楽しみにしていること: ドメイン ネーム システムは、最新のネットワーク アプリケーションの最も重要なコンポーネントの 1 つであるにもかかわらず、依然としてインターネットの安全性が最も低いテクノロジの 1 つです。 Microsoft は、暗号化された DNS トラフィックの採用を拡大することで、状況を変えようとしています。
Microsoft は最近、Windows Server 2025 で DNS over HTTPS (DoH) が利用可能になり、クライアントとサーバーの通信に暗号化された DNS トラフィックを提供すると発表しました。この機能は Windows のクライアント エディションで長年利用可能でしたが、現在はサーバー指向バージョンのオペレーティング システムにも拡張されています。
Microsoft は、DNS トラフィックに暗号化サポートを追加すると、ネットワークのセキュリティと信頼性の両方が明らかに向上すると述べています。以前はパブリック プレビューとしてのみ利用可能であった DoH 機能は、Microsoft が自社のコンピューティング システム全体に段階的に実装しているゼロ トラスト アーキテクチャの一部です。ゼロ トラストは、ユーザーとデバイスが本質的に信頼できないことを前提としています。そのため、DoH は、TLS 証明書を使用して安全な HTTPS 経由で DNS トラフィックをルーティングすることで、追加のセキュリティ層を追加します。
ほぼすべてのアプリケーション、サービス、ワークロードは依然として DNS に依存しています。DNS は 1985 年から使用されており、ドメイン名解決に暗号化されていないトラフィックを使用して動作し続けているシステムです。 DoH はクライアントとサーバー間のトラフィックを暗号化することで、悪意のある第三者による盗聴を防ぐことができます。
さらに、暗号化されたトラフィックは、DNS データを改ざんから保護し、HTTPS/TLS を使用して DNS サーバーの ID を検証するのに役立ちます。 Microsoft の DoH 実装は、IETF DNS over HTTPS 標準 (RFC 8484) に基づいているため、この仕様に準拠する最新のクライアントでも確実に動作するはずです。 DoH は、Windows DNS サーバー サービスなどの既存のインフラストラクチャと統合することもできます。必要に応じて、暗号化されていない DNS トラフィックは DoH と並行して動作し続けることができます。
DoH をプレビュー形式で導入した後、Microsoft は外部組織と協力して、実際のアプリケーションがどのように動作するかを評価しました。同社は現在、この機能により、システム管理者に大きな負担を強いることなく、セキュリティが大幅に向上すると確信しています。したがって、組織は既存の暗号化されていない DNS インフラストラクチャを維持しながら、自分のペースで DoH を導入できます。
DNS over HTTPS は、最新の Patch Tuesday に更新された Windows Server 2025 システムで利用できます。 Microsoft は、Windows Server DNS サービスの機能を有効にして検証するための詳細なガイドを提供しています。同社はまた、2 つの DNS サーバー間で交換される DNS トラフィックは DoH によって暗号化されていないことにも言及しています。
