FirefoxでDNS-over-HTTPSを使ってみる。

mozilla が firefox の現行リリースの次のバージョンから DNS over HTTPS を実装してテスト利用が可能になっていて、Chrome でもネットワークスタックにはコードが入って来てる状況で面白いご意見ですね。そのうち誰でも簡単に使えるようになるのは必至でしょう。 https://t.co/8jR3PBKpSC

— SAKIYAMA Nobuo/崎山伸夫 (@sakichan) 2018年7月23日

こんなのを見つけてFirefoxを入れてみた。

DNS Over HTTPSはDNS Over HTTPSを試してみるでも少し触って

クライアントでDNS Over HTTPSを試す方法あるのかなぁ〜

なんて言っていたらちゃんとクライアントが出てきた。

ググってbagder/trrprefs.mdを読んでみると。

All preferences for the DNS-over-HTTPS functionality in Firefox are located under the “network.trr” prefix (TRR == Trusted Recursive Resolver). The support for these are targeted for shipping in release Firefox 62.

こんな文言を見つけたのでFirefox β版を入れてみる。

macOS Majave Betaのダークモードだからか表示がおかしいのは気にしない^^;;

Firefox Quantum 62.0b10ということなので問題はないだろう

リリース版は61系だった

設定

設定カ所は下記の2カ所でOKだった

• network.trr.mode
• network.trr.uri

設定方法

about:config で設定画面にはいる

久しぶりにFirefox使ったけど相変わらずドキドキ^^;;

network.trr.mode

TRR(Trusted Recursive Resolver)の挙動を決定する設定項目

デフォルトは「0」

これを「2」に変更します。

• 0 defaultでTRRを使わないモード
• 1 TRRは使うけど普通のDNSを優先
• 2 TRRを優先的に使い普通のDNSも使う
• 3 TRRだけを使う

本当は「3」にしたかったけど3にするとDNSが見つけられないerrorが出た・・・
Initial Setupは済ませているはずなんだけどなぁ〜

network.trr.uri

TRRを利用する先DNS先を指定します。
このドキュメントでは

• https://mozilla.cloudflare-dns.com/dns-query
• https://dns.google.com/experimental

の値を入れればOKらしい。
私はgoogleのURIを入力しました。

設定変更結果

2カ所のみの設定でうごいています。

確認

about:networking#dns

TRRがTrueになっていたらOKです。

まとめ

正直DNS Over HTTPS(doh)を使っているというのは良くわからない。
この設定したら今話題のDNSブロッキングを利用してもくぐり抜けたりすると思うんだよなぁ。
DNSブロッキングでnetwork.trr.uriに指定されたサーバをブロッキングするわけにはいかないと思うし・・
dohでは色々とセキュリティ的にも困る事出てきそうな気がする・・・・
CISCOのUmbrellaとか意味をなさない?
このあたりはテスト必要かも。
あとdohで127.0.0.1を返すようなドメインとかも見えなくなるのか・・・うーむ。うーむ。