Microsoft は最近、DNS over HTTPS (DoH、暗号化 DNS over HTTPS) が Windows Server 2025 で正式に利用可能になり、クライアントとサーバー間の DNS 通信に暗号化された保護を提供すると発表しました。この機能は何年にもわたって Windows のクライアント バージョンで利用できましたが、今回ついにサーバー指向バージョンのオペレーティング システムにも拡張されました。
Microsoft は、DNS トラフィックに暗号化サポートを追加すると、ネットワークのセキュリティと信頼性が大幅に向上する可能性があると指摘しています。以前は、DoH 機能はパブリック プレビューでのみ利用可能でしたが、現在は正式バージョンが、Microsoft がコンピューティング エコシステムに段階的に実装しているゼロ トラスト アーキテクチャの一部となっています。ゼロ トラストでは、ユーザーとデバイス自体は信頼できないと想定しているため、TLS 証明書で保護された HTTPS チャネルに DNS トラフィックをカプセル化することで、セキュリティ層が追加されます。
DNS は、今日でもほぼすべてのアプリケーション、サービス、ワークロードの基本的な依存関係となっており、1985 年から使用されているシステムは、ドメイン名解決プロセス中に依然としてデータの大部分をクリア テキストで送信しています。 DoH は、クライアントとサーバー間の DNS アクセスを暗号化することで、悪意のある第三者によるトラフィックの盗聴のリスクを効果的に軽減します。さらに、暗号化されたトラフィックは、DNS データの改ざんを防止し、HTTPS/TLS メカニズムを通じて DNS サーバーの本当の身元を確認するのに役立ちます。
Microsoft の実装は、IETF によって発行された DNS over HTTPS 標準 (RFC 8484) に従っているため、同じ仕様に従う最新のクライアントと確実に相互運用できます。 DoH は、Windows DNS サーバー サービスなどの既存のインフラストラクチャと統合することもできるため、必要に応じて従来のクリアテキスト DNS トラフィックを DoH と並行して実行できます。
プレビュー段階で、Microsoft は複数の外部組織と協力して、実際の環境における DoH の展開動作を評価しました。 Microsoft は、この機能により、システム管理者の負担を大幅に増やすことなく、組織に大幅なセキュリティ向上をもたらすことができると確信していると述べています。組織は、既存の暗号化されていない DNS インフラストラクチャを維持しながら、移行リスクを軽減しながら、自分のペースで DoH を段階的に導入できます。
現在、DNS over HTTPS は、最新の Patch Tuesday アップデートを通じて Windows Server 2025 システムで利用できます。 Microsoft は、管理者が Windows Server DNS サービスでこの機能を有効にして確認できるように、公式ドキュメントで詳細なガイダンスを提供しています。なお、Microsoftは現在、DoHは2つのDNSサーバー間で交換されるDNSトラフィックを暗号化しておらず、当面はこの通信パスは暗号化されないままであると明確に述べていることにも留意すべきである。