Trgovačka udruženja
Shvatajući sveukupnu korist korištenja enkripcije za DNS promet, udruženja smatraju neprihvatljivim koncentrirati kontrolu nad razlučivanjem imena u jednu ruku i povezati ovaj mehanizam prema zadanim postavkama sa centraliziranim DNS uslugama. Konkretno, tvrdi se da se Google kreće ka uvođenju DoH-a prema zadanim postavkama u Androidu i Chromeu, koji bi, ako bi bio vezan za Google servere, razbio decentraliziranu prirodu DNS infrastrukture i stvorio jednu tačku kvara.
Budući da Chrome i Android dominiraju tržištem, ako nametnu svoje DoH servere, Google će moći kontrolirati većinu tokova korisničkih DNS upita. Osim smanjenja pouzdanosti infrastrukture, ovakvim potezom bi Google dobio i nepravednu prednost u odnosu na konkurenciju, jer bi kompanija dobila dodatne informacije o radnjama korisnika, koje bi se mogle koristiti za praćenje aktivnosti korisnika i odabir relevantnog oglašavanja.
DoH također može poremetiti područja kao što su sistemi roditeljske kontrole, pristup internim prostorima imena u sistemima preduzeća, usmjeravanje u sistemima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga protiv distribucije ilegalnog sadržaja i eksploatacije maloljetnika. DNS lažiranje se također često koristi za preusmjeravanje korisnika na stranicu s informacijama o kraju sredstava kod pretplatnika ili za prijavu na bežičnu mrežu.
Google
Podsjetimo, DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), sprječavanje blokiranja na DNS-u razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada ako je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja).
Ako se u normalnoj situaciji DNS zahtjevi direktno šalju na DNS servere definirane u konfiguraciji sistema, tada se u slučaju DoH-a zahtjev za određivanje IP adrese hosta inkapsulira u HTTPS promet i šalje na HTTP server, gdje razrješavač obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva. Trenutno oko
izvor: opennet.ru