パスワードを忘れた? アカウント作成
13674686 story
Firefox

FirefoxがDNS over HTTPなどをサポート、批判も 70

ストーリー by hylom
自分でビルドすれば良いんじゃないかな 部門より

Firefoxで、DNS over HTTPS(DoH)やTrusted Recursive Resolver(TRR)といった技術の導入が検討されている。DoHはHTTPベースでDNSサーバーとやりとりを行なってドメイン名の解決を行う技術、TRRはネットワーク内にあるDNSサーバーを利用せず、独自のDNSサーバーを使ってドメイン名の解決を行うというものだ。これら技術は、DNSにおいて特定ドメインの名前解決を拒否する(適切な結果を返さない)ことで特定サイトをブロックするという検閲手法や、DNSサーバーへのトラフィックからの閲覧履歴の収集などを回避するためのものとされている(Mozilla Hacks)。

一方でこういった技術が導入された場合、ユーザーが独自のDNSサーバーを利用することは難しくなり、名前解決が中央集権的に行われるようになることから、批判の声も出ている(オープンソース関連の事業を行うungleichのBlog)。

なお、これらの実装はFirefoxのNightlyビルドにて導入されており、設定を変更することで有効になる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年08月09日 14時50分 (#3458515)

    Sをお忘れなく。

    あとリンク先ですが、DoH, TTRといった技術の導入が危ないと言ってるのではなく、Firefoxの設定がCloudflareを参照しに行くようになっていることを問題視しています。
    オプションをONにすると、PCのDNS設定に関わらず、すべての問い合わせがCloudflareに行く、すなわちDNS問い合わせが全てCloudflareに筒抜けになる状況を危惧した発言だと思います。
    また、Cloudflareが単一障害点になることも問題にしてます。

    • by Anonymous Coward

      つうか、なんでよりにもよって、Cloudflareなんだ?

      海賊版サイトの温床になったり、その一方で諜報機関とつながりがあると絶えず噂がある、最も怪しい、邪悪なCDNの一つじゃないか。

      せめて、信頼できるDNSリストを用意して、そこをランダムに使用するとか、せめて選べるようにするべき。

      • by fukapon (4131) on 2018年08月09日 23時37分 (#3458953)

        他に選択肢がないよーな?

        親コメント
      • by Anonymous Coward

        そんな噂を心配する暇があったら、平文通信&毒入れ放題で、改めようにもにっちもさっちもいかない現状のDNSを心配しろよ。

        • by Anonymous Coward

          それ、論点のすり替えだよ。

          他に問題のあるDNSサーバがあるからといって、それでCloudflareの信頼性が低く、問題が多い事には変わりが無い。

          また、実際の所、多くのDNSはプロバイダが設置したISPの閉鎖網の中にあるものを利用するだろうから、特殊な場合を除き、実務上は問題は無い。

    • by Anonymous Coward

      誤字仕込んでた。×TTR ○TRR

  • Firefoxが唯一のTrusted Recursive Resolverとして Cloudflare の Public DNS [1.1.1.1] を採用する理由は、

    • 児童ポルノ、現にDDoS用BOTコントロールに使用されているFQDNなどを含めて一切のブロッキングを行っていない(通信の自由が保建てる)
    • ログは個人識別可能なデータ(IPアドレスを含む)を削除してから記録するので、ユーザのプライバシーが完全に保たれる。
    • EDNS Client Subnet (ユーザのIPアドレスを権威DNSサーバに伝えて地域に適したサーバのIPアドレスを返す仕組み) に非対応なので、権威DNSサーバにもIPアドレスが伝われない。

    で、表向きは通信の自由も通信の秘密(プライバシー)も完全に保たれます。

    ただ、所詮アメリカの営利企業なので、NSAに密かに協力し、もしくは圧力をかけられて、情報を垂れ流す可能性が無いとはいえません。
    世界中の名前解決を、アメリカの1企業(とバックにいるNSA)に支配されるというのは危険極まりないのです。

    こう書くとFUDに思えるかもしれませんが、NSAが民間企業から不法に情報をスパイしていた前科は公になっているだけで過去に数えられないほどあります。

    TLSを使っていれば大丈夫、というのもNSA対策としては誤りです
    例えばLet's Encrypt等のアメリカのCAの証明書を使っていたとして、NSAが認証局の中の人に裏金を払ったり脅したりして偽証明書を発行させるかもしれません
    ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません

    なので、少なくとも使用するDNSサーバと、TLS証明書の認証局の国ぐらいは、ばらけている方が良いでしょう。
    両方アメリカというのは危険すぎです。

    • > ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません

      これの対応としてGoogle Chromeは、2018/04/30以降に発行された証明書で、SCTが埋め込まれていない証明書を信頼しないようになりました。LEもすでに埋め込んでます。
      ※正確にはTLS拡張やOCSP Staplingで配布してもいいらしいが、対応サーバがあまりないのでふつうは埋込で対応している。

      親コメント
    • >ただ、所詮アメリカの営利企業なので、

      Mozilla Foundation は営利企業ではなくて、非営利団体ですね。

    • by Anonymous Coward

      今のSSLはどっかの認証局が不正をしたら如何なるサイトの偽証明書も作れちゃうから根本からして駄目だね

      例えば、jpドメインならJPRSサーバー証明書 [jprs.jp]しか認めない、のような仕組みにすべき
      証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する

      • by tmiura (6268) on 2018年08月09日 23時59分 (#3458965) 日記

        競争原理が働かないと、GPKIみたいな杜撰な認証局がその辺にごろごろあふれることになる。
        加えて、国単位で一つしか認証局がなかったら、スパイ組織にとっても攻撃対象が絞れるので有利。

