IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始

IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始 48

ストーリー by hylom 2019年05月09日 16時33分
お試しあれ部門より

IIJが実験的にパブリックDNSサービス「IIJ Public DNSサービス」を一般提供することを明らかにした（IIJ Engineers ZBlog）。

昨今ではDNSに対するセキュリティやプライバシー問題、検閲などが議論されており、そのためDNS over TLS （DoT）、DNS over HTTPS （DoH）といった技術が開発されている。IIJの提供するパブリックDNSサービスではこれらに対応するとのこと。IIJのサービス契約者以外でも無料で利用できる。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索48コメント Log In/Create an Account

名前を引くたびにTLSのハンドシェイクするってことでしょ (スコア:1)

by 7743 (11762) on 2019年05月09日 18時35分 (#3611825)

ほぼ確実にインターネッツが劇遅になるんだが意味あるの?
っつーか使おうと思ってる人いるの?
- Re:名前を引くたびにTLSのハンドシェイクするってことでしょ (スコア:1)
  
  by 7743 (11762) on 2019年05月10日 9時38分 (#3612076)
  
  firefoxに設定してネットサーフィンしてみたが、思ったより速度は気にならなかった。
  というか、速度的な違いは体感できなかったわ。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  怪しい無線LANに繋がなきゃならんような時はDHCPが押し付けてくる怪しいDNSサーバより、信用できるPublic DNSを使った方がいくらか安心、とか。
  てか、そんなにしょっちゅう名前解決が要るかな？無数に生えてる広告とかは出るのが遅くなっても構わないし。
  ついでに、DoTとかDoHとかって繋ぎっぱなしにはしないもんなのかな。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  セッションキャッシュがあるから毎回ではない。
  オーバヘッドが大きいのはそのとおりだが。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    補足すると、1回の接続で複数回問い合わせ可能
人柱 (スコア:0)

by Anonymous Coward on 2019年05月09日 17時05分 (#3611753)

説明通りFirefoxで設定してCloudflareのサーバーとブラウザ上でのping速度比べてみたら、Cloudflareの方が早かった。
うーむ。
- no ping (スコア:1)
  
  by Anonymous Coward on 2019年05月09日 17時27分 (#3611774)
  
  In addition to the ping time, you also need to consider the average time to resolve a name. For example, if your ISP has a ping time of 20 ms, but a mean name resolution time of 500 ms, the overall average response time is 520 ms. If Google Public DNS has a ping time of 300 ms, but resolves many names in 1 ms, the overall average response time is 301 ms. To get a better comparison, we recommend that you test the name resolutions of a large set of domains.
  https://developers.google.com/speed/public-dns/faq#ping [google.com]
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  DoH を Firefox で使ってみた感想
  ・何やら応答が遅い気がする
  　Firefox は通常利用でないため、Firefox 自身が遅いのかぶっちゃけわからない。
  　応答性能そのものは許容範囲。
  　広告の表示が明らかに遅いと感じる。
  　タイムアウトを短くしたら効率よく広告ブロックできるんじゃないかと思う。※ あくまで個人の感想です
  ・netstat -n で見てるとすぐ切れた
  　TCP の場合は通常 SYN SENT → ESTABLISHED → CLOSE_WAIT みたいな感じに、クライアントの netstat では「見える」が DoH の場合は ESTABLISHED の後はすぐに消失した。
  　セッションは長いこと維持しない模様。
  　CLOSE_WAIT の存在価値が無いからかな
わすれもの (スコア:0)

by Anonymous Coward on 2019年05月09日 17時06分 (#3611754)

https://public.dns.iij.jp/ [dns.iij.jp]
DNSフィルタリング・ブロッキングについて
本サービスでは、インターネットコンテンツセーフティ協会（ICSA）が定める基準に則り、児童ポルノ対策のためのDNSブロッキングを実施しています。
なお、IIJが2019年7月より順次導入予定の「マルウェア対策のためのDNSフィルタリング」は実施いたしません。
※本サービスはDoT、DoHの技術検証のために提供されるβサービスです。DNSフィルタリング解除のためだけに本サービスをご利用いただくことはおすすめいたしません。
IIJ・IIJmioの各サービスをご契約の方で、「マルウェア対策のためのDNSフィルタリング」の解除をご希望の方は、各サービスで用意しているオプトアウトの方法に従って設定を変更ください。
- Googleやクラウドフレアは、児童ポルノブロッキングしていない (スコア:0)
  
  by Anonymous Coward
  
  児童ポルノに世界一厳しいアメリカのサービスのGoogleやクラウドフレアでさえも、児童ポルノブロッキングはしていないのに、なんでIIJはやるんだろう。
  法的な義務があるわけでもないのに。
  なにかに忖度しているのかな？
  - Re:Googleやクラウドフレアは、児童ポルノブロッキングしていない (スコア:2, 参考になる)
    
    by Anonymous Coward on 2019年05月09日 17時33分 (#3611778)
    
