DNS over HTTPS (DoH) とは、従来平文で送受信されていた DNS クエリを HTTPS プロトコルで暗号化して通信するプロトコル (RFC 8484) です。ISP やネットワーク管理者、中間者攻撃者による DNS トラフィックの傍受・改ざん・検閲を防ぎ、ユーザーのプライバシーを保護します。
従来の DNS (ポート 53、UDP/TCP) では、ユーザーがどのドメインにアクセスしようとしているかがネットワーク上で平文で観測可能でした。これにより、ISP によるアクセス履歴の収集、公衆 Wi-Fi での DNS スプーフィング、国家レベルの検閲が技術的に容易でした。DoH はこれらの脅威に対する根本的な対策です。
短縮 URL サービスとの関連では、DoH の普及により短縮 URL ドメインの DNS 解決が安全になります。攻撃者が DNS レスポンスを改ざんして短縮 URL サービスのドメインを偽サーバーに向ける攻撃 (DNS ハイジャック) が困難になるため、リダイレクトの信頼性が向上します。
主要ブラウザの対応状況として、Chrome、Firefox、Edge、Safari はすべて DoH をサポートしています。Firefox はデフォルトで Cloudflare の DoH リゾルバ (1.1.1.1) を使用し、Chrome は既存の DNS プロバイダーが DoH に対応していれば自動的にアップグレードします。
課題として、(1) 企業ネットワークでの DNS ベースのセキュリティフィルタリング (マルウェアドメインのブロック) が迂回される、(2) DoH リゾルバ (Cloudflare、Google) への集中によるプライバシーの新たな懸念、(3) ネットワーク診断の困難化、があります。