[ホーム] > [セキュリティ用語の違い一覧] > [dot と doh の違い | DNS 暗号化技術]

dot と doh の違い | DNS 暗号化技術

作成日:2020/08/29 更新日:2021/01/13

このページでは DNS のセキュリティ強化技術である dot(DNS over TLS) と doh (DNS over HTTPS)の違いに関して説明します。
共にDNSのセキュリティ上の欠点を強化するプロトコル技術です。DNSはインターネット技術の通信相手のアドレスを解決する技術であり重要な技術です。もしDNS通信を改ざんされた場合、意図しない悪意のサイトに接続してしまう可能性が高くなります。フィッシングやランサムウェア、標的型攻撃にも悪用されるため、DNSの強化は今日では必須となります。

共にDNS通信のセキュリティを高める技術ですが、これでDNS通信が安全になるわけではありません。クライアントとDNSキャッシュサーバが dot / doh でセキュア化されても、DNSキャッシュサーバとDNS権威サーバ間がセキュアでない場合、query の結果が改ざんされて伝わる可能性があります。DNS SECを使用したレコードのセキュア化、および通信経路トータルでの対応が必要となるわけです。

DNS SEC , doh ,dot 違い

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明DNS over TLSDNS over HTTPS
略超dotdoh
簡単に言うとDNS 通信を暗号化する技術。TLSレベルで暗号化する。HTTPS を用いて DNS通信を行う技術。従来のDNSはUDPによる平文であったが、これをHTTPSの技術を使用して暗号化する。

ベース技術TLS(Transport Layer Security)TLS(Transport Layer Security)
ポート番号TCP 853番TCP 443番 (おそらく変更可能)
メリット-HTTPS通信を行うPKIの仕組みはすでにクライアントに導入されているため、クライアント側の変更は不要。ブラウザが doh に対応すると一気に普及すると思われる。
デメリットDNS クエリーを行うクライアント側の変更が必要。DNS通信がブラウザ通信のHTTPSと見分けがつきにくくなる。(パケット監視の視点より)
サンドボックス、IPS,IDSでは UDP ポート 53番の監視を行うことで不正なC&Cサーバへの接続などを監視することができたが、dot だと膨大なHTTPS通信(TCP 443番)に紛れるため、識別が困難となる。


今後-将来的に DNS over HTTPSの普及が進むと思われる。

DNS レコードを暗号化する DNS Sec は対応していないDNSサーバも多く、2020年現在でもあまり浸透していない。

[ホーム] > [セキュリティ用語の違い一覧]
,







【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。