従来の DNS では、ポート 53 で暗号化されていない UDP または TCP メッセージが使用され、DNS トラフィックがパッシブ監視、トラフィック分析、攻撃者によるアクティブな操作に公開されます。 DNS 暗号化は、ネットワーク経由での転送中に、DNS クエリと応答トラフィックが監視、変更、改ざんされないように保護します。
DNS over HTTPS (DoH) は、HTTPS 内に DNS メッセージをカプセル化して DNS トラフィックを暗号化し、トランスポート層セキュリティ (TLS) を使用して機密性と整合性を提供する標準ベースのメカニズムです。 DoH は、DNS トラフィックを暗号化することで、傍受、中間者攻撃、DNS クエリと応答の不正な検査を防止するのに役立ちます。
HTTPS 経由の DNS のしくみ
HTTPS 経由の DNS では、基本的な DNS クエリと応答モデルは変更されません。 代わりに、DNS メッセージをネットワーク経由で転送する方法が変更されます。 DNS サーバーで DoH を有効にすると、DoH は暗号化された追加の通信オプションになり、その機能を明示的に無効にしない限り、DNS サーバーは引き続き従来の DNS クエリに応答します。
DoH を有効にする場合:
DNS サーバーは HTTPS トラフィックをリッスンします。
暗号化されたクエリを DNS サーバーに使用するように DoH 対応クライアント (Windows 11 クライアントなど) を構成します。
DoH クライアントは、DNS サーバーへの TLS 接続を確立します。
クライアントは、HTTPS 要求内で DNS クエリを送信します。
DNS サーバーは、通常どおりにクエリを処理します。
DNS 応答は、HTTPS 応答内で返されます。
DNS サーバーの HTTPS 経由の DNS (プレビュー)
Important
Windows Server 上の DNS サーバーの DNS over HTTPS (DoH) は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
Windows Server 2025 の 2026-02 セキュリティ更新プログラム (KB5075899) 以降では、DNS サーバー サービスで HTTPS (DoH) 経由の DNS を有効にして、DoH 対応クライアントと DNS サーバー間の DNS トラフィックを暗号化できます。
DoH 通信フローの例を次の図に示します。
DNS サーバーの HTTPS 経由で DNS を構成する場合は、プレビュー中に次の点を考慮してください。
アップストリーム DNS 通信 (フォワーダー、条件付きフォワーダー、権限のあるサーバー) は暗号化されません。
DNS ゾーン転送は暗号化されません。
DNS 動的更新は、既定では暗号化されません。
DoH クエリにのみ一致する DNS クエリ フィルターを作成することはできません。
トランスポート プロトコル クエリ フィルターを含むポリシーが DoH クエリと一致しません。 たとえば、トランスポート プロトコル フィルターが
EQ, TCPに設定されているポリシーが DoH と一致しません。
HTTPS 経由での DNS のセキュリティ上の利点
HTTPS 経由の DNS には、次のセキュリティとプライバシーの利点があります。
秘密保持。 DNS クエリと応答は暗号化され、パッシブ監視を防ぎます。
整合性。 TLS は、転送中の変更から DNS メッセージを保護します。
Authentication. DNS クライアントは、標準の HTTPS 証明書検証を使用して DNS サーバーの ID を検証できます。
トラフィック分析に対する抵抗。 DNS トラフィックは他の HTTPS トラフィックとブレンドされるため、DNS 固有のフィルター処理や操作への露出が減少します。 このアプローチにより、プライバシーと傍受に対する抵抗が向上します。
HTTPS プロトコルと標準経由の DNS
IETF は、 RFC 8484 – HTTPS 経由の DNS クエリ (DoH) で HTTPS 経由の DNS を定義します。
RFC 8484 では、HTTP over TLS を使用して DNS メッセージを送受信する方法を指定します。 DoH 標準では、GET メソッドと POST メソッドの両方がサポートされ、DNS メッセージのメディアの種類が定義されています。 このアプローチにより、DNS トラフィックは、暗号化、認証、接続の再利用などの最新の HTTPS 機能の恩恵を受けることができます。
さらに、DoH 標準では、サーバーの実装でサーバーのリッスン URI とポートを自由に構成できるため、さまざまなネットワーク環境に柔軟に展開できます。
DNS 暗号化と DNSSEC
DoH や DNSSEC などの DNS 暗号化は、さまざまな脅威モデルに対処し、補完的なテクノロジです。 DNS 暗号化はネットワーク上の DNS トラフィックを保護しますが、DNSSEC では、DNS データの整合性が暗号で検証され、権限のあるソースから取得されることが保証されます。
DoH を DNSSEC と共に使用することで、暗号化されたトランスポートと認証済みの DNS データを組み合わせることで、多層防御を行うことができます。 DNSSEC の詳細については、「DNSSEC とは」を参照してください。