layout: blog categories: [“ネットワーク”] tags: [“DNS”, “DoH”, “DoT”, “QUIC”] draft: false title: DNS 暗号化プロトコル比較:DoT、DoH、DoQ date: 2025-10-09 13:16:16 +0800 comments: true giscus_comments: true description: Plain DNS、DoT、DoH、DoQ のレイヤー構造、ポート、パフォーマンス差異、利用シナリオを整理し、実際の選択と設定のアドバイスを提供します。 weight: 100
```mermaid
graph TB
subgraph アプリケーション層
A[HTTP]
A2[HTTPS]
C[DNS]
D[DoH DNS over HTTPS]
end
subgraph セキュリティ層
E[TLS]
end
subgraph トランスポート層
F[TCP]
G[UDP]
H[QUIC]
end
subgraph ネットワーク層
I[IP]
end
subgraph データリンク層
J[Ethernet]
end
subgraph 物理層
K[ツイストペア/光ファイバー/無線]
end
A2 --> F
A2 --> H
A --> F
C --> F
C --> G
D --> A2
E --> F
E --> H
F --> I
G --> I
H --> I
I --> J
J --> K
style D fill:#e1f5fe
style E fill:#fff3e0
graph TD
subgraph DNS ファミリー
A[Plain DNS UDP/TCP + DNS]
subgraph 暗号化 DNS
B[DoT TCP + TLS + DNS]
C[DoH HTTP/2,3 + TLS + DNS]
D[DoQ QUIC + TLS 1.3 + DNS]
end
subgraph トランスポート基盤
E[TCP]
F[UDP]
G[QUIC]
end
end
A --> B
A --> C
A --> D
B --> E
C --> E
C --> G
D --> G
A --> F
style A fill:#f3e5f5
style B fill:#e8f5e8
style C fill:#e3f2fd
style D fill:#fff3e0| プロトコル | トランスポート層 | 暗号化 | カプセル化 | デフォルトポート | 主な特徴 |
|---|---|---|---|---|---|
| Plain DNS | UDP/TCP | 無し | DNS ネイティブ | 53 | シンプルで効率的、平文で可視、改ざん・監視されやすい |
| DoT | TCP | TLS 1.2/1.3 | DNS | 853 | 専用ポート、ポートブロックされやすく、システムレベルのサポートが良好 |
| DoH | TCP/QUIC | TLS 1.2/1.3 | HTTP/2-3 + DNS | 443 | HTTPS と共用ポート、透過性が高く、ブラウザが優先サポート |
| DoQ | QUIC | TLS 1.3 | DNS | 853/UDP | 低遅延、ヘッドオブラインブロッキング回避、エコシステムは拡大中 |