ハクソク

世界を動かす技術を、日本語で。

パブリックDNSリゾルバーの選び方

2026年6月28日原文(evilbit.de)

概要

  • DNSリゾルバー選定のためのインタラクティブな手順解説
  • プライバシー・セキュリティ・速度・運営形態など多様な優先事項
  • 各種暗号化DNS(DoH, DoT, DoQ, DNSCrypt)やDNSSEC、IPv6対応状況
  • 実際の速度計測とグローバルリゾルバー比較
  • 研究結果や地域・コミュニティ型リゾルバーの特徴も網羅

DNSリゾルバー選定ステップ

  • Step 1: 要件に合うリゾルバーの検索

    • 重要視する項目( トランスポート、DNSSEC、IPv6、法域、運営者タイプ)でフィルタリング
    • 優先事項例
      • 最大限のプライバシー・ログなし :プライバシー重視運営者
      • マルウェア・フィッシング対策 :セキュリティブロックリスト標準搭載
      • 広告・トラッカー遮断 :ネットワーク全体での広告・トラッカー除去
      • ペアレンタルコントロール :成人向けコンテンツ遮断
      • 無フィルタ :DNS応答をそのまま返却
      • カスタムフィルタ :アカウント登録で独自ブロックリスト設定
      • 高速性 :大規模・低遅延Anycastネットワーク
      • 非営利運営 :コミュニティ・パブリックインタレスト型
    • 暗号化DNS必須 (DoH, DoT, DoQ, DNSCrypt対応)
    • DNSSEC検証必須IPv6対応必須 など細かい指定も可能

  • Step 2: 実測レイテンシテスト

    • DNS-over-HTTPS(DoH)でのRTT計測 により、実際の自分の環境で最速リゾルバーを特定
    • テストはブラウザから直接リゾルバーに問い合わせ、IPアドレスはリゾルバーにのみ通知
    • 結果はTLS・HTTPオーバーヘッド込みの相対値
    • 複数回実行推奨、DoH非対応リゾルバーは計測不可

  • Step 3: 全リゾルバー比較

    • 29のグローバルパブリックリゾルバーを一覧比較
    • 名前・運営者・法域・機能で検索やソート
    • マルウェア/ファミリー/無フィルタ等、バリアントアドレスも記載
    • 対応プロトコル、DNSSEC、ログ方針、ECS対応状況なども確認可能

DNSリゾルバー選びの研究知見

  • 速度 :プレーンDNSが最速だが、暗号化DNS(DoH/DoT)も実用上はほぼ同等。遅延はプロバイダや地域差が大きい
  • 暗号化DNSの利点 :盗聴だけでなく改ざん耐性も向上。ただし運営品質も重要で、TLS証明書不備の運営者も存在
  • プライバシー限界 :どの暗号化方式でもリゾルバー自体は全てのドメイン問い合わせを把握。気になる場合は ノーログ運営者ODoH (Oblivious DNS over HTTPS)推奨
  • DNSSEC検証 :偽造応答防止には必須。Google、Cloudflare、Quad9などが対応
  • ECS(EDNS Client Subnet) :地理情報によるCDN最適化とプライバシーのトレードオフ。GoogleやOpenDNSは送信、CloudflareやQuad9は送信せず
  • 法域・中央集権化 :運営者の法的所在地がログや強制開示範囲に影響。DNSトラフィックの一極集中も問題視
  • DNS-over-QUIC(DoQ) :現時点で最速の暗号化DNSトランスポート。Quad9、AdGuard、NextDNS等が対応
  • DNSCrypt :最古の暗号化方式で証明書不要。匿名化モードもあり
  • トラフィック分析耐性 :DoHでもアクセス先ドメインは高精度で特定されうる。TorやODoH併用推奨
  • リゾルバーごとの動作差 :エラー報告や標準準拠度に大きな違い。Cloudflareは精度高

地域・コミュニティ型リゾルバー一覧

  • DNS4all (ヨーロッパ):中立性・性能重視、無フィルタ

  • BlahDNS :オープンソース、広告ブロック、DoH/DoT/DoQ対応

  • LibreDNS :コミュニティ運営、広告ブロック・ノーログ

  • Dismail.de :ドイツ、プライバシー重視、ノーログ

  • Foundation for Applied Privacy (オーストリア):非営利・ノーログ

  • Freifunk München (FFMUC) (ドイツ):コミュニティ非営利、オープンソース

  • Restena (ルクセンブルク):国立研究ネットワーク

  • Digitale Gesellschaft (スイス):非営利、DNSSEC対応

  • dnsforge (ドイツ):広告・マルウェア遮断、オープンソース

  • Digitalcourage/Artikel10 (ドイツ):プライバシー非営利

  • FDN (フランス):ノーログ・ノー検閲

  • IIJ Public DNS (日本):大手IIJ運営、DoH/DoT対応

  • CNNIC sDNS (中国):中国レジストリ運営、現地規制下

  • Comss.one DNS (ロシア):広告ブロック

  • Shecan/Electro/Begzar/403.online (イラン):イラン国内向け、政策に注意

  • 利用非推奨/終了サービス :Oracle Dyn、Level3、Freenom World、dns0.eu(代替はDNS4EUやNextDNS)、Norton ConnectSafe

