パスワードを忘れた? アカウント作成
13904641 story
インターネット

IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始 48

ストーリー by hylom
お試しあれ 部門より

IIJが実験的にパブリックDNSサービス「IIJ Public DNSサービス」を一般提供することを明らかにした(IIJ Engineers ZBlog)。

昨今ではDNSに対するセキュリティやプライバシー問題、検閲などが議論されており、そのためDNS over TLS (DoT)、DNS over HTTPS (DoH)といった技術が開発されている。IIJの提供するパブリックDNSサービスではこれらに対応するとのこと。IIJのサービス契約者以外でも無料で利用できる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ほぼ確実にインターネッツが劇遅になるんだが意味あるの?
    っつーか使おうと思ってる人いるの?

    • firefoxに設定してネットサーフィンしてみたが、思ったより速度は気にならなかった。
      というか、速度的な違いは体感できなかったわ。

      親コメント
    • by Anonymous Coward

      怪しい無線LANに繋がなきゃならんような時はDHCPが押し付けてくる怪しいDNSサーバより、信用できるPublic DNSを使った方がいくらか安心、とか。

      てか、そんなにしょっちゅう名前解決が要るかな?無数に生えてる広告とかは出るのが遅くなっても構わないし。
      ついでに、DoTとかDoHとかって繋ぎっぱなしにはしないもんなのかな。

    • by Anonymous Coward

      セッションキャッシュがあるから毎回ではない。
      オーバヘッドが大きいのはそのとおりだが。

      • by Anonymous Coward

        補足すると、1回の接続で複数回問い合わせ可能

  • by Anonymous Coward on 2019年05月09日 17時05分 (#3611753)

    説明通りFirefoxで設定してCloudflareのサーバーとブラウザ上でのping速度比べてみたら、Cloudflareの方が早かった。
    うーむ。

    • by Anonymous Coward on 2019年05月09日 17時27分 (#3611774)

      In addition to the ping time, you also need to consider the average time to resolve a name. For example, if your ISP has a ping time of 20 ms, but a mean name resolution time of 500 ms, the overall average response time is 520 ms. If Google Public DNS has a ping time of 300 ms, but resolves many names in 1 ms, the overall average response time is 301 ms. To get a better comparison, we recommend that you test the name resolutions of a large set of domains.

      https://developers.google.com/speed/public-dns/faq#ping [google.com]

      親コメント
    • by Anonymous Coward

      DoH を Firefox で使ってみた感想
      ・何やら応答が遅い気がする
       Firefox は通常利用でないため、Firefox 自身が遅いのかぶっちゃけわからない。
       応答性能そのものは許容範囲。
       広告の表示が明らかに遅いと感じる。
       タイムアウトを短くしたら効率よく広告ブロックできるんじゃないかと思う。※ あくまで個人の感想です

      ・netstat -n で見てるとすぐ切れた
       TCP の場合は通常 SYN SENT → ESTABLISHED → CLOSE_WAIT みたいな感じに、クライアントの netstat では「見える」が DoH の場合は ESTABLISHED の後はすぐに消失した。
       セッションは長いこと維持しない模様。
       CLOSE_WAIT の存在価値が無いからかな

  • by Anonymous Coward on 2019年05月09日 17時06分 (#3611754)

    https://public.dns.iij.jp/ [dns.iij.jp]

    DNSフィルタリング・ブロッキングについて

    本サービスでは、インターネットコンテンツセーフティ協会(ICSA)が定める基準に則り、児童ポルノ対策のためのDNSブロッキングを実施しています。

    なお、IIJが2019年7月より順次導入予定の「マルウェア対策のためのDNSフィルタリング」は実施いたしません。

    ※本サービスはDoT、DoHの技術検証のために提供されるβサービスです。DNSフィルタリング解除のためだけに本サービスをご利用いただくことはおすすめいたしません。
    IIJ・IIJmioの各サービスをご契約の方で、「マルウェア対策のためのDNSフィルタリング」の解除をご希望の方は、各サービスで用意しているオプトアウトの方法に従って設定を変更ください。

    • 児童ポルノに世界一厳しいアメリカのサービスのGoogleやクラウドフレアでさえも、児童ポルノブロッキングはしていないのに、なんでIIJはやるんだろう。
      法的な義務があるわけでもないのに。

      なにかに忖度しているのかな?

      • by Anonymous Coward on 2019年05月09日 17時33分 (#3611778)

        >法的な義務があるわけでもないのに。

        児童ポルノ禁止法16条の3に義務ではないけど努力義務が定められています。
        http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detai... [e-gov.go.jp]

        親コメント
      • by Anonymous Coward

        児童ポルノブロッキングはしていないってのは、Google検索やCDNのコンテンツのことではなく、
        Googleの8.8.8.8、クラウドフレアの1.1.1.1の話ね。

      • by Anonymous Coward

        Googleやクラウドフレア使うのやめます

      • by Anonymous Coward

        ポーズ取っとかないと中国からの金盾輸入に協力しろって圧力がかかるのかね

    • by Anonymous Coward

      https://cpplover.blogspot.com/2019/04/iijdns.html [blogspot.com]

      ただし問題は、オプトアウトをする人間は圧倒的少数であろうということだ。インターネットにおけるプライバシーを考えるにあたって、少数派はその分余計なフィンガープリントを抱えることになり、目立つのだ。ましてや、国家の諜報機関は、意図的にDNS検閲のオプトアウトをした人間を怪しいとみなし、重点的に秘密裏に通信内容を傍受して捜査するかも知れない。私が国家の諜報機関(緊急避難と称して捜査令状も取らずに秘密裏に違法に捜査する機関を想定している)ならばそうする。

      今のところ私

  • by Anonymous Coward on 2019年05月09日 17時08分 (#3611756)

    何も考えず使ってた時期もあったなー

  • by Anonymous Coward on 2019年05月09日 17時49分 (#3611793)

    と比べて何処が優れてるの?
    教えて偉いひと!

    • IPアドレスが権威DNSサーバに漏れない
      https://note.mu/note_s/n/na4319b4e159b [note.mu]

      • by Anonymous Coward

        でもGoogleには漏れる、という・・・

        • by Anonymous Coward

          Googleには漏れんでしょ(?)

    • by Anonymous Coward

      Googleじゃないとこ?

    • by Anonymous Coward

      偉くないけど DoH の場合
      ・エンタープライズ用途においてHTTPS通信の特性上、社内システムの通信規制がかかることはほぼ無い
      ・Googleが意図的に規制(し|され)ている場合に客観的な検証ができる(Archive.inみたいな、もしくはGoogleに都合の悪いサイトなど)
       なんにせよ選択肢は多いほど良い

      あとは、公開ネットワークに接続した際にネットワークののぞき見を防げるかもしれない。
      まあ、どこを信じるかによりますが。
      だれも信じられないって人はSSL-VPNかなにかを自宅に準備したらどうでしょうか。

      • by Anonymous Coward

        エンタープライズだとそもそも外部との接続が許可されない。繋ぐとしても最低VPN、できれば専用線。

        • by Anonymous Coward

          組織とか役割によりWebサイトが見られない組織はその通りだけど
          だいたいの会社はWebサイトの閲覧は可能だよ

    • by Anonymous Coward

      ・トラッキングしない。
      ・G社のアカウントとクエリの紐付けがされない

  • by Anonymous Coward on 2019年05月09日 18時03分 (#3611806)
    • Public DNSサービスはDoT/DoHで守らないと危険
    • ISPの閉域DNSサービスは平文でもさほど危険ではない
    • でもDoT/DoH対応してて損はないよね
    • だからβ版つくってみました

    こんなところ?

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...