it.xnews.jp
API
生成: 2026-06-28 読了 約 4 分 model: claude-haiku-4-5 原文: https://evilbit.de/dns-resolver-guide.html raw.md
dnsprivacysecurity

パブリックDNSリゾルバー選択ガイド、29個のグローバルリゾルバーを比較

29個のグローバルパブリックDNSリゾルバーについて、プライバシー、セキュリティ、パフォーマンス、暗号化トランスポートを軸にした包括的な比較ガイドが公開された。15の管轄地域にまたがるリゾルバーを、ピアレビュー済み研究12件に基づいて分析している。

DNSリゾルバー選択の基準

DNSリゾルバー選択時に考慮すべき要素は、プライバシー、マルウェアブロッキング、ペアレンタルコントロール、速度、IPv6対応、および特定の管轄地域である。ガイドは29個のグローバルパブリックリゾルバーを15の異なる管轄地域から集めており、利用者はこれらの要件に基づいてリゾルバーを絞り込める。

暗号化トランスポート技術と検証結果

リゾルバーが提供する暗号化トランスポートには、DoH(DNS over HTTPS)、DoT(DNS over TLS)、DoQ(DNS over QUIC)、DNSCryptが含まれる。ただし暗号化トランスポートはクエリごとにレイテンシを追加する可能性があるが、実際のページ全体のロード時間はプレーンDNSに近いことが多いとされている。

DNSCRYPTは2013年にバージョン2が公開され、2019年に匿名DNS機能が追加された。Google、Cloudflare、Quad9はいずれもDNSSEC検証を実装している。一方、GoogleとOpenDNSはEDNS Client Subnetデータを送信するのに対し、CloudflareとスタンダードQuad9は送信していない。

パフォーマンスとセキュリティ上の課題

Lu et al.の研究によると、DoTプロバイダーの約25パーセントが無効なTLS証明書を提供していた。また2022年のDoQ性能測定研究では、QUICハンドシェイクの約40パーセントがQUICのアドレス検証制限によって遅延した。Extended DNS Errorsの報告では、テストケースの94パーセントでリゾルバー間に不一致が見られたとされている。

損失率が高いまたはレイテンシが高いネットワークでは、プレーンDo53がなお優位性を持つ可能性がある。またパフォーマンスはプロバイダーおよび地域によっても異なる。

グローバルなリゾルバー構成

米国のNSAは外部リゾルバーが内部DNS フィルタリングおよび検査をバイパスすることについて警告している。ガイドは米国のGoogle、Cloudflareを筆頭に、ヨーロッパではDNS4all(中立性とパフォーマンスに注力)、LibreDNS(コミュニティリゾルバー、広告ブロッキングおよびノーログポリシー)、Dismail.de(ドイツのプライバシー重視コミュニティリゾルバー)、dnsforge(ドイツ、広告・トラッキング・マルウェアフィルタリング)を掲載している。

また仏のFDN(長年実績あるアソシエーティブISP)、日本のInternet Initiative Japanが提供するIIJ Public DNSも含まれている。アジアではCNNIC sDNS(中国レジストリのパブリックリゾルバー、アドレス1.2.4.8)やComss.one DNS(ロシアのリゾルバー)、イラン発の複数リゾルバー(Shecan、Electro、Begzar、403.online)も掲載されている。

この記事は元記事の事実のみに基づいて自動生成されました。

筆者の見立て

出典

evilbit.de, "Choosing a Public DNS Resolver", https://evilbit.de/dns-resolver-guide.html

この記事をシェア