DNS over HTTPS

DNS over HTTPS（DoH）は、従来は平文で送受信されていたDNS問い合わせを、HTTPS（TLS）で暗号化するプロトコルです。2018年にRFC 8484として標準化され、Firefox・Chrome・Edge・Safariといった主要ブラウザ、Windows 11、iOS・Androidの最新OSで対応が進んでいます。

従来のDNS（UDP 53番ポート）は、どんなサイトを見ようとしているか（例: `www.example.com`）が通信経路上の誰にでも丸見えでした。ISPやWi-Fiスポットの管理者がユーザーのWeb閲覧履歴を収集したり、特定ドメインをブロックしたり、広告のターゲティングに使ったりする余地があり、プライバシー上の問題がありました。

DoHは、このDNS問い合わせをHTTPS（443番ポート）に載せて暗号化します。通信経路上の第三者には『何らかのHTTPS通信』としか見えなくなり、どんなドメインを引いたかを特定できません。さらに、HTTPS上で動くため、443番ポートは通常ファイアウォールで開いており、ブロックされにくい利点もあります。

公開DoHサービスには、Cloudflare（1.1.1.1）、Google（8.8.8.8）、Quad9（9.9.9.9）などがあり、URLを指定するだけで利用できます。ブラウザレベルで設定すると、OSのDNS設定を上書きしてブラウザの通信だけ暗号化することも可能です。

一方で、企業ネットワークではDoHがセキュリティ監査やマルウェア通信検出を難しくする側面があり、管理者泣かせの技術でもあります。またDNSサーバーを特定企業に集約するリスク（Cloudflareに全世界のDNSが集まる、など）も議論されています。

類似技術にDoT（DNS over TLS、853番ポート）があり、こちらは個別の専用ポートを使うためブロックしやすい違いがあります。