DNS over TLS 【DoT】 DNS over DTLS / DNSoD
DNS(Domain Name System)はインターネット上のドメイン名とIPアドレスを対応付けるシステムで、DNSクライアントからDNSサーバへ問い合わせを送り、DNSサーバが応答を返すための通信手順やデータ形式などの仕様を定義している。
TLS(Transport Layer Security)はかつてSSL(Secure Socket Layer)と呼ばれていた暗号通信のための標準規格の一つで、個別の(アプリケーション層の)プロトコルに暗号化の仕様を追加しなくても伝送路を丸ごと暗号化することができる。様々なプロトコルと組み合わせて利用でき、HTTP通信を暗号化するHTTP(HTTP over SSL/TLS)が特に有名である。
DNS over TLSはこの二つを組み合わせ、DNSによる問い合わせや応答などのやり取りを丸ごと暗号化してサーバ、クライアント間で安全に伝送することができる。通信開始時にTLSによる接続手続き(ハンドシェイク)を行い、安全な伝送路を確立してから通常のDNS規格による通信を行う。なお、トランスポート層にTCPではなくUDPを用いる仕様は「DNS over DTLS」という。
通常のDNSはUDPの53番ポートを使用するが、DNS over TLSではTCPの853番ポートを、DNS over DTLSではUDPの853番ポートを使うことになっている。標準仕様は2016年にIETFによってRFC 7858として提案され、詳細をめぐり議論が続いている。TLSを応用してDNSを暗号化する規格としてはHTTPS通信を利用する「DNS over HTTPS」(DoH)がある。
(2022.12.10更新)