DoT の課題

gistfile1.txt

# 証明書受け入れ問題
証明書自体が検証できても、DNSのIP殿紐付けができていない
標準化待ち

# 統計問題
TLS化されるので、リゾルバ上で動かしている、DSCなどのlibpcapを前提としたアプリケーションが動かない
* DNSTAPベースを使う。ただしリゾルバがDNSTAPに対応している必要があり、統計ソフトウェアをDNSTAPベースに改修するひつようがある。
* TLS終端をリゾルバの前段で行いつつ、proxy-protocol等を利用してsrc-ipを渡す。ただしこの場合、リゾルバソフトウェア＋統計ソフトウェア共に改修が必要

# TLS Connection問題
TLSのコネクションが遅い、ただし前段nginx+session-tiket構成ならそれなりに早い、滝沢さんの資料参照
Android 9でこの構成で動くことは確認済み
Unboundは対応していないので、前段nginxは現段階では必要そう