Гандлёвыя асацыяцыі
Разумеючы агульную карысць ад ужывання шыфравання для DNS-трафіка, асацыяцыі лічаць недапушчальным засяроджванне кантролю за пераўтварэннем імёнаў у адных руках і прывязку дадзенага механізму па змаўчанні да цэнтралізаваных DNS-службаў. У прыватнасці, сцвярджаецца, што Google рухаецца ў бок увядзення ў практыку прымянення DoH па змаўчанні ў Android і Chrome, што ў выпадку прывязкі да сервераў Google прывядзе да парушэння дэцэнтралізаванага характару інфраструктуры DNS і ўзнікненню адзінай кропкі адмовы.
Так як Chrome і Android дамінуюць на рынку, у выпадку навязвання сваіх DoH-сервераў Google атрымае магчымасць кантраляваць большую частку патокаў DNS-запытаў карыстальнікаў. Акрамя зніжэння надзейнасці інфраструктуры падобны крок таксама дасць Google неабгрунтаваныя перавагі перад канкурэнтамі, бо кампанія атрымае дадатковыя звесткі аб дзеяннях карыстальнікаў, якія могуць быць скарыстаны для адсочвання актыўнасці карыстальнікаў і падбору рэлевантнай рэкламы.
Ужыванне DoH таксама можа парушыць працу ў такіх галінах, як сістэмы бацькоўскага кантролю, доступ да ўнутраных прастор імёнаў у карпаратыўных сістэмах, выбар маршрутаў у сістэмах аптымізацыі дастаўкі кантэнту і выкананне судовых прадпісанняў у вобласці процідзеяння распаўсюджванню нелегальнага кантэнту і эксплуатацыі непаўналетніх. Падмена DNS таксама часта выкарыстоўваецца для перанакіравання карыстальнікаў на старонку з інфармацыяй аб заканчэнні сродкаў у абанента або для ўваходу ў бесправадную сетку.
Кампанія Google
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, барацьбы з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаяння блакаванням на ўзроўні DNS (DoH не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам (напрыклад, пры працы праз проксі).
Калі ў звычайнай сітуацыі DNS-запыты напроста адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасы хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў. У цяперашні час каля
Крыніца: opennet.ru