Fachverbände
Da die Verbände den allgemeinen Nutzen der Verschlüsselung des DNS-Verkehrs verstehen, halten sie es für inakzeptabel, die Kontrolle über die Namensauflösung in einer Hand zu konzentrieren und diesen Mechanismus standardmäßig mit zentralisierten DNS-Diensten zu verknüpfen. Insbesondere wird argumentiert, dass Google auf die standardmäßige Einführung von DoH in Android und Chrome zusteuert, was, wenn es an Google-Server gebunden wäre, den dezentralen Charakter der DNS-Infrastruktur zerstören und einen Single Point of Failure schaffen würde.
Da Chrome und Android den Markt dominieren, kann Google den Großteil der DNS-Abfrageflüsse der Benutzer kontrollieren, wenn sie ihre DoH-Server durchsetzen. Neben einer Verringerung der Zuverlässigkeit der Infrastruktur würde ein solcher Schritt Google auch einen unfairen Vorteil gegenüber Wettbewerbern verschaffen, da das Unternehmen zusätzliche Informationen über Benutzeraktionen erhalten würde, die zur Verfolgung der Benutzeraktivitäten und zur Auswahl relevanter Werbung verwendet werden könnten.
DoH kann auch Bereiche wie Kindersicherungssysteme, Zugriff auf interne Namensräume in Unternehmenssystemen, Routing in Systemen zur Optimierung der Inhaltsbereitstellung und die Einhaltung gerichtlicher Anordnungen gegen die Verbreitung illegaler Inhalte und die Ausbeutung von Minderjährigen stören. DNS-Spoofing wird auch häufig verwendet, um Benutzer auf eine Seite mit Informationen über das Ende des Geldbetrags beim Abonnenten umzuleiten oder sich bei einem drahtlosen Netzwerk anzumelden.
Google
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy).
Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen. Derzeit ca
Source: opennet.ru