9. セキュリティに関する考慮事項 (Security Considerations)

DoH を通じて DNS クエリを実行する場合、DNS と HTTPS の両方に関するセキュリティの考慮事項が適用されます。

HTTPS の使用は、DNS クエリとレスポンスを観察しようとするパッシブ攻撃者に対する保護を提供します。また、DNS レスポンスを改ざんしようとする攻撃者などの特定のタイプのアクティブ攻撃に対する保護も提供します。

ただし、DoH はすべてのタイプの攻撃を防ぐことはできません。特に、DoH サーバー自体への攻撃を防ぐことはできません。DoH サーバーが攻撃者によって制御または影響を受けている場合、攻撃者は偽の DNS レスポンスを提供できます。したがって、信頼できる DoH サーバーを選択することが重要です。

DoH クライアントは [RFC2818] と [RFC6125] で説明されているメカニズムを使用して DoH サーバーの TLS 証明書を検証しなければなりません (MUST)。証明書の検証が失敗した場合、クライアントはそのサーバーを DNS クエリに使用してはなりません (MUST NOT)。

DoH は HTTPS を使用するため、転送セキュリティに TLS を使用します。[RFC8446] のセキュリティの考慮事項が DoH に適用されます。特に、DoH 実装は TLS 1.3 以降を使用すべきであり、[RFC8446] のセキュリティ推奨事項に従うべきです。

DNS Security Extensions (DNSSEC) [RFC4033] は DoH と組み合わせて使用でき、追加のセキュリティ保護を提供します。DNSSEC はデータソース認証とデータ完全性を提供し、DoH サーバー自体が攻撃されても特定のタイプの攻撃を防ぐことができます。

DoH クライアントとサーバーはどちらも、サービス拒否（DoS）攻撃を防ぐために適切なレート制限を実装すべきです。

DoH はレスポンスの DNS セマンティクスを変更しません。特に、DoH レスポンスは従来の DNS トランスポートを通じて受信したレスポンスと同じ意味を持つべきです。DoH サーバーは、明確な理由がない限り（例：ローカルポリシーに基づく悪意のあるドメイン名のフィルタリング）、DNS レスポンスの内容を変更すべきではありません (SHOULD NOT)。

DoH クエリとレスポンスは通常の HTTPS トラフィックと同じポート（443）を通じて転送されるため、区別してフィルタリングすることが難しい場合があります。これにより、ネットワーク運営者が DNS ベースのポリシーを実施することが難しくなる場合があります。

最後に、DoH は DNS を保護する一つの方法に過ぎないことに注意してください。他の方法には DNS over TLS (DoT) [RFC7858] や DNS over QUIC (DoQ) [RFC9250] があります。各方法にはそれぞれ長所と短所があり、組織は特定のニーズに最も適した方法を選択すべきです。