2019年1月5日
最近DoH(DNS over HTTPS)がおもしろい
1年近く前の記事だけど
DNS Queries over HTTPSとネット中立性 によると
IETF99では、RIPE Atlasを用いたDNSハイジャックの検知に関する発表 がありました。例えば、Google DNS のハイジャックの割合を調べると、中国やロシア、その他発展途上国 にハイジャックの傾向が目立ちます。これは必ずしも政府による検閲や、ISP によるネット中立性侵害が目的とは限らず、各ISP が独自のポリシーを定めている可能性もあります。しかし、ISP によるDNS の操作が一般化しつつあり、プライバシー面での対策が求められていることは間違いありません。
正直ISPによるDNS操作の可能性はゼロではないけど日本国内ではあまり聞かないよなぁ〜実際はどうかはわからないけど
フリーWi-Fiだとトラフィックコントロールしていそうだしなぁ〜自宅というよりもフリーWi-Fiで使うのがいいかもなぁ
Macだと
macOS MojaveでDoH(DNS over HTTPS) みたいに「cloudflared」を利用してDNS Proxyを立ち上げればOK
Mobileデバイスだと下記アプリを使うのが手っ取り早そう
1.1.1.1 だとDNSを1.1.1.1に向けて高速化&安全性を歌っているけどDoHではなさそうな気がする。OP25bではなくOP53b(Outbound Port 53 Blocking)されたら厳しいしよなぁ〜困ったことに世の中には某社の社長みたいにガチでOP53bを推進したい人が居るわけなので・・・
DNSCloak
ググると「
DNSCloak • DNSCrypt DoH client 」を利用して広告ブロックみたいな記事が大量にHitしますが私はDoHのクライアントとしての利用しか考えていません。
DNSCloakを起動すると利用出来るDNS一覧が出てきます。
Serchに「Cloudflare」と入力してcloudflareを選択し、「Use this server」を押下します。
これで基本的に設定はOK。あっという間に完了です。
起動して利用しているかの確認のため「Show VPN icon」はONにしてあります。そうするとキャリア名の隣に「VPN」アイコンが表示されます。
Advanced optionsからDoHを利用しないSSIDを登録しておきましょう。
内部のサーバにアクセスする場合はやっぱりDHCPで付与されるDNSをみないと通信できませんからねぇ〜
自宅とか職場のSSIDを登録しておくといいかと思います。自宅内にサーバがないなら登録必要はないとは思います。
確認方法
DoHでアクセスしているかの確認をどうするかだよなぁ。
OP53B (Outbound Port 53 Blocking)をルーターでかけて確認すべき?(それはそれでめんどくさい)
どうやって確認するかはあとあと考えることにします^^;;
まとめ
なぜにこんなにDoHが気になるのかはまとめられないけど、DoHはゆくゆくはOS標準になる可能性はゼロではないよなぁ〜
フリーWi-Fiサービスを利用する場合は使っても良いと思う。そこまで気にするならVPNにしたら?という話はなきにしもあらず^^;;
次はVPNサービスを探してみる。