Obchodní sdružení
Vzhledem k celkové výhodě používání šifrování pro provoz DNS považují sdružení za nepřijatelné soustředit kontrolu nad překladem názvů do jedné ruky a tento mechanismus standardně propojovat s centralizovanými službami DNS. Zejména se tvrdí, že Google směřuje k zavádění DoH ve výchozím nastavení v systémech Android a Chrome, což by v případě spojení se servery Google narušilo decentralizovanou povahu infrastruktury DNS a vytvořilo jediný bod selhání.
Vzhledem k tomu, že na trhu dominují Chrome a Android, pokud zavedou své servery DoH, bude Google moci řídit většinu toků uživatelských dotazů DNS. Kromě snížení spolehlivosti infrastruktury by takový krok také poskytl společnosti Google nespravedlivou výhodu oproti konkurentům, protože společnost by získala další informace o akcích uživatelů, které by mohly být použity ke sledování aktivity uživatelů a výběru relevantní reklamy.
DoH může také narušit oblasti, jako jsou systémy rodičovské kontroly, přístup k interním jmenným prostorům v podnikových systémech, směrování v systémech optimalizace doručování obsahu a dodržování soudních příkazů proti šíření nelegálního obsahu a zneužívání nezletilých. DNS spoofing se také často používá k přesměrování uživatelů na stránku s informací o konci finančních prostředků u předplatitele nebo k přihlášení do bezdrátové sítě.
Google
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy).
Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků. Aktuálně o
Zdroj: opennet.ru