DNS暗号化(DoT,DoH)できない

暗号化DNS構成プロファイル作成向けに、テンプレート作りました。

文字数の関係で、分散して投稿します。

追加テキストはボタン探しましたが見つかりませんでした。

安定した動作と、無視てきるデーターサイズ、プロファイル100件のソースファイルは71KBです。

入力サンプルとして、DNS無稼動環境の実験向けに、

ハッキングへの細やかな抵抗に、最後尾はFallbackプロファイルです。

127.0.0.1と::1はそれぞれ、IPv4、IPv6のFallback addressで、example.comドメインは、説明文章やサンプル向けに用意された特殊ドメインで、開けない仕様になっています。

以上を組み合わせた構成で、DNSパケットを積極的に無効化します。

機内モードやWi-FiOFFなどと異なり、OFFlineではありません。DNSできない状態です。

スパイウェアの活動を少しでも妨げられれば嬉しいです。

🚃

  各プロファイルの連結部分を示す目印です。完成したら削除してください。

次以降、丸い形状の絵文字は入力項目です。

暗号化方式の違いによる入力項目の共通点多いので、HTTPSの次はTLS、またHTTPSの次はTLSの繰返しで繋いであります。

連結部分が括れているのは、プログラムでも同じ様です。

🟠

  DNSサーバーのブランド名やフィルター名を簡素に纏めて選び易くします。

絵文字可、文字列は表示される順番に直接影響します。

🟣

  暗号化対応DNSサーバーのIPアドレスを入力します。

省略できますが、その様な構成は、プロバイダー(ISP)の従来型DNSサーバーに毎回、暗号化対応DNSサーバーの問い合わせが発生することになります。

従って、サーバーダウンするISPなら、道連れの運命！。更にトラッカーなISPに使用する暗号化DNSサーバーを態々教える結果となり、後は許諾が運用され、従来どおりトラッキングされる運命でしょう。

正に本末転倒、DNSサーバーを選び、DNSを暗号化する意味は、〝ほぼ〟なくなるでしょう。

稀に、IPアドレスを入力すると、何故か繋がらない(応答しなくなる)DNSサーバーがあります。

その様な場合は、以下の様なWho is/Names lookupサイトで、実際に名前解決されるIPアドレスを調べます。

IPアドレス変わったのに、案内に反映していないとみられるケースもあります。

https://www.ip-tracker.org/

🟡

  HTTPS暗号化の必須入力項目ServerURLを入力します。

例:https://doh.example.com/dns-query

🟢

  LTS暗号化の必須入力項目ServerNameを入力します。

例:dot.example.com

🔴

  次の様な16進数(0123456789ABCDEF)の文字列を入力します。大文字小文字は識別されません。

eea3731c-ef55-11eb-9a03-0242ac130010

EF65ef81-DD51-b747-A380-A320b7370001

同一プロファイル内(🚃を渡らない関係)、PayloadIdentifierとPayloadUUIDのみ同一にできます。他(🚃を渡る関係)は、連番などで重複を避ける必要があります。

