Local_DoHに成功しました…(Windows環境)

だるまぐです。サーバーと暗号化に関する知識が一つもないため使うのに四苦八苦したLocal_DoHを使うことに成功したためその方法を書こうと思います。(自分はWindowsの環境なのでWindows以外の方だと参考にならないかと思われます…ごめんなさい)

あと自分用の備忘録な感じに書いているため説明が画像無し+めちゃくちゃ省略されているので大分分かりづらくなっております。自分でここ省略されているかも…?と思われるところは自分で補完して読んでください。そんな読み方できねぇよって方には申し訳ないです…

やり方

まず証明書発行のためにmkcertをインストールします。ただmkcertはchocolateyというコマンドラインツールでインストールするため先にchocolateyをインストールしておきましょう。

英語のサイトですのでインストールは自分で頑張って英語読んでインストールしてください。【Get Started】をクリックした先のStep2に書いてあります。

インストール後、コマンドライン上で

>choco install mkcert

でmkcertをインストールしましょう。

あとは

>mkcert --install

でAppdata\Local\mkcert内にルートCAを作成し、

>mkcert localhost 127.0.0.1

でカレントディレクトリにサーバー証明書(localhost+1.pem(証明書)とlocalhost+1-key.pem(秘密鍵))を作成します。カレントディレクトリを把握してないと証明書がどこか分からなくなってしまうので注意しましょう。

そしてdnscrypt-proxy.tomlの[local_doh]セクションで、さっき作ったサーバー証明書と秘密鍵の場所を

cert_file = "localhost+1.pem"

cert_key_file = "localhost+1-key.pem"

などして指定し、dnscrypt-proxyのサービスを再起動します。

これでWindows内にLocal_DoHが成立したはずなので、

Firefoxのオプション>プライバシーとセキュリティー>証明書からルート証明書(Appdata/Local/mkcertに入ってるやつ)をインポートし、

about:configから

「network.trr.uri」の欄を「https://127.0.0.1:3000/dns-query」に変え、

「network.trr.mode」の欄が「2」か「3」になってることを確認し(なってなかったら2か3に変え)、

「network.security.esni.enabled」の欄が「true」になってることを確認したうえで、

encryptedsni.comで一番右の「Encrypted SNI」が緑のチェックマークになってたら成功です。