web-dev-qa-db-ja.com

DNS over TLSはどのようにしてISPがアクセスするWebサイトを見るのを防ぎますか?

たとえば、Android PieでDNS over TLSを使用しています。これが発生します:

  1. ウェブサイト(google.com)にアクセスします。

  2. DNSクエリをDNSサーバーに送信し、応答はgoogle.comのIPアドレスです。 ISPは、DNSサーバーに接続したことを知っていますが、クエリや応答を知りません。

  3. 次に、google.comのIPに接続します。 ISPは、google.comのIPに今連絡したことを知っています。

それでも、ニュース記事(およびこのサイトのいくつかの質問)によると、DNS over TLSを使用している場合、アクセスするWebサイトはISPには表示されません。ここで何か不足していますか?

tlsdnsanonymityisp
6
Avery Alejandro

そうではありません。 DNS over TLSは、ISPからプライバシーを守るようには設計されていません。 HTTPと同様に、DNSはMITMに対して脆弱です。 DNS over TLSは、HTTPSと同じレベルのセキュリティを提供します。

DNS over TLSは暗号化されているため、ISPはクエリ対象のドメインを認識できませんが、必ずしもそうである必要はありません。 TLSはサーバー名表示TLS拡張子を使用して外部に表示されますのHTTPホストヘッダー。 SNIフィールドには、通信するサーバーのドメイン名が含まれています。そのサイトにアクセスすると、VPNを使用しない限り、ISPはそれを見ることができます。

Cloudfareは最近、CloudfareでホストされているWebサイトの暗号化されたSNI(ESNI)のサポートサポートをリリースしました 。これにより、DNS over TLSも使用している場合は、実際にISPがアクセスしたサイトを参照できなくなります。しかし、ESNIが機能するためには、ブラウザがネイティブでサポートする必要があります。 Mozillaは、Firefox NightlyでESNIをサポートするようになりました。これにより、プレーンテキストのSNI TLS拡張をパス上のオブザーバーISP、コーヒーショップの所有者、ファイアウォールに漏らすことなく、Cloudflare Webサイトを閲覧できるようになりました

7
defalt

DNS over TLSを使用すると、ISPがDNSトラフィックを読み取ったり変更したりできなくなります。

暗号化されていないDNSを使用すると、ISPはDNSトラフィックを監視したり、トラフィックを独自のDNSサーバーにリダイレクトしたりできます。 (これが実際に行われるかどうかはわかりません)

アクセスしているWebサイトを非表示にするには、VPNを使用する必要があります。これにより、ISPはトラフィックの実際の宛先を確認できなくなります。

2
ztk