Cloudflare(インターネットプライバシー企業)、Apple、Fastly(プログラム可能なエッジクラウドプラットフォームを開発)のエンジニアは、IPアドレスとクエリを分離し、単一のエンティティが同時に両方を見ることができないようにする新しいDNS標準案を開発しました。これは、Cloudflare、Apple、Fastlyのエンジニアが共同で作成したものです。
また、ソースコードも公開されているため、誰でもOblivious DNS-over-HTTPS(略してODoH)を試したり、独自のODoHサービスを実行したりできます。Cloudflareが提供する情報は以下の通りです。
ドメインネームシステム(DNS)は、人間が利用できるインターネットの基盤です。cloudflare.com などの使用可能なドメイン名を、そのドメインに接続するために必要なIPアドレスなどの情報にマッピングします。DNSの重要性と問題点に関する簡単な入門書は、以前のブログ投稿をご覧ください。この記事では、DNSの初期の設計段階から現在に至るまで、クエリは平文で送信されるということを理解すれば十分です。つまり、デバイスとDNSリゾルバ間のネットワークパス上にいるすべての人が、必要なホスト名(またはウェブサイト)を含むクエリと、デバイスを識別するIPアドレスの両方を見ることができるということです。
DNS を傍観者や第三者から保護するため、IETF は DNS 暗号化を DNS over HTTPS (DoH) と DNS over TLS (DoT) で標準化しました。どちらのプロトコルも、クライアントとリゾルバ間でのクエリの傍受、リダイレクト、または変更を防ぎます。DoT と DoH のクライアントサポートは拡大しており、Firefox、iOS などの最新バージョンに実装されています。とはいえ、インターネット サービス プロバイダー間でより広範な導入が行われるまでは、Cloudflare はパブリック DoH/DoT サービスを提供する数少ないプロバイダーの 1 つです。これにより、主に 2 つの懸念が生じています。1 つは、DNS の集中化によって単一障害点が生じることです (ただし、100 か国以上にデータ センターを構える Cloudflare は、常にアクセス可能なように設計されています)。もう 1 つは、リゾルバがすべてのクエリをクライアントの IP アドレスにリンクできることです。
Cloudflareはエンドユーザーのプライバシー保護に尽力しています。当社のパブリックDNSリゾルバーサービスのユーザーは、監査済みの強力なプライバシーポリシーによって保護されています。しかしながら、たとえ強力なプライバシーポリシーがあっても、機密性の高いクエリ情報をCloudflareに託すことが、一部のユーザーにとって導入の障壁となっている場合があります。プライバシーポリシーや監査に頼るのではなく、技術的な保証によってその障壁を取り除く選択肢をユーザーに提供できたらどうでしょうか?
今日、Cloudflare とパートナーは、まさにそれを実現するプロトコル、Oblivious DNS over HTTPS (略して ODoH) のサポートを開始します。
