iCloudプライベートリレーと構成プロファイルによるDoH(DNS over HTTPS)を両方オンにしたらどうなるの

はじめに

iCloudプライベートリレーの仕組みが気になっていろいろ調べていると、内部的でDNS over HTTPSされているらしいという記述を見かけた。
僕は以前から、iPhoneの構成プロファイル(.mobileconfig)でCloudflareが1.1.1.1で提供しているDNS over HTTPSを設定して使っており、その二つを同時にオンにすると、DNSクエリはどのように処理されるのか気になったので調べた。DNS over HTTPS over iCloudプライベートリレー とかできたりするのかな
調査方法は https://1.1.1.1/help のConnection Informationを見るだけ。気になったけど時間無いのでがばがば検証です

環境

• iPhone SE 2020
• iOS 17.0.3
• Docomoの4G回線で接続

結果

構成プロファイルがインストール済みの状態でiCloudプライベートリレーをオフに

Using DoHがYesになった
それはそう。対照実験ですね

構成プロファイルがインストール済みの状態でiCloudプライベートリレーをオンに

Safariでアクセスした場合はCloudflareのUsing DoHがNo
Chromeでアクセスした場合はYesになった

考察

Safariを使った場合は構成プロファイルによるDNS設定ではなく、iCloudプライベートリレーの設定が優先されることがわかった。これはiCloudプライベートリレーはSafariのみで利用できるっていうのとも符合する。たぶんオンにするとDNSだけじゃなくてもろもろが全部上書きされるんでしょう。無難な結果。AppleさんはDNSの設定画面とかに「ここでの設定はプライベートリレー利用中は無効になります」みたいなのを書いてくれると親切かもなー(わからなかったので)
iCloudプライベートリレーはQUICとか別のプロトコルも使いつつの複雑な仕組みっぽいので、DNS over HTTPSの記述はDNSリクエストも暗号化されますよっていうことを伝えるための広義なDoHで、実装はDoHの規格ではなくApple独自だったりする可能性も全然あるなと思った。その辺はもっと詳しく調べないと何とも言えないけれど

あとがき

iCloudプライベートリレー、思想も仕組みもかなり好きです。Appleのこういうところ好きです。ネットを検索しても機能追加されたときのiOSリリースに合わせたついでみたいな記事が多いので、詳しく解剖してる記事がもっとあってもいいのにと思います。パケットキャプチャとかしてもっと詳しく調べたいのですが、受験が...