この記事は、DNS over HTTPS について書かれており、この機能を有効化、設定の編集、無効化する方法を紹介します。
目次
DNS-over-HTTPS について
アドレスバーにウェブアドレスやドメイン名 (例: www.mozilla.org) を入力すると、ブラウザーがそのウェブサイトの IP アドレスを見つけるためのリクエストをインターネットを介して送信します。従来、このリクエストは、プレーンテキストの接続でサーバーに送信されていました。この接続は暗号化されておらず、あなたがアクセスしようとしているウェブサイトを第三者が簡単に確認できてしまいます。
DNS-over-HTTPS (DoH) は、それとは違います。プレーンテキストの代わりに暗号化された HTTPS 接続を使用し、入力されたドメイン名を DoH と互換性のある DNS サーバーに送信します。これにより、あなたがアクセスしようとしているウェブサイトを第三者が覗けないようにします。
利点
DoH は、公共 Wi-Fi や ISP、ローカルネットワークに潜んでいる何者かからドメイン名を隠すことにより、プライバシー保護を改善します。DoH を有効にすれば、ISP はブラウジング行動に関連する個人情報の収集や販売ができなくなります。
危険性
- 一部の個人や企業は、DNS の仕組みを利用してマルウェアをブロックしたり、ペアレンタルコントロールを有効にしたり、アクセスするウェブサイトをフィルタリングしています。DoH が有効になると、ローカルの DNS リゾルバーを迂回し、これらの特別なポリシーを無力化します。既定デフォルト でユーザーの DoH が有効になっていても、Firefox はユーザー (設定から) や組織 (エンタープライズポリシーや canary domain 検索から) の優先ポリシーにより DoH を無効化できます。
- DoH が有効な場合、Firefox の初期設定では、DoH クエリーを信頼されたパートナーにより運営された DNS サーバーに送信します。このパートナー企業はユーザーのクエリーを確認できます。そのため、Mozilla は DoH パートナーが個人を識別可能な情報を収集することを禁止する強力な Trusted Recursive Resolver (TRR) policy の立場をとっています。この危険性を減らすため、私たちのパートナーは契約上、このポリシーを遵守することが義務付けられています。
- DoH は、従来の DNS クエリーよりも遅くなりますが、検証により その影響は小さく、多くの場合 DoH のほうが高速 であることが分かっています。
DNS over HTTPS の展開について
2019 年に米国の、2021年にカナダのすべてのデスクトップ版 Firefox のユーザーに対して DoH を既定デフォルト で有効化しました。2022 年 3 月には、ロシアとウクライナの Firefox デスクトップユーザーに対して既定デフォルト での有効化を開始しました。現在は、DoH のロールアウトを他の国でも実施することに取り組んでいます。将来的に DoH は「フォールバック」モードのユーザーに対して有効になります。例えば、何らかの理由で DoH を利用したドメイン名の検索が失敗した場合、エラーを表示する代わりに、オペレーティングシステム (OS) によって設定された既定のデフォルト DNS にフォールバックされます。
オプトアウト
既定デフォルト で DoH が有効化されている地域の Firefox ユーザーの場合、DoH が最初に有効にされた時に通知が表示されます。DoH の使用を無効にすると、代わりに既定のデフォルト OS の DNS リゾルバーを使用し続けることができます。
さらに、Firefox は、DoH が有効になっている場合、影響を受ける可能性がある特定の機能を確認します:
- ペアレントコントロールが有効か?
- 既定のデフォルト DNS サーバーは潜在的な有害コンテンツをフィルタリングしているか?
- 組織によって管理されている端末が特別な DNS 設定を行っているか?
上記のいずれかの検証により DoH が機能に干渉すると判断された場合、DoH は有効になりません。これらの検証は、端末が異なるネットワークに接続するたびに実行されます。
DNS-over-HTTPS を有効にしたり、無効にしたり、設定したりする
DNS over HTTPS 保護レベルの設定 の記事をご覧ください。
手動で DNS-over-HTTPS を有効または無効にする
Firefox の接続設定 で DoH を有効または無効にできます:
- 画面上部のメニューバーで をクリックし、 を選択します。メニューボタン をクリックし、 を選択します。
- パネルで ネットワーク設定 まで移動し、 ボタンをクリックします。
- ダイアログボックスが開いたら、DNS over HTTPS を有効にする までスクロールします。
- 有効: DNS over HTTPS を有効にする チェックボックスにチェックを入れます。
- プロバイダーを選択するか、カスタムプロバイダーを設定します。(下記参照)
- 無効: DNS over HTTPS を有効にする チェックボックスのチェックを外します。
- 有効: DNS over HTTPS を有効にする チェックボックスにチェックを入れます。
- ボタンをクリックして設定を保存し、ダイアログボックスを閉じます。
プロバイダーの切り替え
- 画面上部のメニューバーで をクリックし、 を選択します。メニューボタン をクリックし、 を選択します。
- パネルで ネットワーク設定 まで移動して ボタンをクリックします。
- DNS over HTTPS を有効にする の下の プロバイダーを使用 ドロップダウンをクリックし、リストからプロバイダーを選択してください。
- URL を指定 を選択して、カスタムプロバイダーを設定することもできます。
- をクリックして変更を保存し、ダイアログボックスを閉じます。
特定のドメインを除外する
DoH 機能の代わりに、Firefox が OS の リゾルバーを使用できるように例外を設定できます:
高度な設定に慣れていて、潜在的な影響を理解している場合にのみ続行してください。
- アドレスバー に about:config と入力し、EnterReturn キーを押します。
警告ページが表示されます。 をクリックし、about:config ページを開いてください。 - network.trr.excluded-domains の設定を検索します。
- 設定の隣にある 編集 ボタンをクリックします。
- 除外する各ドメインをカンマ区切りでリストに追加し、チェックマーク をクリックしてください。
注記: リストにあるドメインを削除してはいけません。
サブドメインについて: Firefox は、network.trr.excluded-domains のリストにあるすべてのドメインとサブドメインを確認します。例えば、example.com と入力した場合、www.example.com も除外されます。
ネットワークを設定してDoH を無効にする
Encrypted Client Hello (ECH)
Firefox バージョン 118 では、重要なセキュリティ機能である Encrypted Client Hello (ECH) を展開しています。ECH の主な役割は、オンラインでのやり取り中に行われる最初の接続である ハンドシェイク のセキュリティを強化することです。ECH は DNS over HTTPS (DoH) と連携して、ブラウジングのセキュリティをさらに向上させます:
- 前提条件としての DoH: Firefox の実装では、ECH は DoH に依存して ハンドシェイク に必要な暗号化キーを取得します。DoH が有効になっていないと、ECH は動作できません。
- 相乗的な保護: DoH は、DNS クエリーを暗号化し、ウェブサイト名から IP アドレスへの変換を効果的に保護することで機能します。一方、ECH はユーザーとウェブサイト間の最初の交換を暗号化することに重点を置いています。これらを組み合わせることで、多くのオンライン脅威に対する包括的な防御を提供します。
- 強化された保護: ECH と DoH の両方を有効にすることで、強化された二重のプライバシーを獲得し、潜在的な脆弱性を減らし、オンラインの裁量を拡大できます。
ECH が提供するセキュリティ強化の恩恵を十分に受けるには、Firefox で DoH が有効になっていることを確認してください。詳細を理解するには、Understand Encrypted Client Hello (ECH) と Encrypted Client Hello (ECH) - Frequently asked questions をご覧ください。