この記事は、DNS over HTTPS について書かれており、この機能を有効化、設定の編集、無効化する方法を紹介します。

DNS over HTTPS について

アドレスバーにウェブアドレスやドメイン名 (例: www.mozilla.org) を入力すると、ブラウザーがそのウェブサイトの IP アドレスを見つけるためのリクエストをインターネットを介して送信します。従来、このリクエストは、プレーンテキストの接続でサーバーに送信されていました。この接続は暗号化されておらず、あなたがアクセスしようとしているウェブサイトを第三者が簡単に確認できてしまいます。

DNS over HTTPS (DoH) は、それとは違います。プレーンテキストの代わりに暗号化された HTTPS 接続を使用し、入力されたドメイン名を DoH と互換性のある DNS サーバーに送信します。これにより、あなたがアクセスしようとしているウェブサイトを第三者が覗けないようにします。

利点

DoH は、公共 Wi-Fi や ISP、ローカルネットワークに潜んでいる何者かからドメイン名を隠すことにより、プライバシー保護を改善します。DoH を有効にすれば、ISP はブラウジング行動に関連する個人情報の収集や販売ができなくなります。

危険性

• 一部の個人や企業は、DNS の仕組みを利用してマルウェアをブロックしたり、ペアレンタルコントロールを有効にしたり、アクセスするウェブサイトをフィルタリングしています。DoH が有効になると、ローカルの DNS リゾルバーを迂回し、これらの特別なポリシーを無力化します。既定でユーザーの DoH が有効になっていても、Firefox はユーザー (設定から) や組織 (エンタープライズポリシーや canary domain 検索から) の優先ポリシーにより DoH を無効化できます。
• DoH が有効な場合、Firefox の初期設定では、DoH クエリーを信頼されたパートナーにより運営された DNS サーバーに送信します。このパートナー企業はユーザーのクエリーを確認できます。そのため、Mozilla は DoH パートナーが個人を識別可能な情報を収集することを禁止する強力な Trusted Recursive Resolver (TRR) policy の立場をとっています。この危険性を減らすため、私たちのパートナーは契約上、このポリシーを遵守することが義務付けられています。
• DoH は、従来の DNS クエリーよりも遅くなりますが、検証により その影響は小さく、多くの場合 DoH のほうが高速 であることが分かっています。

DNS over HTTPS の展開について

2019 年に米国の、2021年にカナダのすべてのデスクトップ版 Firefox のユーザーに対して DoH を既定で有効化しました。2022 年 3 月には、ロシアとウクライナの Firefox デスクトップユーザーに対して既定での有効化を開始しました。現在は、DoH のロールアウトを他の国でも実施することに取り組んでいます。将来的に DoH は「フォールバック」モードのユーザーに対して有効になります。例えば、何らかの理由で DoH を利用したドメイン名の検索が失敗した場合、エラーを表示する代わりに、オペレーティングシステム (OS) によって設定された既定の DNS にフォールバックされます。

オプトアウト

Firefox の DNS over HTTPS 設定で、DoH の使用をオプトアウトしたり、カスタム DoH プロバイダーを選択したりできます。

さらに、Firefox は、DoH が有効になっている場合、影響を受ける可能性がある特定の機能を確認します:

• ペアレントコントロールが有効か？
• 既定の DNS サーバーは潜在的な有害コンテンツをフィルタリングしているか？
• 組織によって管理されている端末が特別な DNS 設定を行っているか？

上記のいずれかの検証により DoH が機能に干渉すると判断された場合、DoH は有効になりません。これらの検証は、端末が異なるネットワークに接続するたびに実行されます。

DNS over HTTPS を有効、無効、設定する

DNS over HTTPS 保護レベルの設定 の記事をご覧ください。

ネットワークを設定して DoH を無効にする

• Configure networks to disable DNS over HTTPS
• DNS over HTTPS (DoH) FAQs

Encrypted Client Hello (ECH)

Firefox バージョン 118 では、重要なセキュリティ機能である Encrypted Client Hello (ECH) を展開しました。ECH の主な役割は、オンラインでのやり取り中に行われる最初の接続である ハンドシェイク のセキュリティを強化することです。ECH は DNS over HTTPS (DoH) と連携して、ブラウジングのセキュリティをさらに向上させます:

• 前提条件としての DoH: Firefox の実装では、ECH は DoH に依存して ハンドシェイク に必要な暗号化キーを取得します。DoH が有効になっていないと、ECH は動作できません。
• 相乗的な保護: DoH は、DNS クエリーを暗号化し、ウェブサイト名から IP アドレスへの変換を効果的に保護することで機能します。一方、ECH はユーザーとウェブサイト間の最初の交換を暗号化することに重点を置いています。これらを組み合わせることで、多くのオンライン脅威に対する包括的な防御を提供します。
• 強化された保護: ECH と DoH の両方を有効にすることで、強化された二重のプライバシーを獲得し、潜在的な脆弱性を減らし、オンラインの裁量を拡大できます。

ECH が提供するセキュリティ強化の恩恵を十分に受けるには、Firefox で DoH が有効になっていることを確認してください。詳細を理解するには、Understand Encrypted Client Hello (ECH) と Encrypted Client Hello (ECH) - Frequently asked questions をご覧ください。