DNSの仕組みについては[DNSの解説]を参照して下さい。
ここではDSNの中の[DNSリゾルバ]の1.1.1.1を徹底解説します。
1.ISPのDNSリゾルバ
インターネットを開通させるとISPのDNSリゾルバがデフォルトで設定されます。
このISPのDNSリゾルバはセキュリティ的に弱く、アクセス速度は平均で68.23msとあまり早くありません。
貴方が利用しているISPのDNSリゾルバがセキュリティ的に問題があるか否かは下記のサイトをアクセスすると確認できます。
表示された画面で[Test your ISP]を実行すると確認できます。
私の場合は自宅回線とスマホのテザリング回線で試した結果、自宅回線のISPのDNSリゾルバはBGPが実装されてない事が判りました。
2.今までのパブリックDNSリゾルバ
そこで登場したのが安全でスピードが速く、誰でもが利用できる[パブリックDNSリゾルバ]です。
Googleの[8.8.8.8]、IBM連合のQuad9[9.9.9.9]及びCiscoの[208.67.222.222]がこれにあたります。
ISPのDNSの速度は平均 68.23ms でしたが、これらに変更する と22から32ms に速度が向上します。
しかし何故、この様な無償のDNSサーバを提供するのでしょうか?
DNSを監視するとユーザが何処のサイトを検索したのかの履歴が全て分かります。
Google社は広告事業で成り立っている企業なので、当然これを利用する事によりお客様が関心を持ちそうな広告を表示させる事に利用できます。
その他の会社は自社では使わないと思いますが、広告業者への販売など、商用的な目的に使用していると言われています。
3.Cloudflare社のパブリックDNSリゾルバ
新たに登場したパブリックDNSリゾルバがCloudflare社の[1.1.1.1]です。
これはアジア地区のIPアドレスの元締めの APNIC と Cloudflare社 の共同研究の結果から2018年4月1日から提供を開始したサービスです。
APNICの思いは[APNIC LabsがCloudflareと研究契約を締結]で公開されています。
一方、Cloudflare社は『より良いインターネット環境の構築をサポートする』事を目標に設立された米国の企業です。
よってこのサービスは、DNSの履歴はデバック目的で24時間は保持するがそれ以降は総て破棄し、商用利用はしない事を明言しています。
またこれを立証する為に外部監査も受けいれています。
更にCloudflare社は[1.1.1.1]以外にセキュリティ機能付きDNS
・[1.1.1.2]:マルウェアサイトをブロックするDNSリゾルバ
・[1.1.1.3]:上記に加えてブラウザのセキュリティサーチ機能を強制するDNSリゾルバ
も無償提供しています。
更に応答スピードは今までのパブリックDNSリゾルバーより更に高速になっています。
下図は全世界のDNSを常時監視している[DNSPerf]の2024年2月のスピード計測結果です。
■赤枠で囲んだものが無償のパブリックDNSリゾルバで、[1.1.1.1]が一番性能が良い事が判ります。
■赤枠以外はCloudflare社が無償で提供している[1.1.1.2]や[1.1.1.3]等のセキュリティ機能をサービスとして有償化し、企業やISPに販売しているDNSリゾルバになります。
よって[1.1.1.1]は、高速で一番安全な無償の[パブリックDNSリゾルバ]となります。
上記の[1.1.1.1]を利用する方法には下記の3種類があります。
1.DNS設定をマニュアルで変更する方法
この方法は[デバイス]と[1.1.1.1]の会話を暗号化なしで通信する従来のアクセス方法です。
やり方はデバイスのDNS設定をマニュアルで変更します。
下記はWindows10の例ですが、AndroidやiOSでも同様な手順になります。
1.[スタート] メニュを右クリックで[ネットワーク接続]を選択します。
2.画面にある[アダプター オプションの変更する] を選択します。
3.接続している[イーサネット]または[Wi-Fi ネットワーク]を右クリックし、[プロパティ]を選択します。
4.[インターネットプロトコル バージョン4]と[インターネットプロトコル バージョン6]のDNSを[次の DNS サーバー アドレスを使用する]で下記のIPアドレスを指定します。
IPv4 | IPv6 | ||
プライマリ | セカンダリ | プライマリ | セカンダリ |
1.1.1.1 | 1.0.0.1 | 2606:4700:4700::1111 | 2606:4700:4700::1001 |
以上でPCの総てのブラウザからのアクセスが1.1.1.1を利用する様になります。
[https://one.one.one.one/help/]をアクセスすると1.1.1.1に接続されている事を確認する事ができます。
問題点
上記のDNSサーバのIPアドレスを変更する方法はデバイスとDNSの会話は暗号化されません。
よってフリーWifi等で、悪意がある第三者がDNSメッセージをのぞき見たり、データを改ざんする事ができる状態にある事を意味しています。
2.ブラウザでセキュアDNSを指定する方法
この方法は[ブラウザ]と[1.1.1.1]の会話をHTTPSを使って暗号化する方式です。
これを一般的には[DNS over HTTPS]と呼び、略称は[DoH]です。
やり方はブラウザのセキュアDNSの設定に下記のURLを指定します。
[https://cloudflare-dns.com/dns-query]
その結果、[ブラウザ]と[1.1.1.1]の会話はHTTPSで暗号化されます。
1.Google Chomeの場合
①ブラウザで 3 点メニュ → [設定]を選択します。
