Microsoftは6月29日(米国時間)、公式ブログ「Windows Insiders gain new DNS over HTTPS controls - Microsoft Tech Community」において、Windows Insider Program向けにDNS over HTTPS(以下、DoH)の新機能の提供が開始されたことをアナウンスした。DoHは、HTTPSによる暗号化信を利用してDNSによる安全な名前解決を可能にする技術。Windows Insider Programで提供されるプレビュー版のWindowsには、設定アプリのUIや、DNSサーバーがDoHをサポートしているかどうかをWindowsが認識する方法などが大幅に改善されているという。

通常のDNSによる名前解決では、問い合わせが暗号化されず、レスポンスの送信元が正式な相手かどうかの確認も行われないため、盗聴やなりすまし、改竄などに対して無防備という問題がある。DNSによる名前解決はHTTPSの通信が確立するよりも前に行われるため、通信をHTTPS化したとしてもDNSの問い合わせは安全にはならない。そこで、DNSのクエリそのものをHTTPSによる暗号化通信を利用して行うことで、この問題を解決するのがDoHである。

Windows Insider Programで追加された新機能のひとつとして、DoHに関する設定UIが大幅に使いやすくなった点が挙げられている。ネットワークの設定で指定されたIPアドレスのDNSサーバがDoHをサポートしている場合、DNS暗号化の設定に関するドロップダウンが有効になり、暗号化を使用するか否かの設定が選択できるようになる。

  • DNSの設定時に、DoHを使用するか否かを設定することができる

    DNSの設定時に、DoHを使用するか否かを設定することができる

エンタープライズの管理者向けには、DoHの動作を制御するための新しいグループポリシーオブジェクト(GPO)も提供されるようになった。これによって、システム全体でDoHの使用の許可や要求、または禁止を一元管理できるようになっている。

名前解決ポリシーテーブル(NRPT)を使って、名前空間ごとにDoHの使用をルール化することも可能になったという。NRPTルールが定められているDNSサーバがDoHをサポートしている場合、このNRPTルールの影響を受けるトラフィックには一貫して指定されたDoH設定が適用されるため、名前空間ごとにDoHの使用・不使用を管理することができる。

上記のメカニズムは、対象のDNSサーバがDoHをサポートしていることをWindowsが認識することで有効になるという。Windowsではいくつかの既知のDoHサーバの定義をデフォルトで保持しているが、自前で定義を追加することもできる。既知のDoHサーバの例としては以下が挙げられている。

  • Windowsに用意されている既知のDoHサーバー

    Windowsに用意されている既知のDoHサーバ

Microsoftでは次のステップとして、DNSサーバからDoHサーバの構成を自動検出できるようにする予定だという。