DNS over HTTPS(DoH)とDNS over TLS(DoT)とは?DNS通信を暗号化する仕組み

2026年6月20日 最終更新日時 : 2026年6月20日 KoAN
DoHとDoT

DNS over HTTPS(DoH)とDNS over TLS(DoT)とは?

DNSSECによってDNS応答の正当性を確認できるようになりました。しかし、DNSSECだけではDNS通信そのものは暗号化されません。

従来のDNSはUDP53番ポートやTCP53番ポートを利用しており、通信内容を第三者が閲覧できる状態でした。

そのため、利用者がどのWebサイトへアクセスしようとしているのかを観察できてしまうという問題がありました。

この問題を解決するために登場したのが、DNS over HTTPS(DoH)とDNS over TLS(DoT)です。

本記事では、それぞれの仕組みや違い、メリット・デメリットについて解説します。

従来のDNSの問題点

従来のDNS通信は基本的に平文です。

PC
↓
DNSサーバ
↓
www.example.com の問い合わせ

ネットワーク上でパケットを取得できる人は、どのドメインへアクセスしようとしているか確認できます。

例えば公衆Wi-Fiや社内ネットワークなどでは、DNS問い合わせ内容が容易に観察できます。

DNSSECでは解決できない問題

DNSSECはDNS応答の改ざんを防ぐ技術です。

しかし、通信内容を暗号化する技術ではありません。

そのため、問い合わせ先ドメイン名そのものは第三者から見えてしまいます。

そこで登場したのがDoHとDoTです。

DoHとは

DoHはDNS over HTTPSの略です。

DNS問い合わせをHTTPS通信の中に含めて送信します。

DNS
↓
HTTPS
↓
TCP 443

Web通信と同じ443番ポートを利用するため、DNS通信であることが分かりにくくなります。

DoHの通信イメージ

PC
↓ HTTPS
DoHサーバ
↓
DNS問い合わせ
↓
応答

通信内容はTLSで暗号化されています。

第三者は問い合わせ内容を確認できません。

DoTとは

DoTはDNS over TLSの略です。

DNS専用のTLS通信を利用します。

DNS
↓
TLS
↓
TCP 853

DoHがHTTPSを利用するのに対し、DoTはDNS専用プロトコルとして設計されています。

DoTの通信イメージ

PC
↓ TLS
DoTサーバ
↓
DNS問い合わせ
↓
応答

こちらも通信内容は暗号化されます。

DoHとDoTの違い

項目DoHDoT
正式名称DNS over HTTPSDNS over TLS
ポート番号443853
利用プロトコルHTTPSTLS
識別しやすさ困難容易
制御しやすさ難しい比較的容易

DoHのメリット

  • DNS通信内容を秘匿できる
  • HTTPS通信に紛れる
  • ファイアウォールで判別しにくい
  • プライバシー保護に優れる

DoHのデメリット

  • 企業のDNS管理を回避できてしまう
  • 通信監視が難しい
  • セキュリティポリシー適用が難しい

企業ネットワークでは問題視されることがあります。

DoTのメリット

  • DNS通信を暗号化できる
  • 専用ポートで管理しやすい
  • DNS通信として識別しやすい

DoTのデメリット

  • 853番ポートを利用する
  • 通信がDNSであることは分かる
  • ネットワーク機器で制御されやすい

代表的なDoHサーバ

有名なDoHサービスです。

  • Cloudflare (1.1.1.1)
  • Google Public DNS (8.8.8.8)
  • Quad9 (9.9.9.9)
  • NextDNS

代表的なDoTサーバ

  • Cloudflare
  • Google Public DNS
  • Quad9
  • AdGuard DNS

ブラウザでのDoH

近年のブラウザはDoHをサポートしています。

  • Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Brave

設定を有効にするとDNS問い合わせがDoH化されます。

LinuxでのDoT利用

Linuxではsystemd-resolvedがDoTをサポートしています。

設定例です。

DNS=1.1.1.1
DNSOverTLS=yes

systemd-resolved経由で暗号化DNSを利用できます。

企業ネットワークでの課題

DoHは企業ネットワーク管理者にとって悩みの種になることがあります。

社内DNSサーバを経由せずに外部DoHサーバへ問い合わせることで、フィルタリングや監査が困難になります。

そのため企業によってはDoHを制限する場合があります。

DNSSECとの関係

DoHやDoTとDNSSECは競合する技術ではありません。

むしろ組み合わせて利用します。

技術目的
DNSSEC改ざん防止
DoH通信暗号化
DoT通信暗号化

DNSSECで正当性を確認し、DoHやDoTで通信を保護します。

今後のDNS

近年はプライバシー保護への関心が高まっています。

そのためDoHやDoTの利用は今後も増加すると考えられています。

さらにDNS over QUIC(DoQ)と呼ばれる新しい技術も登場しています。

DNSもHTTPSやHTTP/3と同様に進化を続けています。

まとめ

DoH(DNS over HTTPS)とDoT(DNS over TLS)は、DNS通信を暗号化する技術です。

従来のDNSでは問い合わせ内容が平文で送信されていましたが、DoHやDoTを利用することで第三者による盗聴を防げます。

DoHはHTTPSを利用し、DoTはDNS専用TLS通信を利用する点が大きな違いです。

また、DNSSECは改ざん防止、DoHやDoTは通信暗号化という異なる目的を持っています。

現代のDNS運用では、これらの技術を組み合わせて利用することが重要になっています。

関連記事:

DNSSSECDNSSECとは?DNSキャッシュポイズニングを防ぐ仕組みを理解する DKIMDKIM(DomainKeys Identified Mail) DNSとは何か?DNS(Domain Name System)とは?名前解決とは? 権威DNSサーバ権威DNSサーバとは?ゾーン情報を管理するDNSの中核を理解する
カテゴリー
Linuxインフラネットワーク
タグ
前の記事
DNSSECとは?DNSキャッシュポイズニングを防ぐ仕組みを理解するNew!!
2026年6月19日
次の記事
DNSフォワーダとは?キャッシュDNSサーバとの違いと利用するメリットNew!!
2026年6月21日