②[プライバシーとセキュリティ] → [セキュリティ]を選択します。
③下にスクロールして、[セキュア DNS を使用する]を有効にします。
④[With]オプションを選択し、ドロップダウン メニューから [ Cloudflare (1.1.1.1)]を選択します。
2.Microsoft Edgeの場合
①ブラウザで 3 点メニュ → [設定]を選択します。
②[プライバシー、検索、サービス]を選択し、[セキュリティ]まで下にスクロールします。
③[セキュア DNS の使用] を有効にします。
④[サービス プロバイダーの選択] を選択します。
⑤[カスタム プロバイダーを入力]ドロップダウン メニューを選択し、 [Cloudflare (1.1.1.1)]を選択します。
3.Firefoxの場合
①メニュー ボタン > [設定]を選択します。
②[プライバシーとセキュリティ] メニューで、 [安全な DNS を有効にする:]セクションまで下にスクロールします。
③[保護の強化]または[最大保護]を選択します。デフォルトでは、Cloudflareプロバイダーが使用されます。
そうでない場合は、[プロバイダーの選択]ドロップダウンでCloudflareを選択します。
[https://one.one.one.one/help/]をアクセスします。
[Using DNS over HTTPS (DoH)]がYesになっている事で確認できます。
問題点
上記の設定は[デバイス]でなく[ブラウザ]の設定です。
よって利用する総てのブラウザをセキュアDNSに変更する必要があります。
これを解決するのが[3項]のCloudflareの接続プログラムの利用です。
これを利用するとブラウザの設定とは関係なしに色々な暗号化通信が利用できる様になります。
3.Cloudflareの接続アプリを利用する方法
ここではCloudflareの[1.1.1.1接続アプリ]を使った接続方法を解説します。
このアプリは下記の暗号化方式をサポートしています。
①DNS over HTTPS(DoH)
ブラウザのセキュアDNSと同様にHTTPSを使って暗号化する方式です。ポート番号の443を利用します。
②DNS over TLS(DoT)
通信をTLS(SSL)を使って暗号化する方式です。ポート番号の853を利用します。
③DNS over WARP
[クライアント]と[1.1.1.1]の間をトンネル接続する方法です。
以下に具体的な利用法を解説していきます。
1.アプリをダウンロードする。
[https://1.1.1.1]をクリックすると下記画面が表示されます。
■上記画面から利用しているデバイスのOSを選択してプログラムをダウンロードします。
■スマホの場合はプログラムがそのままダウンロードされますが、Windowsの場合は対応するインストールプログラム[Cloudflare_WARP_Release-x64.msi]がPCにダウンロードされます。
Windowsの場合はダウンロードしたファイルをダブルクリックする事によるWARPをインストールします。
インストールが完了するとタスクバーにマークが表示されます。
上記のマークをクリックし使用許諾等々に同意すると下図が表示されます。
画面の歯車をクリックすると[1.1.1.1]と[1.1.1.1 with WARP]の2つの接続方法を選択ができます。
■スマホの場合も画面が少し違いますが、上記と同じように2つのモードを切り替える事ができます。
3.[1.1.1.1]モードとは
[1.1.1.1]モードとは、現在利用しているISPの回線で1.1.1.1に[DNS over HTTPS (DoH)]で接続してくれます。
スライドをONにして[1.1.1.1]を有効にします。
確認方法
下記方法で接続状態を確認できます。
■[https://one.one.one.one/help/]をアクセスします。
[Using DNS over HTTPS (DoH)]がYesになっている事により確認できます。
■[現在のプロバイダ]と[現在のIPアドレス]をアクセスします。
貴方が利用しているISP情報とIPアドレスが表示されます。
[DNS over TLS(DoT)]に変更する方法
①下記の歯車アイコンの隣のアイコンをクリックします。
②下図の[接続]の画面の[DNSプロトコル]を[HTTPS]から[TSL]に変更します。
確認方法
下記方法で接続状態を確認できます。
■[https://one.one.one.one/help/]をアクセスします。
[Using DNS over TSL (DoT)]がYesになっている事により確認できます。
■[現在のプロバイダ]と[現在のIPアドレス]をアクセスします。
貴方が利用しているISP情報とIPアドレスが表示されます。
4.[1.1.1.1 with WARP]モードとは
[1.1.1.1 with WARP]モードとは、PCと1.1.1.1との間をVPNで接続しアクセスするモードです。
スライドをONにして[WARP]を有効にします。
確認方法
下記方法で接続状態を確認できます。
■[https://one.one.one.one/help/]をアクセスします。
[Using DNS over WARP]がYesになっている事により確認できます。
■[現在のプロバイダ]と[現在のIPアドレス]をアクセスします。
ISPとIPアドレスがCloudflareになっており、貴方が利用しているISPやIPアドレスは見えなくなっています。(トンネル接続で1.1.1.1に接続されています)
尚、Cloudflare社は上記の[1.1.1.1]以外にセキュリティ機能を付加した下記も提供しています。
これらも参考にしてください。