Amazon Route 53 Resolver エンドポイントが、Server Name Indication (SNI) 検証による DNS-over-HTTPS (DoH) のサポートを開始
本日より、DNS-over-HTTPS (DoH) 用の Route 53 Resolver エンドポイントに Server Name Indication (SNI) を指定できるようになりました。これにより、アウトバウンドエンドポイントから TLS 検証に SNI を必要とする DoH サーバーへの DNS クエリリクエストにターゲットサーバーのホスト名を指定できるようになります。
Amazon Route 53 Resolver エンドポイントでの DoH により、エンドポイントを通過する DNS クエリを暗号化し、クエリを通じて交換される情報の可視性を最小限に抑えることでプライバシーを向上させることができます。今回のリリースにより、アウトバウンドエンドポイント設定でホスト名を指定して、アウトバウンドエンドポイントから DoH サーバーへの DNS リクエストで TLS ハンドシェイクを実行できるようになりました。DoH Resolver エンドポイントの SNI 検証を有効にすると、米国行政管理予算局の覚書に記載されているような規制やビジネス上のコンプライアンス要件を満たすのにも役立ちます。このような要件を満たすには、アウトバウンド DNS トラフィックが社会基盤安全保障庁 (CISA) の保護 DNS に送信されるようにする必要があります。そして、TLS ハンドシェイクを成功させるには SNI ホスト名の検証が必要です。
Resolver エンドポイントでの SNI を使用した DoH のサポートは、AWS GovCloud (米国) リージョンを含む Route 53 が利用可能なすべてのリージョンで利用できます。Amazon Route 53 をご利用いただける AWS リージョンの一覧については、AWS リージョンの表をご覧ください。
AWS コンソールまたは Route 53 API を使用して開始できます。詳細については、Route 53 Resolver 製品詳細ページとサービスドキュメントをご覧ください。料金について詳しくは、料金ページをご確認ください。