8. プライバシーに関する考慮事項 (Privacy Considerations)

8.1. 転送中 (On the Wire)

本仕様では、DNS クエリとレスポンスを暗号化された HTTP [RFC2818] を通じて転送できます。これにより、DNS クエリとレスポンスの内容を観察しようとするパッシブリスナーに対する保護が提供されます。

ただし、通信が暗号化されているからといって、DoH クライアントのプライバシーが保護されているわけではありません。例えば、攻撃者が DoH クライアントが特定のタイプのドメイン名のみをクエリすることを知っている場合、クエリの具体的な内容を見ることができなくても、クライアントがそのようなサイトにアクセスしている可能性を推測できます。

DoH は HTTPS を使用し、これは TLS を使用します。TLS の使用は通常、Server Name Indication (SNI) を漏洩します。これは、DoH を使用していても、ネットワーク上の観察者がクライアントがどの DoH サーバーと通信しているかを特定できることを意味します。

DoH クライアントとサーバーは TLS 1.3 [RFC8446] をサポートしなければならず (MUST)、TLS の以前のバージョンをサポートしてもよいです (MAY)。

8.2. サーバー内 (In the Server)

HTTPS の使用と DNS サーバーの身元の認証を要求することで、DoH クライアントは従来の DNS よりも、どのエンティティが DNS クエリを見る権限を持つかをより適切に制御できるはずです。

DoH サーバー運営者は、DoH サーバーの運営にはプライバシーの問題が伴うことを認識すべきです。DNS クエリはユーザーの行動に関する大量の情報を明らかにする可能性があります。サーバー運営者は適切なプライバシーポリシーを策定し、受信したデータをどのように処理・保存するかを検討すべきです。

DoH は、サーバーが DNS クエリ情報を他の情報（HTTP Cookie やクライアント IP アドレスなど）と関連付けることを妨げません。実際、DoH は通常の HTTPS トラフィックと同じ接続上で動作するため、DNS クエリと Web ブラウジングアクティビティを関連付けることが容易になる場合があります。

[RFC7626] で説明されているように、DNS プライバシーの問題は複雑です。DoH の使用は特定のタイプの攻撃に対する保護を提供できますが、すべてのプライバシー問題を解決するわけではありません。特に、DoH サーバー自体はすべての DNS クエリを見ることができるため、DoH クライアントは選択した DoH サーバーを信頼しなければなりません。