web-dev-qa-db-ja.com

DNS over TLSを使用してHTTPS Webサイトにアクセスした場合、どの情報がまだ公開されていますか?

DNS over TLS がAndroid Pieでサポートされるようになりました。これにより、ユーザーはプライベートDNSサーバーを定義でき、DNSプロバイダーがCloudFlareの1.1.1.1など。これにより、これまで以上に多くの人々にDNSセキュリティの世界が開かれるため、プロトコルが提供するセキュリティについて正確に質問する必要があるようです


ユーザーがHTTPSを使用して保護されたWebサイトにアクセスするとします。 DNSクエリは、DNS-over-TLSプロトコルを使用してDNSプロバイダーに送信されます。

ユーザーがそれを気にかけた場合、ユーザーのブラウジングに関するどのような情報が原則として以下のそれぞれに利用可能ですか?

  • ウェブサイト
  • DNSプロバイダー
  • ユーザーのISP
  • 盗聴者

これらの当事者のうち、もしあれば、ユーザーのブラウジングを実際のアイデンティティまたは場所に関連付けるのに十分な情報を入手できるでしょうか?

これは、標準の(TLSではなく)DNSを介して同じ(HTTPS)Webサイトにアクセスする場合とどう違うのですか?

4
georgewatson

ユーザーがブラウジングにアクセスすることに関心がある場合、ユーザーのブラウジングに関する情報は、原則として次のそれぞれに利用できますか?

あなたの質問はDNS over TLSについて尋ねているので、HTTP over SSLについては説明しません。

DNSは通常、ネットワーク上を平文で伝送し、表示される情報は次のとおりです。

  • ソースIP(ユーザー)
  • 宛先IP(DNSサーバー)
  • クエリ(例:www.example.com)
  • 応答(例:93.184.216.34)

DNS over TLSを使用することにより、次の情報のみが部外者に表示されます。

  • ソースIP(ユーザー)
  • 宛先IP(DNSサーバー)

これは間違いなくプライバシーに役立ちます。また、これはMITM攻撃に役立ちます。TLSセッションを確立するためには、証明書を交換する必要があるため、サーバーのIDを確認できるようにする必要があります。

ウェブサイト

彼らは常にあなたが彼らのサイトにアクセスするたびに、あなたのすべての情報にアクセスできます。履歴はWebサーバーのログに記録され、IPアドレスが表示されます(VPNを使用する場合を除く)。

DNSプロバイダー

VPNを実行している場合を除いて、彼らがログを保持している場合、彼らはあなたがクエリしたすべてを表示し、その記録を保持します。

ユーザーのISP

彼らはあなたが実行しているクエリを見ることができなくなりますが、彼らはあなたが行くつもりのサイトを見ることができますが、HTTPSのためにあなたが彼らで何をしているのかを見ることができません。トラフィックの宛先IPアドレスやTLSクライアントハンドシェイクのサーバー名によって、サイトを認識できる場合があります。繰り返しますが、VPNを使用している場合、VPNは誰にも表示されません。

盗聴者

ユーザーのISPと同じです。

これらの当事者のうち、もしあれば、ユーザーのブラウジングを実際のIDまたは場所に関連付けるのに十分な情報を入手できるでしょうか。

単一の当事者がその決定を行うことはできません。それを把握するために、複数のソースからログを取得する可能性が高くなります。

これは、標準の(TLSではなく)DNSを介して同じ(HTTPS)Webサイトにアクセスする場合とどう違うのですか?

正直なところ、HTTPSではスニッファーが宛先IPを確認できるため、ほとんどの場合、サーバーネームがTLSハンドシェイクで指定されているため、大きな違いはないと思います。

それがあなたの質問に答えることを願っています!

5
Damian T.