前書き
ドメインを取得しようとしたら思ったより高くうんざりしました。
ICANNがgTLDの新規参入要件にDNSSECを制定してるから、
gTLDの参入障壁になっており、
ドメインの値下げ競争が鈍化している説を何処かで聞いたことあると思いました。
そこでDoHの聞き先を権威サーバにしたら、
親子ゾーンの信頼ではなく、WebPKI信頼ベースで、
DNSSECの代案になるのではないか?
という仮想の通信方法についての妄想を、ChatGPTに聞いてもらいました。
会話した内容を、ChatGPTにQiitaデビュー投稿用にMarkDown作成をお願いしコピペしただけです。
内容は詳細に確認していません。
自由に転載や議論していただけると助かります。
多分書いてそのまま放置します。
下記がChatGPTに作ってもらったサマリーです。
はじめに
DNSは、インターネットにおける名前解決の根幹を支えるインフラであり、軽量性・分散性・柔軟性といった特性を持つ一方、改ざん・盗聴・なりすましといったセキュリティ課題を常に抱えてきました。
これに対する代表的な対策としてDNSSEC(DNS Security Extensions)が存在しますが、鍵管理の複雑さ、委任構造の硬直性、制度的な運用負荷などにより、特にgTLD運用者や中小レジストラにとって大きな参入障壁となっています。
本稿では、DNSSECの限界を踏まえつつ、代替的な構想として「DoHA(DNS over HTTPS to Authoritative)」および「DoHOA(DNS over HTTPS to Other Authority)」という2つのモデルを提案し、評価・検討した内容を共有します。
本記事はあくまで構造的整理と技術的探求を目的としており、海外への議論拡散(例:Reddit投稿、IETF Draft化など)については、共鳴いただける方の判断に委ねたいと考えています。
背景:なぜDNSSECの代替を考えるのか
DNSSECは理論的には堅牢な検証基盤を提供しますが、以下のような制度的・実装的な課題が存在します:
- gTLD申請時にDNSSEC対応が“実質強制”されている(DS登録・ロールオーバー体制などの提出)
- 外注コストの増大によってドメイン価格が上昇
- 多くのゾーンでDNSSECは形式対応のみで、実質的な活用がされていない
DNSの信頼構造を再設計するためには、より柔軟で分散的な仕組みが必要です。
提案構成モデル:DoHA / DoHOA
DoHA(DNS over HTTPS to Authoritative)
- クライアントがHTTPS経由で権威DNSサーバに直接問い合わせる構成
- WebPKIによるサーバ認証+TLSでの通信暗号化
- 応答はJSON等の形式で署名付き提供も可能
- ゾーン所有者自身が信頼基盤を構築できる点に柔軟性がある
DoHOA(DNS over HTTPS to Other Authority)
- DNSの権威ゾーンとは異なる外部サーバがHTTPSで応答する構成
- 可用性やCDN統合の利点がある一方、
- 応答の発信者が誰かを確認しづらく
- DNSSECにおける鍵連鎖に相当する構造が存在しない
技術評価:DoHA / DoHOA の検証可能性と限界
以下は、DNSSEC/DoHA/DoHOA構成における機能的な比較評価です。ここでは単なる理論可否だけでなく、議論を通じて検討・補完設計が可能と考えられたものには反映を加えています。
| 評価項目 | DNSSEC | DoHA | DoHOA | 補足 |
|---|---|---|---|---|
| 否定応答の検証 | ◯ | △ | × | DoHAはNFT + サブドメインハッシュで範囲否定を再現可能(設計次第) |
| 中継キャッシュでの検証 | ◯ | △ | × | DoHAは応答署名をキャッシュとともに検証できる構造があれば補完可能 |
| オフライン検証 | ◯ | △ | × | JSON署名・有効期限付き応答でリプレイ検証の代替可能 |
| 権威DNS不在時の検証性 | ◯ | △ | × | DoHAはオフライン署名構造で一部代替可能 |
| 信頼の起点の明確性(ルート or CA) | ◯ | △ | △ | WebPKIに依存するが、既存のブラウザルートストアとの互換性あり |
| 応答署名の再利用性 | ◯ | △ | × | DoHAはTTL + 署名で構成次第で再利用可能 |
| 導入・運用の容易さ | × | ◯ | ◯ | HTTPSベースで既存Webインフラに組み込める |
| 分散性・非中央集権性 | ◯ | △ | × | DoHOAはCDN・CA依存度が高く、信頼が中央集約されやすい |
| 事故影響範囲の限定性 | ◯ | △ | × | 鍵構造やピンニングによってDoHAは影響範囲を絞れる可能性 |
| ゾーン所有者による鍵制御の一貫性 | ◯ | ◯ | △ | DoHOAは委任構造が不明確になるケースがある |
拡張構想:ブロックチェーン・DID/VCとの統合
DoHA構成の課題(否定応答・第三者検証・信頼根拠の弱さ)を補完するために、DID(分散ID)とVC(Verifiable Credentials)モデルを活用する案が検討されています。
- TLDやゾーン管理者がDIDを所有
- サブドメインハッシュを含む否定応答証明をNFTとして発行
- VCとして署名付きでその否定応答の妥当性を表現
比較:DNSSECとDID/VCによる委任
| 観点 | DNSSEC構造 | DID + VC構造 |
|---|---|---|
| 委任の仕組み | DSレコードによる上下鍵継承 | VCで「このDIDがこのゾーンを管理」と証明 |
| 応答内容の検証可能性 | RRSIGによる第三者検証 | VC + 署名による応答ハッシュ照合 |
| 信頼の起点 | ルートKSK | DIDのトラストアンカー(柔軟・分散) |
| 登録・運用負荷 | 高(中央登録+鍵更新) | 中〜低(分散登録+自律更新可能) |
おわりに
DNSの信頼構造を再設計するためには、単に暗号アルゴリズムやプロトコルを強化するだけでなく、運用負荷・制度設計・柔軟性を考慮した選択肢を用意する必要があります。
DoHA構想は、「権威サーバがHTTPSで安全に応答し、自らの責任で信頼構造を提示できる」という点において、DNSSECとは別の設計哲学を持っています。
さらに、NFTやDID/VCといったブロックチェーン技術を活用することで、「この人がこう言った」という証明を非中央集権的に実現する可能性も見えてきました。
本構想がどれだけ現実的であるか、制度設計上採用可能かはまだ不明です。しかし、DNSの信頼と自由のあり方に問いを投げかける小さな試みとして、公開いたします。
今後、海外での議論やRFC提案、ブラウザやリゾルバでの実装例が生まれることを期待しつつ、
この構想に共感・着火してくださる方が現れることを願っています。
投稿者のおわりに
気持ち的にはQiita宝くじを1枚買った感じです。
このQiita宝くじの当選結果発表は約10年後だと思います。
当選商品は下記になるかと思っています。
1等 ICANNにリーチし、gTLD参入障壁が減り、ドメイン料が安くなる
2等 一般的に普及
3等 共感者がIETFドラフト→RFC化
4等 共感者がここで議論したり、Redditとかで転載し英語で議論してくれる。
5等 誰かにこの仕組み悪くないと思ってもらう事。
だと思っています。
また、DID/VCは投稿前にDID/VCって何?って聞いた程度でそんなに会話してないです。
途中の会話は「技術評価:DoHA / DoHOA の検証可能性と限界」の補足に圧縮されている感じがあります。
このQiita宝くじ2枚目買うなら、この圧縮の掘り下げになるかな?と思います。