またはユーザーがリゾルバ サービスを見つけるために使用するデバイスに接続できる番号が必要です。

インターネット上の誰もがこのパブリック リゾルバーを使用でき、https://1.1.1.1/ にアクセスして[開始]をクリックすると、その仕組みを確認できます。

なぜ 4 月に DNS リゾルバーのリリースを発表するのでしょうか?

世界中のほとんどの人にとって、日曜日は 2018 年 4 月 1 日です (米国では、日付の表記方法は 2018 年 1 月 4 日の翌日の前月となります)。 4と1が見えますか？ Cloudflareがこの日、4つのナンバーワン（1.1.1.1）を発表したのはそのためだ。