最後、余ったテンプレートは削除します。

ここまでの出来あがりをソースと言います。

いよいよインストールできる形式に加工します。

ソースをBase64でエンコード(符号化)したら、次の文字列を機関車の様に、Base64でエンコードした文字列の先頭に連結して完成です。

data:application/x-apple-aspen-config;charset=UTF-8;base64,

Base64エンコードは、次に示すURLがJavaScriptを使用していないのでgood！邪魔されずに安定して動作してくれます😀

ショートカットAppにもBase64エンコード/デコードアクションあります。

https://www.en-pc.jp/tech/base64.php#result

私自身、プログラム打ち込む様な経験初めてで、メモAppとショートカットAppで編集しました。

MXL編集に特化したApp使えば、MXL符記号の欠落教えてくれるなど、便利なデバッグ支援ありそうです。

いよいよインストールですが、既存のDNSプロファイルを上書き消去避ける方法が不明です。

格安とされるMVNO関連SIM契約のAPN構成プロファイルは、属性が異なり上書きされないようです。

安心確実なIPアドレス入りプロファイルで上書きしてしまいましょう！

署名入りプロファイル、所々緑色で視覚的に安心感ありますが、後述する方法でテストすると、IPアドレス省略した本末転倒な構成しか見たことありません。

仮に幾ら厳重に暗号化しても、ポチッた許諾を前に、限りなく無力な筈です。

Safari画面の最上部分、普段URLが表示される細長いエリアに、機関車含めた文字列丸ごとコピー&ペーストしたら、あとは画面表示のとおりです。

インストールできたら、設定App→一般→プロファイル→その先作成したプロファイルを開き、URLまたはサーバー名が、選択画面の表示と合っているか確認します。

Family、Not filtor、No logのとり違えは避けたいです。

IPアドレスは、URL、ServerNameと合致する必要がある仕組みです。

同一DNSブランド内、Filtor違ってもNot Foundです。

使い方(サーバー選択)は次のとおり

設定App→一般→ VPNとネットワーク→その先作成したプロファイル一覧で選択します。

No log 掲げるサーバーを渡り歩くなり重厚なFilterに依存するなり

では、入力したIPアドレスが効いているか、従来のDNSを無効化して確認してみましょう。

先ず、従来DNSの設定方法のおさらいです。

Wi-FiのDNS設定を手動に切り替えて、未入力で保存すると自動と同じ様な動作します。Not Foundになりません。

サーバーアドレスの左側に#入れるとスルーされます。

意図しないDNSサーバーと接続したくない場合は、次の様に、IPv4、IPv6、それぞれFallback addressで締め括る(下段に入力する)。

127.0.0.1

::1

よって、DNS手動設定とした上で、削除したくないDNSサーバーアドレスは、それぞれアドレスの左端に#を入力してスルーさせる。

127.0.0.1(IPv4 Fallback address)と、::1(IPv6 Fallback address)を下段に入力し、締め括ることで、従来のDNSは無効となり、ISPのサーバーダウンが再現された状態になります。