    >法的な義務があるわけでもないのに。
    児童ポルノ禁止法16条の3に義務ではないけど努力義務が定められています。
    http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detai... [e-gov.go.jp]
    
    シェア
    
    親コメント
  - DNSサービスの話ね (スコア:0)
    
    by Anonymous Coward
    
    児童ポルノブロッキングはしていないってのは、Google検索やCDNのコンテンツのことではなく、
    Googleの8.8.8.8、クラウドフレアの1.1.1.1の話ね。
  - マジかよ最低だな (スコア:0)
    
    by Anonymous Coward
    
    Googleやクラウドフレア使うのやめます
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ポーズ取っとかないと中国からの金盾輸入に協力しろって圧力がかかるのかね
  - - Re:Googleやクラウドフレアは、児童ポルノブロッキングしていない (スコア:1)
      
      by Anonymous Coward on 2019年05月09日 17時45分 (#3611789)
      
      外からは何をどう判断しているかわからないICSA基準での児童ポルノ判定でいいのかなぁ？
      
      シェア
      
      親コメント
    - 臭い物に蓋をしているだけなんですが (スコア:0, すばらしい洞察)
      
      by Anonymous Coward
      
      児童ポルノブロッキングっていうのは、臭い物に蓋をしているだけなんですよ
      被害者が被害に遭ったことを知ることができなくなるし被害者による通報の機械を奪っているのです
      そして児童ポルノ愛好家はブロッキングぐらい回避できるので拡散防止効果はほぼありません
      データを配信しているサーバを特定して削除させるしかないでしょう
      児童ポルノが合法の国はほぼないですから捜査機関がきちんと連携すればできるはずです
      - Re:臭い物に蓋をしているだけなんですが (スコア:1)
        
        by yutayu (47019) on 2019年06月12日 23時49分 (#3632491)
        
        DNSブロッキングは公権力による村八分を生むので良くないと思います。
        
        シェア
        
        親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        っていうのはあなたのイデオロギーであって、社会的な賛同を得ているわけでも、GoogleやCloudflareがそのイデオロギーに基づいて行動しているわけでもないですよね。
        
        Re: (スコア:0, すばらしい洞察)
        
        by Anonymous Coward
        
        あなたの怒りは、児童ポルノを作ったり流通している人たち、犯罪の対応が遅いか放置している各国の警察・捜査機関に向けようね、ここ勘違いしないように。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        とりあえずお前、セカンドレイプって言葉が何故あるのか考えてみろ
        お前自身も加害者だぞ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        >> セカンドレイプ
        お前みたいなのーたりんを表すためにある言葉だよね。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        問題を解決どころか理解する気もないのなら、せめて黙ってろ。な？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        偶然ネットで見かけた違法コンテンツを最近1回でも然るべき機関に通報したことあるんですか?
        目の前で行われている犯罪を放置して立ち去る犯罪加害者なのはお前だろ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        あるアルヨ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        セカンドレイプって全く理解できてないのな。
        犯人を捕まえるため、犯人を裁くためだと言って、被害者の心情に配慮せずに行動すること。
        被害者からすれば一刻も早く被害を減らして欲しいのに、犯人を捕まえるため等と称して被害防止を妨害するのもその典型。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        その言の通り、黙るべきは#3611845だよね。
        解決も理解も出来てないことをのーたりんなりに理解しよう。な？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        被害減る行動に結びついてないよねそれ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ああ、あの流行らなかったVRゲーム……
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        それはセカンドライフ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        通報するための放置するのは間違いなく被害が増えてるだろうが
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ブロッキングが有効な手段として行われていて、一定の成果を上げている
        その事実すらも含めて間違っていて、相手を「のーたりん」と言うのならば、せめて何故それが解決も理解もできていないと言えるのか、理論をきちんと説明せよ
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        被害者が被害に遭ったことを知ることができるくらい一般大衆の目にさらされたら
        サーバを特定して削除したところで結局多くの人のハードディスクに残るし
        P2Pなどのアングラに潜るんじゃないかな。
        それと、被害者や捜査機関が気づくことなく
        一部のマニアに細く長く晒されるのと
        どっちがいいだろう。
        BBAになってしまえばあんまり気にしないってのもあるかもしれないし。ないかな？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        見られる事そのものが被害になる犯罪なのだから、蓋をして見えなくすることは応急処置として必要だろ
        臭いものに蓋っていうけど、問題そのものが悪習対策だったらまず蓋をするのは正しいだろうに
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      児童ポルノが表示されてないと、見つけて警察に通報する人が通報しなくなって、放置状態が続いた結果、見かける人が増加し、犯罪増えますよ。
      そういう人たちはブロッキング使わないだろうから、あれだけどさ。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        実際にこれらの対策は行われてかなりたってますが、増通報しなくなって､放置状態が続いて、見かける人が増加し、犯罪増えてるんですか？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  https://cpplover.blogspot.com/2019/04/iijdns.html [blogspot.com]
  ただし問題は、オプトアウトをする人間は圧倒的少数であろうということだ。インターネットにおけるプライバシーを考えるにあたって、少数派はその分余計なフィンガープリントを抱えることになり、目立つのだ。ましてや、国家の諜報機関は、意図的にDNS検閲のオプトアウトをした人間を怪しいとみなし、重点的に秘密裏に通信内容を傍受して捜査するかも知れない。私が国家の諜報機関(緊急避難と称して捜査令状も取らずに秘密裏に違法に捜査する機関を想定している)ならばそうする。
  今のところ私
202.232.2.38 (スコア:0)

