DNS over TLS (DoT)

デフォルトでは、DNSは平文接続で送信されます。DNS over TLS (DoT)は、DNSクエリを暗号化して安全かつプライベートに保つための標準です。DoTは、HTTPSウェブサイトが通信を暗号化および認証するために使用するのと同じセキュリティプロトコルであるTLSを使用します。

Cloudflareは標準ポート853でDoTをサポートしており、RFC7858 ↗に準拠しています。

1. DoTホスト名を取得する

各Gateway DNSロケーションには一意のDoTホスト名があります。DNSロケーションと対応するDoTホスト名には、それぞれポリシーが関連付けられています。

1. Zero Trust ↗に移動し、Gateway > DNS Locationsを選択します。
2. 複数のロケーションが設定されている場合は、すべてのロケーションのリストが表示されます。
3. DoTホスト名を取得したいロケーションのカードを展開します。
4. そのロケーションのDoTホスト名を取得します。

以下の例では、DoTホスト名は9y65g5srsm.cloudflare-gateway.comです。

次に、DoTクライアントをDoTホスト名で構成します。

2. DoTクライアントを構成する

オペレーティングシステムに応じて、さまざまなスタンドアロンのDoTクライアントから選択できます。

DoTクライアントを構成するには、次のIPアドレスとロケーションのDoTホスト名（例：9y65g5srsm.cloudflare-gateway.com）を入力します。

Hostname: <DoT hostname>
IP address: 162.159.36.5

また、スタブリゾルバ（例：Unbound）はDoTをネイティブにサポートしています。以下に例の構成を示します。

# Unbound TLS Config
tls-cert-bundle: "/etc/ssl/cert.pem"
# Forwarding Config
forward-zone:
 name: "."
 forward-tls-upstream: yes
 forward-addr: 172.64.36.1@853#9y65g5srsm.cloudflare-gateway.com
 forward-addr: <IPv6 address>#<DoT hostname>

各DNSロケーションには一意のDoTホスト名とIPv6アドレスがあります。ロケーションの値を<IPv6 address>および<DoT hostname>フィールドに置き換えることを忘れないでください。

サポートされているTLSバージョン

CloudflareのDNS over TLSは、TLS 1.3およびTLS 1.2をサポートしています。