Komercaj asocioj
Komprenante la ĝeneralan avantaĝon uzi ĉifradon por DNS-trafiko, la asocioj konsideras neakcepteble koncentri kontrolon pri nomrezolucio en unu mano kaj ligi ĉi tiun mekanismon defaŭlte al centralizitaj DNS-servoj. Aparte, oni argumentas, ke Google iras al enkonduko de DoH defaŭlte en Android kaj Chrome, kiuj, se ligite al Google-serviloj, rompus la malcentralizitan naturon de la DNS-infrastrukturo kaj kreus ununuran punkton de fiasko.
Ĉar Chrome kaj Android regas la merkaton, se ili trudos siajn DoH-servilojn, Guglo povos kontroli la plimulton de uzantaj DNS-demandfluoj. Krom reduktado de la fidindeco de la infrastrukturo, tia movo ankaŭ donus al Guglo maljustan avantaĝon super konkurantoj, ĉar la firmao ricevus pliajn informojn pri uzant-agoj, kiuj povus esti uzataj por spuri uzantan agadon kaj elekti koncernan reklamadon.
DoH ankaŭ povas interrompi areojn kiel gepatra kontrolo-sistemoj, aliro al internaj nomspacoj en entreprenaj sistemoj, vojigo en enhavo-liveraĵaj optimumigaj sistemoj, kaj observo de tribunalaj ordonoj kontraŭ la distribuado de kontraŭleĝa enhavo kaj ekspluato de neplenaĝuloj. DNS-parolado ankaŭ estas ofte uzata por redirekti uzantojn al paĝo kun informoj pri la fino de financo ĉe la abonanto aŭ por ensaluti en sendratan reton.
Guglo
Ni rememoru, ke DoH povas esti utila por malhelpi likojn de informoj pri la petitaj gastigantnomoj tra la DNS-serviloj de provizantoj, kontraŭbatali MITM-atakojn kaj DNS-trafikan falsigon (ekzemple, kiam li konektas al publika Wi-Fi), kontraŭbatali blokadon ĉe la DNS. nivelo (DoH ne povas anstataŭigi VPN en la areo de preterpasi blokadon efektivigita ĉe la DPI-nivelo) aŭ por organizi laboron se estas neeble rekte aliri DNS-servilojn (ekzemple, kiam vi laboras per prokurilo).
Se en normala situacio DNS-petoj estas rekte senditaj al DNS-serviloj difinitaj en la sistema agordo, tiam en la kazo de DoH, la peto por determini la IP-adreson de la gastiganto estas enkapsuligita en HTTPS-trafiko kaj sendita al la HTTP-servilo, kie la solvilo procesas. petoj per la Reta API. La ekzistanta DNSSEC-normo uzas ĉifradon nur por aŭtentikigi la klienton kaj servilon, sed ne protektas trafikon kontraŭ interkapto kaj ne garantias la konfidencon de petoj. Nuntempe pri
fonto: opennet.ru