たとえば、Android PieでDNS over TLSを使用しています。これが発生します:
ウェブサイト(google.com)にアクセスします。
DNSクエリをDNSサーバーに送信し、応答はgoogle.comのIPアドレスです。 ISPは、DNSサーバーに接続したことを知っていますが、クエリや応答を知りません。
次に、google.comのIPに接続します。 ISPは、google.comのIPに今連絡したことを知っています。
それでも、ニュース記事(およびこのサイトのいくつかの質問)によると、DNS over TLSを使用している場合、アクセスするWebサイトはISPには表示されません。ここで何か不足していますか?
そうではありません。 DNS over TLSは、ISPからプライバシーを守るようには設計されていません。 HTTPと同様に、DNSはMITMに対して脆弱です。 DNS over TLSは、HTTPSと同じレベルのセキュリティを提供します。
DNS over TLSは暗号化されているため、ISPはクエリ対象のドメインを認識できませんが、必ずしもそうである必要はありません。 TLSはサーバー名表示、TLS拡張子を使用して外部に表示されますのHTTPホストヘッダー。 SNIフィールドには、通信するサーバーのドメイン名が含まれています。そのサイトにアクセスすると、VPNを使用しない限り、ISPはそれを見ることができます。
Cloudfareは最近、CloudfareでホストされているWebサイトの暗号化されたSNI(ESNI)のサポートサポートをリリースしました 。これにより、DNS over TLSも使用している場合は、実際にISPがアクセスしたサイトを参照できなくなります。しかし、ESNIが機能するためには、ブラウザがネイティブでサポートする必要があります。 Mozillaは、Firefox NightlyでESNIをサポートするようになりました。これにより、プレーンテキストのSNI TLS拡張をパス上のオブザーバーISP、コーヒーショップの所有者、ファイアウォールに漏らすことなく、Cloudflare Webサイトを閲覧できるようになりました 。
DNS over TLSを使用すると、ISPがDNSトラフィックを読み取ったり変更したりできなくなります。
暗号化されていないDNSを使用すると、ISPはDNSトラフィックを監視したり、トラフィックを独自のDNSサーバーにリダイレクトしたりできます。 (これが実際に行われるかどうかはわかりません)
アクセスしているWebサイトを非表示にするには、VPNを使用する必要があります。これにより、ISPはトラフィックの実際の宛先を確認できなくなります。