Microsoftが「DNS接続の暗号化」に賛同、将来的にWindowsの対応も検討

by VISHNU_KV

ブラウザとDNSとの通信を暗号化するDNS on HTTPS(DoH)は、個人のインターネット接続履歴を暗号化してプライベートを保護するための技術として期待されており、Google ChromeやMozilla Firefoxも試験的に導入しています。そんなDoHの導入について、Microsoftも賛同の意を示し、将来的にWindowsもDoHに対応させると述べました。

Windows will improve user privacy with DNS over HTTPS - Microsoft Tech Community - 1014229
https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229

既存のWindowsでは、デバイスの管理構成を変更せずにDoHに対応することは難しいとのこと。Microsoftは「WindowsがDoHをサポートすれば、インターネットエコシステム全体がより健全になる」という考えを明らかにしており、「オアブリックDNSにDNSトラフィックを集中させず、DNSの分散化を維持するためには、WindowsをはじめとしたクライアントのOSとインターネットサービスプロバイダー(ISP)の両方がDoHを採用することが重要です」と述べています。

Cloudflareなど、DoHに対応したパブリックDNSサーバーはすでにいくつか登場していますが、記事作成時点ではWindowsでそのオアブリックDNSサーバーを使用するように構成しても、Windowsは従来のDNS接続を行います。WindowsがDoHに対応すれば、同じオアブリックDNSサーバーを使用しながら、DoH接続に自動的にアップグレードできるとのこと。

by Kleineganz

Microsoftのチームが示した、WindowsでDoHを将来的にサポートする上での「4つの原則」が以下。

原則1：WindowsのDNSトラフィックはユーザーの閲覧履歴を含むため、DNSはWindowsユーザーおよび管理者による構成作業を行うことなく、デフォルトで可能な限りプライベートかつ機能的である必要があります。これは、Windowsユーザーにとっては「自分のインターネット上での活動がWindowsによって可能な限りプライベートになる」ことを意味します。Microsoftは、「ユーザーや管理者が設定したDNSリゾルバを変更せずにWindowsのDNS接続を暗号化することを目指す」と述べました。

原則2：多くのWindowsユーザーはプライバシーの制御に興味があり、アプリによるカメラや位置情報へのアクセス許可など、プライバシーに関わる設定をチェックします。しかし、ユーザーの中にはDNS接続の意味や設定のやり方を知らない人も少なくないため、そういったユーザーをDNS設定に誘導できるようにするべきだとMicrosoftは主張しています。

by techsrc2371

原則3：たとえDNS設定にたどり着けても、「専門知識を持っていなければ設定変更できない」のであれば、意味はありません。Windowsユーザーや管理者の専門知識や努力を求めることなく、できるだけ少ない簡単なアクションでDNS構成を改善可能にする必要があるとMicrosoftは考えています。

原則4：記事作成時点では、CloudflareなどのDoHに対応したパブリックDNSサーバーを使っても、Windowsは従来のDNS接続を行います。しかし、DoHに対応すれば、自動的にDoH接続を行うようになります。そしてWindowsで暗号化されたDNS接続を構成した後、Windowsユーザーや管理者から特に指示がない場合、暗号化されていないDNSに勝手に切り替わらないように、従来のDNSにフォールバックされることを禁止する必要があるとMicrosoftは論じました。

なお、DoHの注目が高まるにつれて、Microsoftはできるだけ早くDoHに対する姿勢を明確にすることが重要だと考えたため、テストプログラムのWindows Insiderで利用可能になる前に賛同の意を示したと語っています。