DNSクエリを暗号化するためにdnscrypt-proxyを使用すると、人々はLinuxシステムでもdnsmasqを使用する傾向があります。これまで、この設定の主な目的はDNSクエリのキャッシュを提供することでしたが、今ではDNSキャッシュがdnscrypt-proxy自体で実装されています。したがって、dnscrypt-proxyが今の人に必要なようです。しかし、人々は通常、dnsmasq構成に次の行(または同様の行)を追加することがわかりました。
server=/pool.ntp.org/1.1.1.1
この行の目的は、タイムサーバードメインへのDNSクエリをDNSサーバーに直接送信して、暗号化プロセス全体をスキップすることです(単純なDNSクエリのみ)。何人かの人々は、より良い時間同期を提供するために、これらのクエリをできるだけ早く行う必要があると私に言ったことがあります。それでは、このアプローチは意味がありますか?
ベストアンサー1
セキュリティの観点から見ると、このアプローチは望ましくないと思います。 HTTPSおよび/またはDNSCryptを介したDNSの目的は、機密性を提供すること、つまりクエリを隠すだけでなく、おそらく最も重要なのは信頼性を提供することです。特に、NTPサーバーにプレーンテキスト(暗号化されていない)でDNSクエリを実行すると、ネットワークがHSTSを無効にしたり迂回したりするために偽のNTPパケットを使用するMITM攻撃に対して脆弱になります。 HSTSはそのパラメータに依存しているため、max-ageNTPサーバーをなりすましてシステムクロックを変更することで無効にすることができます。