まとめ

  • DNSリゾルバー選定は目的に応じて慎重に :プライバシー、速度、フィルタ、法域、運営形態などを総合的に判断
  • 暗号化DNSやDNSSECは現代の必須要素 :ただし運営者の信頼性・ポリシーも要チェック
  • 地域やコミュニティ型リゾルバーも選択肢 :自分のニーズやリスク許容度に合わせて選択

Hackerたちの意見

自分のローカルでUnboundをDoHサーバーとして使ってるよ。Alpine LinuxのUnboundパッケージは、内蔵のDoHリスナーに必要なlibnghttp2でコンパイルされてるから、ECHを有効にするには十分だね。毎時cronで使うドメインを事前にキャッシュしてる。ISPが自分のDNSリクエストに干渉することはないし、そこの社員たちも俺より変わり者だから。もしスマホからウェブを見始めたら、自分専用のパブリックDoHサーバーを立てるつもり。数分で設定できるし、変な問題のデバッグ用に自分のクエリログも取れるからね。[1] - https://tls-ech.dev/

なんで事前キャッシュするの?スピードのために…最大で30-50msくらい?権威サーバーのTTLが60分未満の場合、3600に強制するの?訪れるウェブサイトごとに発生する接続を監査して、資産をホスティングしているドメインを全部集めて事前キャッシュするの?それとも、メインサイトのドメインだけが重要で、そこが感じるレイテンシーに一番影響するの?

毎時cronで使うドメインを事前にキャッシュしてる。 それってどういう感じ?ホスト名のリストをクエリするシェルスクリプト?使うドメインの定義は何?

Unboundには「プレフェッチ」っていう機能があって、期限切れ間近のキャッシュされたレコードを更新するんだ。他にもいろいろなキャッシュやTTLの調整ができるよ。「serve-expired」も結構うまく機能するみたい。

今は自分のパブリックなPowerDNSのdnsdistとリカーサー/オーソリタティブインスタンスを使って、DoH、DoT、DoQ、TCP、UDPを運用してる。設定にはちょっと時間がかかったけど、以前はBIND、Unbound、dnsmasqを使ってたからね。すごく安定してるし、モバイルやレガシーデバイスでも使えるし、UnboundやAdGuard/DNSProxyのリゾルバとしても使えるし、ローカルのresolve.confでも使えるよ。

こういうサイトが、ローカルネットワークに対する基本的な速度比較テストを提供してくれたらいいのに。ランダムなルックアップのP90の応答時間を見て、中央値の応答時間と比較するのを想像してみて。

この目的のためにローカルでsmokepingを動かしてる。いろんなDNSサーバー(ISPのDNSも含む)やトップウェブサイトにpingを送ってる。定期的にローカルDNSサーバーの上流を更新してるけど、大きなDNSサーバーは5-6msの範囲だね。でも、いつもそうだったわけじゃない。ISPのDNSも同じくらいだけど、変動が激しくて最大50msのスパイクがあるから、もっと速くなるはずなのに。

このリポジトリをクローンして[1]、ドメイン名やリゾルバーを好みに合わせて編集してみて。自分が探しているものに近いものになると思うよ。[1] - https://github.com/cleanbrowsing/dnsperftest

こういう話が出るたびに、一般的なリストだったり誰かが新しいサービスを発表したりすると、俺の反応はあんまり変わらないし、Hacker Newsで見かける他の人たちも同じ感じ。25年くらい自分のプロキシDNSサービスを運営してて、3つの異なるソフトウェアを6つの異なるOSで使ってるけど、フィルタタブのどのポイントも自分でできることなんだ。リストは提示される選択肢よりも、むしろ明らかになることの方が興味深い。明示的に「中国」とマークされたエントリーは、すべて「中国の規制の下で運営されている」とも書かれてる。2026年には、リストの中国のエントリーだけでなく、俺の大陸の人々にとっても関心があることだよ。「デンマークの一個人が運営」っていうのはバスファクターの面白い表現だけど、他のエントリーがその点について黙ってるからといって、必ずしも良いとは限らない。DNS.Watchの背後にいる人についての情報は、Thomas Steen Rasmussenについての情報よりもずっと少ないし、最近数回DNS.Watchがオフラインになったこともあるから、これは正当な懸念だね。それに、Quad101が利用可能な地域に制限があるように見えることや、GcoreがAI企業であることなど、リストに載っていない人々にとって重要なこともたくさんある。

「デンマークの一人の個人が運営している。」っていうのは、バスファクターについての面白い発言だね。組織の監視についての発言としても興味深いと思う。運営に複数の人が関わっていれば、お互いに目を光らせて、何か変なことがあったら声を上げられるからね(例えば、DNSリゾルバが選択的なログを実装したり、結果に干渉したりすること)。でも、もし一人だけが全てを運営していたら、その人を指摘する人がいないんだよね。(「でも、あの人は信念を持った人だから、そんなことは絶対にしないよ」って思ってるなら、法執行機関からのプレッシャーは強力なものだよ。)

2年前に自分のリゾルバを設定したけど、それ以来ずっと問題なく動いてる。トラブルは一度もなかったよ。

俺はいつも自宅や他の場所にルートリカーサーを設定してるけど、デメリットは全然感じたことないな。

Hacker Newsで議論の続きを見る