Web トラフィックを最もよく保護する DNS 暗号化プロトコルはどれですか?

ドメイン ネーム システム (DNS) は、ドメイン名をIP アドレスなどのコンピュータ可読情報に変換する、インターネットの電話帳であると多くの人が考えています。

アドレス バーにドメイン名を書き込むと、DNS はそれを対応する IP アドレスに自動的に変換します。ブラウザはこの情報を使用して、オリジン サーバーからデータを取得し、Web サイトを読み込みます。

しかし、サイバー犯罪者は DNS トラフィックを監視することが多く、Web 閲覧のプライバシーと安全性を保つために暗号化が必要になります。

現在、いくつかの DNS 暗号化プロトコルが使用されています。これらの暗号化プロトコルを使用すると、トランスポート層セキュリティ (TLS) 接続を介して HTTPS プロトコルのトラフィックを暗号化することにより、サイバー スヌーピングを防ぐことができます。

1.DNSCrypt

DNSCrypt は、ユーザーのコンピュータとパブリック ネームサーバー間のすべての DNS トラフィックを暗号化するネットワーク プロトコルです。このプロトコルは、公開キー基盤 (PKI) を使用して、DNS サーバーとクライアントの信頼性を検証します。

公開キーと秘密キーの 2 つのキーを使用して、クライアントとサーバー間の通信を認証します。 DNS クエリが開始されると、クライアントはサーバーの公開キーを使用してクエリを暗号化します。

暗号化されたクエリはサーバーに送信され、サーバーは秘密キーを使用してクエリを復号化します。このように、DNSCrypt はクライアントとサーバー間の通信が常に認証され、暗号化されることを保証します。

DNSCrypt は比較的古いネットワーク プロトコルです。これらの新しいプロトコルによって提供される幅広いサポートと強力なセキュリティ保証により、DNS-over-TLS (DoT) および DNS-over-HTTPS (DoH) に大部分が置き換えられています。

2. TLS 上の DNS

DNS-over-TLS は、トランスポート層セキュリティ (TLS) を使用して DNS クエリを暗号化します。 TLS により、DNS クエリがエンドツーエンドで暗号化され、中間者 (MITM) 攻撃が防止されます。

DNS-over-TLS (DoT) を使用すると、DNS クエリは暗号化されていないリゾルバーではなく DNS-over-TLS リゾルバーに送信されます。 DNS-over-TLS リゾルバーは、DNS クエリをデコードし、ユーザーに代わって権威 DNS サーバーに送信します。

DoT のデフォルト ポートは TCP ポート 853 です。DoT を使用して接続すると、クライアントとリゾルバーの両方がデジタル「ハンドシェイク」を実行します。次に、クライアントは、暗号化された TLS チャネル経由で DNS クエリをリゾルバーに送信します。

DNS リゾルバーはクエリを処理し、対応する IP アドレスを見つけて、暗号化されたチャネル経由でクライアントに応答を送り返します。クライアントは暗号化された応答を受け取り、復号化され、IP アドレスを使用して目的の Web サイトまたはサービスに接続します。

3. HTTPS 経由の DNS

HTTPS は、 Web サイトへのアクセスに現在使用されている HTTP の安全なバージョンです。 DNS-over-TLS と同様に、DNS-over-HTTPS (DoH) も、ネットワーク上に送信される前にすべての情報を暗号化します。

目標は同じですが、DoH と DoT には根本的な違いがいくつかあります。まず、DoH はトラフィックを暗号化するための TLS 接続を直接作成するのではなく、すべての暗号化されたクエリを HTTPS 経由で送信します。

次に、一般的な通信にポート 403 を使用するため、一般的な Web トラフィックと区別することが困難になります。 DoT はポート 853 を使用するため、そのポートからのトラフィックを識別してブロックすることが非常に簡単になります。

DoH は既存の HTTPS インフラストラクチャを活用するため、Mozilla Firefox や Google Chrome などの Web ブラウザで広く採用されています。 DoT は、Web ブラウザーに直接統合されるよりも、オペレーティング システムや特殊な DNS リゾルバーによってよく使用されます。

DoH がより広く採用されている 2 つの主な理由は、現在の Web ブラウザへの統合がはるかに簡単であること、そしてさらに重要なことに、DoH が通常の Web トラフィックとシームレスに融合するため、ブロッキングがはるかに困難になることです。

4.DNS over QUIC

このリストにある他の DNS 暗号化プロトコルと比較すると、DNS-over-QUIC (DoQ) は比較的新しいものです。これは、QUIC (Quick UDP Internet Connections) トランスポート プロトコルを介して DNS クエリと応答を送信する新しいセキュリティ プロトコルです。

現在、ほとんどのインターネット トラフィックは伝送制御プロトコル (TCP) またはユーザー データグラム プロトコル (UDP) に基づいており、DNS クエリは多くの場合 UDP 経由で送信されます。ただし、QUIC プロトコルは、TCP/UDP の欠点のいくつかを克服するために生まれ、待ち時間を短縮し、セキュリティを向上させるのに役立ちます。

QUIC はGoogleによって開発された比較的新しいトランスポート プロトコルで 、TCP や TLS などの従来のプロトコルよりも優れたパフォーマンス、セキュリティ、信頼性を提供するように設計されています。 QUIC は、TCP と UDP の両方の機能を組み合わせており、TLS と同様の暗号化が組み込まれています。

DoQ は新しいため、上記のプロトコルに比べていくつかの利点があります。まず、DoQ はパフォーマンスが向上し、全体的な遅延が短縮され、接続時間が短縮されます。これにより、DNS 解決 (DNS が IP アドレスを解決する時間) が速くなります。最終的に、これはウェブサイトがより速く提供されることを意味します。

さらに重要なことは、DoQ は、TCP ベースのプロトコルとは異なり、完全な再送信を必要とせずに失われたパケットから回復できるため、TCP や UDP と比較してデータ損失に対する耐性が高いことです。

さらに、QUIC を使用すると、接続の移行も非常に簡単になります。 QUIC は複数のスレッドを 1 つの接続にカプセル化し、接続に必要なループの数を減らし、パフォーマンスを向上させます。これは、WiFi とモバイル ネットワークを切り替えるときにも役立ちます。

QUIC は、他のプロトコルに比べてまだ広く採用されていません。しかし、Apple、Google、Meta などの企業はすでに QUIC を使用しており、多くの場合独自のバージョンを作成しています (Microsoft はすべての SMB トラフィックに MsQUIC を使用しています)。これは将来にとって良い前兆です。

新しいテクノロジーは、Web へのアクセス方法を根本的に変えると予想されています。たとえば、現在、多くの企業がブロックチェーン テクノロジーを活用して、HNS や Unstoppable Domains など、より安全なドメイン命名プロトコルを提供しています。