DNS over HTTPS

DNS over HTTPS（DoH）は、通常は平文で送受信されるDNSクエリをHTTPS（TLS）で暗号化する通信プロトコルです。RFC 8484で標準化されており、ポート443を使ってDNSリクエストを送るため、通信経路上の第三者（ISP・ハッカー・監視装置）からどのドメインへアクセスしようとしているかを隠すことができます。

従来のDNS通信はポート53を使い平文で行われていたため、同じネットワーク上の悪意ある第三者がDNSクエリを盗聴・改ざんする「DNSスプーフィング」や「DNS改ざん攻撃」が技術的に可能でした。DoHを使うとクエリ自体が暗号化されるため、カフェや空港のフリーWi-Fi環境でも安全にDNS名前解決が行えます。

Windows 11では、2021年のアップデート（Windows 11 21H2）からネイティブでDoHをサポートしています。設定方法は「設定 → ネットワークとインターネット → Wi-Fi（またはイーサネット） → ハードウェアのプロパティ → DNSサーバーの割り当て」から、DNSサーバーのアドレス（例: Cloudflare 1.1.1.1、Google 8.8.8.8）を入力し、「DNS over HTTPS」を「オン（自動テンプレート）」に設定するだけです。Windows 11は接続先DNSサーバーがDoHに対応しているか自動で判別し、対応している場合のみ暗号化通信に切り替えます。

DoHと似た技術として「DNS over TLS（DoT）」があります。DoTはポート853を使い、DoHはHTTPS（ポート443）を使う点が異なります。ポート443は一般的なHTTPS通信と共通のため、DoHはファイアウォールでブロックされにくいというメリットがある一方、ネットワーク管理者がDNS通信を制御・監視しにくくなるというデメリットも指摘されています。

DoH対応の代表的なDNSプロバイダは、Cloudflare（1.1.1.1）、Google Public DNS（8.8.8.8）、NextDNS（フィルタリング機能付き）などです。プライバシー重視なら広告・トラッキングブロック機能を持つNextDNSなどを活用する方法もあります。企業環境ではドメイン管理の兼ね合いから社内DNSサーバーとの使い分けが必要な場合があります。