IPアドレスを省略した構成では、サーバーダウンの道連れとなり、Not Foundになります。

IPアドレスを入力した構成では普段通り、稼働しているサーバーを選ぶだけです。

Wi-Fi接続のDNS設定は以上のとおりですが、モバイルデーター通信(Cellurer)の従来型DNSは用意されておらず、これまでDNSアプリが必要でした。

これからは、プロファイルが加わりました。

設定項目追加すれば、Wi-Fiのみなどできるようです。

DNSプロファイルに対して5000文字数制限は厳しいです

追加テキスト機能はお盆休みでしょうか？

ボタンが表示されません。

ボタンが表示されません

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>

<key>PayloadContent</key>

<array>

key>ProhibitDisablement</key>

<false/>

</dict>

🚃

<dict>

<key>PayloadDescription</key>

<string>DNS Settings</string>

<key>PayloadDisplayName</key>

<string>🟠 HTTPS</string>

<key>PayloadIdentifier</key>

<string>com.apple.dnsSettings.managed.🔴</string>

<key>PayloadType</key>

<string>com.apple.dnsSettings.managed</string>

<key>PayloadUUID</key>

<string>🔴</string>

<key>PayloadVersion</key>

<integer>1</integer>

<key>DNSSettings</key>

<dict>

<key>DNSProtocol</key>

<string>HTTPS</string>

<key>ServerAddresses</key>

<array>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

</array>

<key>ServerURL</key>

<string>🟡</string>

</dict>

<key>ProhibitDisablement</key>

<false/>

</dict>

🚃

<dict>

<key>PayloadDescription</key>

<string>DNS Settings</string>

<key>PayloadDisplayName</key>

<string>🟠 TLS</string>

<key>PayloadIdentifier</key>

<string>com.apple.dnsSettings.managed.🔴</string>

<key>PayloadType</key>

<string>com.apple.dnsSettings.managed</string>

<key>PayloadUUID</key>

<string>🔴</string>

<key>PayloadVersion</key>

<integer>1</integer>

<key>DNSSettings</key>

<dict>

<key>DNSProtocol</key>

<string>TLS</string>

<key>ServerAddresses</key>

<array>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

</array>

<key>ServerName</key>

<string>🟢</string>

</dict>

<key>ProhibitDisablement</key>

<false/>

</dict>

🚃

<dict>

<key>PayloadDescription</key>

<string>DNS Settings</string>

<key>PayloadDisplayName</key>

<string>🟠 HTTPS</string>

<key>PayloadIdentifier</key>

<string>com.apple.dnsSettings.managed.🔴</string>

<key>PayloadType</key>

<string>com.apple.dnsSettings.managed</string>

<key>PayloadUUID</key>

<string>🔴</string>

<key>PayloadVersion</key>

<integer>1</integer>

<key>DNSSettings</key>

<dict>

<key>DNSProtocol</key>

<string>HTTPS</string>

<key>ServerAddresses</key>

<array>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

</array>

<key>ServerURL</key>

<string>🟡</string>

</dict>

<key>ProhibitDisablement</key>

<false/>

</dict>

🚃

<dict>

<key>PayloadDescription</key>

<string>DNS Settings</string>

<key>PayloadDisplayName</key>

<string>🟠 TLS</string>

<key>PayloadIdentifier</key>

<string>com.apple.dnsSettings.managed.🔴</string>

<key>PayloadType</key>

<string>com.apple.dnsSettings.managed</string>

<key>PayloadUUID</key>

<string>🔴</string>

<key>PayloadVersion</key>

<integer>1</integer>

<key>DNSSettings</key>

<dict>

<key>DNSProtocol</key>

<string>TLS</string>

<key>ServerAddresses</key>

<array>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

<string>🟣</string>

</array>

<key>ServerName</key>

<string>🟢</string>

</dict>

<key>ProhibitDisablement</key>

<false/>

</dict>

🚃

<dict>

<key>PayloadDescription</key>

<string>DNS Settings</string>

<key>PayloadDisplayName</key>

<string>🔙Fallback🚫Experiment and some security</string>

<key>PayloadIdentifier</key>

<string>com.apple.dnsSettings.managed.🔴</string>

<key>PayloadType</key>

<string>com.apple.dnsSettings.managed</string>

<key>PayloadUUID</key>

<string>🔴</string>

<key>PayloadVersion</key>

<integer>1</integer>

<key>DNSSettings</key>

<dict>

<key>DNSProtocol</key>

<string>TLS</string>

<key>ServerAddresses</key>

<array>

<string>::1</string>

<string>127.0.0.1</string>

</array>

<key>ServerName</key>

<string>example.com</string>

</dict>

<key>ProhibitDisablement</key>

<false/>

</dict>

🚃

</array>

<key>PayloadDescription</key>

<string>📑Avoid configurations that do not enter an IP address.

You have to query the traditional DNS server for the encrypted DNS server, which increases the risk of tracking and server down.</string>

<key>PayloadDisplayName</key>

<string>📄Selectable encrypted DNS servers</string>

<key>PayloadIdentifier</key>

<string>com.paulmillr.apple-dns</string>

<key>PayloadRemovalDisallowed</key>

<false/>

<key>PayloadType</key>

<string>Configuration</string>

<key>PayloadUUID</key>

<string>🔴</string>

<key>PayloadVersion</key>

<integer>1</integer>

</dict>

</plist>

DNS暗号化プロファイルで「プライバシーの警告、このネットワークは暗号化されたDNSトラフィックをブロックしています」が表示される不具合について進展がありました。

iOS14.8ですが、クリップボードのデータが盗まれるセキュリティ問題があるようです。

DNS暗号化プロファイルをインストールする際予めオフラインし、ペーストしたら適当なコピーを行いクリップボードのデータを消去したところ、当該不具合が解消しました。