1.1.1.1 is a partnership between Cloudflare and APNIC.
（1.1.1.1は、CloudflareとAPNICのパートナーシップにより誕生しました。）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『パブリックDNSを使って安全に』という記事や『Verisign提供のパブリックDNS』という記事でご紹介した、パブリックDNSに新たなものが登場しました。

高速なパブリックDNS『1.1.1.1』

この4月1日より、CloudflareとAPNICがタッグを組み、新しい、高速なパブリックDNSサービス『1.1.1.1』が開始されました。

このパブリックDNSはプライバシーを優先し、かつ、他の何よりも速いとされています。

では、プライバシーが優先されているという意味は？

他においてユーザーを識別するIPアドレスの記録を行わないこと。

その証明として、KPMGによるシステム監査を毎年行うとされています。

他の何よりも速いとされているのは、DNSモニターである『DNSPerf』のDNSサービスランクにおいて一番速かったことからです。

私が『DNSPref』で確認した時のQuery Speedは、

１．1.1.1.1：14.01ms

２．Cisco OpenDNS/Umbrella：20.64ms

４．Google Public DNS：34.51ms

６．Norton ConnectSafe：47.54ms

８．Verisign Public DNS：70.77ms

といった感じでした。

しかし、これは地域などによっても違いがあるように感じます。

実際にいくつかのパブリックDNSの値に変更して試してみましたが、私のところでは『Cisco OpenDNS/Umbrella』と『Google public DNS』が一番速く、『1.1.1.1』は『Verisign』と同程度の速さでした。

まだ始まったばかりですので、『1.1.1.1』は今後に期待した方が良いかもしれませんが、他の地域やネットワークなどによっては現時点で一番速いのかもしれません。

ご参考までに

次のChrome 66は、4月17日に安定版の公開が予定されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

WebブラウザのGoogle Chrome 65がリリースされたばかりですが、次のバージョンChrome 66において一部のSSL証明書への信頼が停止されます。

Symantec系SSL証明書の信頼停止

以前にもこのブログで取り上げましたが、WebブラウザのGoogle Chrome 66において、Googleに信頼できないと判断された『Symantec系認証局（CA）』の『Thawte』、『VeriSign』、『Equifax』、『GeoTrust』、『RappidSSL』が発行したSSL証明書が、同Webブラウザにおいて信頼が停止されます。

さらに、10月16日に公開が予定されているChrome 70においては、これら以外の残りのSymantec証明書に関してもすべて信頼が停止されることが予告されています。

信頼が停止されたSSL証明書のままであった場合、Chromeにて当該サイトを表示する際にエラー警告が表示されるため、事業者にとっては最低でもイメージダウンやアクセス数の低下につながってしまいます。

これが表示された場合であっても詳細設定から『〇〇にアクセスする（安全ではありません）』をクリックすれば実際のページに進めますが、『安全ではない』と表示されている状態で先に進もうとする人は心理的に少ないです。

また、DigiCertがSymantecの証明書事業を買収した後にDigiCertから再発行された証明書は信頼できるものとして扱われるため、これらの措置の対象からは外れます。

問題が起きないようにするため、ウェブサイトのSSL証明書を直ちにチェックして対応する必要があります。

参考：『Google Security Blog:Distrust of the Symantec PKI: Immediate action needed by site operators』

追伸：1月20日より提供されているChromeの試験運用版（Canary）、3月15日にリリースされるChrome 66のβ版においては4月17日公開予定の安定版を待たずに警告が表示されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年のはじめに、Google Public DNS、Cisco OpenDNS、Norton ConnectSafe、Comodo Secure DNSなどをご紹介しましたが、これ以外に良さそうなものとして、Verisignが提供するパブリックDNSがありました。

VerisignはGoogleよりおススメ？

Google Public DNSなども良いと思うのですが、Verisign Public DNSはそれらよりも良いかもしれません。

Verisignはアメリカにあるインターネットインフラに特化した企業で、セキュリティに関する技術力も優れています。

そして、パフォーマンス比較をした場合においても、Google Public DNSと同等のパフォーマンスが出ます。

単純に、スピード面においてもGoogle Public DNSと同じようにVerisign Public DNSは速いということです。

これらの要素を総合すると、Google Public DNSよりもVerisign Public DNSを選択される方もおられるかもしれません。

Verisign Public DNSとは

VerisignのウェブサイトにおいてPublic DNSの紹介ページでは以下のようなことが書かれています。

インターネットの中核を成すドメインネームシステム（DNS）は、ユーザーが探しているウェブサイトのドメイン名を番号表記のインターネットプロトコル（IP）アドレスに変換します。ノートPC、タブレット、携帯電話、ウェブサイトなど、インターネットに接続するあらゆるものについて、DNSを利用して、ドメイン名とIPアドレスの正確な関連付けを行っています。インターネットの力を最大限引き出すために、信頼性の高いプロバイダならではの卓越したDNS体験をお望みでしたら、ぜひVerisign Public DNSをご利用ください。

Verisign Public DNSは、他の代替サービスよりも優れたDNSの安定性とセキュリティを提供する無料DNSサービスです。しかも、他のほとんどのDNSサービスとは異なり、ベリサインではプライバシーを尊重します。パブリックDNSデータを第三者に販売したり、広告提供を目的としてクエリをリダイレクトしたりすることはありません。

＜Verisign Public DNSのメリット＞

・安定性：信頼性の高いパブリックDNSプラットフォームなので安心

・セキュリティ：セキュリティ脆弱性に対する強固な保護

・プライバシー：パブリックDNSデータを第三者に販売しないことを保証

このように書かれているわけですが、ここで重要視したいのは、

他のほとんどのDNSサービスとは異なり、ベリサインではプライバシーを尊重します。パブリックDNSデータを第三者に販売したり、広告提供を目的としてクエリをリダイレクトしたりすることはありません。

という部分です。

これが本当にそうであれば、Verisign Public DNSは現時点において一番おススメできるものと言えるかもしれません。

実際に設定するDNSアドレスは以下のとおりです。

IPv4：優先DNS＝64.6.64.6　代替DNS＝64.6.65.6

IPv6：優先DNS＝2620:74:1b::1:1　代替DNS＝2620:74:1c::2:2

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月の終りごろだったでしょうか。

Google（グーグル）のChrome（クローム）チームが、Symantec（シマンテック）が発行した証明書に対して、証明書の有効期間を短縮するなどの措置提案を行いました。

グーグルがシマンテックに提案した理由

Googleが公表したところによると、Symantecは証明書発行において不手際を繰り返しているとしています。

Googleは数ヵ月前からSymantecの証明書の不手際を調査しており、結果的には3万件にも上る証明書発行の不手際があったとしています。

また、Symantecは過去にも同様のことがあったとされ、GoogleはSymantecの証明書を信用できないものと位置付けたのでしょう。

しかし、Symantecはそれを事実ではないと反論しており、同社の証明書は信頼できるものと主張しています。

シマンテックのSSL証明書の行方

このまま行けば、Symantecをはじめ、Symantecの傘下にあるVerisign（ベリサイン）、Thawte（ソート）などを含めたSSL証明書がChromeブラウザにおいてエラーとなってしまう可能性があります。

ただし、もしそうなるにしても段階的な措置が行われるものとされており、3年以上かけて有効期間を短縮していくようです。

しかし、Symantecとその傘下のSSL証明書がエラーとされてしまうとなると、全世界で30%～40%ものSSL証明書がエラーとなってしまうため、現在、Symantec系列のSSL証明書を使用しているウェブサイトにおいては他社への移行を検討した方が良いかもしれません。