        一方、現状の仕組みであっても、証明書はルート証明書も含めrevokeすることができる。
        競争のある環境の方がまし。

        親コメント
      • by Anonymous Coward

        証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する

        認証局、特にデジサートあたりを悪の組織と思っていませんか?
        また仮に国別に認証局を一つしか認めない、とした場合、その一つの認証局がミスや障害を含めた不正な証明書を発行して発覚した場合、最悪証明書を適用しているJPドメインすべてがrebokeされて目も当てられない状態になるのでは、と思ってしまいます。

        WEBだけならともかく、メールやクライアント証明書、アプリで必要な場合等、最悪のパターンを想定すると悪夢にしかならない気が……

    • by Anonymous Coward

      FIREFOXの話なのに
      > 世界中の名前解決を
      なんでこんなおおげさに騒ぐの?

      • by Anonymous Coward

        Firefoxの利用者は世界中に居るので、「世界中の名前解決」という表現は間違っていないと思うが。
        日本語勉強されては如何?

  • by Anonymous Coward on 2018年08月09日 17時05分 (#3458642)

    1.1.1.1 はサービス開始してから1年も経っていないのにもう1時間ぐらい連続している障害が数回発生している

    DNSサーバー「1.1.1.1」が利用できない障害発生中(2018年4月22日)
    https://did2memo.net/2018/04/22/dns-1-1-1-1-failure-2018-04-22/ [did2memo.net]

    自分も経験ありで1.0.0.1も同時に落ちてて、8.8.8.8とかISPのDNSでは正常に引けるし、VPN経由でも同様の問題が起きたので、1.1.1.1側の障害なことが明らかだった

    こういう信頼性の低いキャッシュサーバを強要するのはどうかと思う

  • by Anonymous Coward on 2018年08月09日 15時11分 (#3458527)

    従来のだと名前解決がOS側に回るからhostsファイルでブロックすることになり、そうなるとブラウザ以外もブロックされてしまうという難点があった。
    DoHになればブラウザ側だけで制御できるからそっちの方がいいかな。

    #収集するのがDNSサーバーからDoHサーバーに代わるだけで閲覧履歴の収集に使われること自体は同じでしょうに

  • by Anonymous Coward on 2018年08月09日 15時25分 (#3458539)

    企業とかの中だと、社内からだけ引けるドメインを用意してることが普通にあると思うんだけど、そういうのはどうなるの?

    あれ、もしかしてそういう会社ってもはや少数派だったりする?
    でも Web proxy 設定が必要な会社ではだいたいそうだし、ブラウザに proxy 設定機能自体はあるよね。

    • by Anonymous Coward

      HTTPSだから、そのproxyを通した上でDNSやるんじゃないかな。proxyがDNS引くのは証明書関連と最終的な接続先だけで。
      でそのDNSサーバが嘘を返したらTLSでの通信に失敗して名前解決自体に失敗する、と。

      • by Anonymous Coward

        結局社内からしか名前の引けないの Web サーバーにはアクセスできなくなるの。
        使えなさすぎる。

        • by Anonymous Coward on 2018年08月09日 16時51分 (#3458630)

          FirefoxのDoHには複数のモードがあります。

          1.DoHと普通のDNSを両方使用し、応答が早かった方を採用する
          2.DoHで名前解決に失敗したときに普通のDNSを使用する
          3.DoHのみを使用する

          DoHで名前が引けないだけなら、1か2のモードなら大丈夫かも知れません。
          試した事ないのではっきりとは言えませんが。

          親コメント
    • by Anonymous Coward

      当然無視されます。
      Firefoxのリリース版にはUIは未実装ですがDoHの機能自体は入っていて、about:configから有効化できます。
      自宅ではルーターにAtermを使用していて、DHCPで指定されたDNSを使用する環境ではaterm.meドメインへのアクセスはローカルルーターの管理画面に接続されるようになっているのですが、FirefoxでDoHを有効化するとインターネット上にあるaterm.meのホストへ接続されます。

      例外を指定する方法もあるのかも知れませんが、調べてないので知りません。

  • by Anonymous Coward on 2018年08月09日 16時57分 (#3458634)

    Mozilla Firefox × CloudFlare だから許されるものの、
    Google Chrome × Google Public DNS (8.8.8.8) だったら袋叩きになっていただろうね。
    独占禁止法違反だとかGoogleに支配されるWebが危険だとか。

    良くも悪くもマイナーブラウザFirefoxだから許される話だな。

    • by Anonymous Coward

      Firefoxが作った道を後からGoogleがついてくるシナリオでしょう。
      オプトインだから、と実装して、いつの間にか強制になる未来。

      • ありそうだね。
        Firefoxがこれを実装してしまったら、ネットの支配者になりたいGoogleは間違いなく追従するであろう。
        それを見越してFirefox開発チームに刺客を送り込んでいたかもしれんな。

        Googleがネットの支配者にならないために、FirefoxへのDNS over HTTPS(DoH)やTrusted Recursive Resolver(TRR)といった技術の導入は食い止めなければならない。

  • Symantec 証明書を平気で使うような組織にいるので、DNS サーバもちゃんと管理されているか心配。
    Cloudflare のほうがまだ安全かなという気がする。

    Firefox の DoH は Google の experimental なサーバーでも動くので、Cloudflare が嫌いな人も使える。対応した DoH サーバが増えれば両方嫌いな人でも使えるようになる。

    • by Anonymous Coward

      「ボクはカレーが嫌いなので、うんこを食べます」って感じ?

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...