Associacions comercials
Entenent el benefici general d'utilitzar el xifratge per al trànsit DNS, les associacions consideren inacceptable concentrar el control sobre la resolució de noms d'una mà i vincular aquest mecanisme per defecte als serveis DNS centralitzats. En particular, s'argumenta que Google està avançant cap a la introducció de DoH de manera predeterminada a Android i Chrome, que, si s'associen als servidors de Google, trencaria la naturalesa descentralitzada de la infraestructura DNS i crearia un únic punt de fallada.
Com que Chrome i Android dominen el mercat, si imposen els seus servidors DoH, Google podrà controlar la majoria dels fluxos de consultes DNS dels usuaris. A més de reduir la fiabilitat de la infraestructura, aquest moviment també donaria a Google un avantatge injust sobre els competidors, ja que l'empresa rebria informació addicional sobre les accions dels usuaris, que es podria utilitzar per fer un seguiment de l'activitat dels usuaris i seleccionar la publicitat rellevant.
DoH també pot interrompre àrees com els sistemes de control parental, l'accés a espais de noms interns en sistemes empresarials, l'encaminament en sistemes d'optimització de lliurament de contingut i el compliment de les ordres judicials contra la distribució de contingut il·legal i l'explotació de menors. La falsificació de DNS també s'utilitza sovint per redirigir els usuaris a una pàgina amb informació sobre el final dels fons del subscriptor o per iniciar sessió a una xarxa sense fil.
Google
Recordem que DoH pot ser útil per prevenir filtracions d'informació sobre els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i la falsificació del trànsit DNS (per exemple, quan es connecta a una xarxa Wi-Fi pública), contrarestar el bloqueig al DNS. nivell (DoH no pot substituir una VPN a l'àrea d'obviació del bloqueig implementat a nivell de DPI) o per organitzar el treball si és impossible accedir directament als servidors DNS (per exemple, quan es treballa a través d'un proxy).
Si en una situació normal les sol·licituds DNS s'envien directament als servidors DNS definits a la configuració del sistema, aleshores, en el cas de DoH, la sol·licitud per determinar l'adreça IP de l'amfitrió s'encapsula en el trànsit HTTPS i s'envia al servidor HTTP, on el resolutor processa sol·licituds mitjançant l'API web. L'estàndard DNSSEC existent utilitza el xifratge només per autenticar el client i el servidor, però no protegeix el trànsit de la intercepció i no garanteix la confidencialitat de les sol·licituds. Actualment sobre
Font: opennet.ru