by Anonymous Coward on 2019年05月09日 17時08分 (#3611756)

何も考えず使ってた時期もあったなー
GPD(Google Public DNS) (スコア:0)

by Anonymous Coward on 2019年05月09日 17時49分 (#3611793)

と比べて何処が優れてるの？
教えて偉いひと！
- EDNS Client subnet非送信 (スコア:0)
  
  by Anonymous Coward
  
  IPアドレスが権威DNSサーバに漏れない
  https://note.mu/note_s/n/na4319b4e159b [note.mu]
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    でもGoogleには漏れる、という・・・
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Googleには漏れんでしょ(?)
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Googleじゃないとこ？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  偉くないけど DoH の場合
  ・エンタープライズ用途においてHTTPS通信の特性上、社内システムの通信規制がかかることはほぼ無い
  ・Googleが意図的に規制(し|され)ている場合に客観的な検証ができる（Archive.inみたいな、もしくはGoogleに都合の悪いサイトなど）
  　なんにせよ選択肢は多いほど良い
  あとは、公開ネットワークに接続した際にネットワークののぞき見を防げるかもしれない。
  まあ、どこを信じるかによりますが。
  だれも信じられないって人はSSL-VPNかなにかを自宅に準備したらどうでしょうか。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    エンタープライズだとそもそも外部との接続が許可されない。繋ぐとしても最低VPN、できれば専用線。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      組織とか役割によりWebサイトが見られない組織はその通りだけど
      だいたいの会社はWebサイトの閲覧は可能だよ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ・トラッキングしない。
  ・G社のアカウントとクエリの紐付けがされない
要約すると (スコア:0)

by Anonymous Coward on 2019年05月09日 18時03分 (#3611806)
- Public DNSサービスはDoT/DoHで守らないと危険
- ISPの閉域DNSサービスは平文でもさほど危険ではない
- でもDoT/DoH対応してて損はないよね
- だからβ版つくってみました
こんなところ？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

名前を引くたびにTLSのハンドシェイクするってことでしょ (スコア:1)

Re:名前を引くたびにTLSのハンドシェイクするってことでしょ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

人柱 (スコア:0)

no ping (スコア:1)

Re: (スコア:0)

わすれもの (スコア:0)

Googleやクラウドフレアは、児童ポルノブロッキングしていない (スコア:0)

Re:Googleやクラウドフレアは、児童ポルノブロッキングしていない (スコア:2, 参考になる)

DNSサービスの話ね (スコア:0)

マジかよ最低だな (スコア:0)

Re: (スコア:0)

Re:Googleやクラウドフレアは、児童ポルノブロッキングしていない (スコア:1)

臭い物に蓋をしているだけなんですが (スコア:0, すばらしい洞察)

Re:臭い物に蓋をしているだけなんですが (スコア:1)

Re: (スコア:0)

Re: (スコア:0, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

202.232.2.38 (スコア:0)

GPD(Google Public DNS) (スコア:0)

EDNS Client subnet非送信 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

要約すると (スコア:0)