Asociaciones comerciales
Al comprender el beneficio general de utilizar el cifrado para el tráfico DNS, las asociaciones consideran inaceptable concentrar el control sobre la resolución de nombres en una mano y vincular este mecanismo de forma predeterminada a los servicios DNS centralizados. En particular, se argumenta que Google está avanzando hacia la introducción de DoH de forma predeterminada en Android y Chrome, lo que, si se vincula a los servidores de Google, rompería la naturaleza descentralizada de la infraestructura DNS y crearía un punto único de falla.
Dado que Chrome y Android dominan el mercado, si imponen sus servidores DoH, Google podrá controlar la mayoría de los flujos de consultas DNS de los usuarios. Además de reducir la confiabilidad de la infraestructura, tal medida también daría a Google una ventaja injusta sobre sus competidores, ya que la empresa recibiría información adicional sobre las acciones de los usuarios, que podría usarse para rastrear la actividad del usuario y seleccionar publicidad relevante.
El Departamento de Salud también puede alterar áreas como los sistemas de control parental, el acceso a espacios de nombres internos en sistemas empresariales, el enrutamiento en sistemas de optimización de entrega de contenido y el cumplimiento de órdenes judiciales contra la distribución de contenido ilegal y la explotación de menores. La suplantación de DNS también se utiliza a menudo para redirigir a los usuarios a una página con información sobre el fin de los fondos del suscriptor o para iniciar sesión en una red inalámbrica.
Google
Recordemos que DoH puede resultar útil para prevenir la filtración de información sobre los nombres de host solicitados a través de los servidores DNS de los proveedores, combatir los ataques MITM y la suplantación de tráfico DNS (por ejemplo, al conectarse a una red Wi-Fi pública), contrarrestar el bloqueo en el DNS nivel (DoH no puede reemplazar una VPN en el área de eludir el bloqueo implementado en el nivel DPI) o para organizar el trabajo si es imposible acceder directamente a los servidores DNS (por ejemplo, cuando se trabaja a través de un proxy).
Si en una situación normal las solicitudes DNS se envían directamente a los servidores DNS definidos en la configuración del sistema, entonces, en el caso de DoH, la solicitud para determinar la dirección IP del host se encapsula en el tráfico HTTPS y se envía al servidor HTTP, donde el solucionador procesa solicitudes a través de la API web. El estándar DNSSEC existente utiliza cifrado sólo para autenticar al cliente y al servidor, pero no protege el tráfico contra la interceptación y no garantiza la confidencialidad de las solicitudes. Actualmente sobre
Fuente: opennet.ru