Kauppayhdistykset
Ymmärtäessään salauksen käytön DNS-liikenteessä yleishyödyn, yhdistykset pitävät mahdottomana keskittää nimenselvityksen hallintaa yhteen käteen ja linkittää tämä mekanismi oletusarvoisesti keskitettyihin DNS-palveluihin. Erityisesti väitetään, että Google pyrkii ottamaan DoH:n oletusarvoisesti käyttöön Androidissa ja Chromessa, mikä Googlen palvelimiin sidottuna rikkoisi DNS-infrastruktuurin hajautetun luonteen ja loisi yhden vikakohdan.
Koska Chrome ja Android hallitsevat markkinoita, Google pystyy hallitsemaan suurinta osaa käyttäjien DNS-kyselyvirroista, jos ne määräävät DoH-palvelimensa. Infrastruktuurin luotettavuuden heikentämisen lisäksi tällainen siirto antaisi Googlelle epäoikeudenmukaisen edun kilpailijoihin nähden, koska yritys saisi lisätietoa käyttäjien toimista, joiden avulla voidaan seurata käyttäjien toimintaa ja valita asiaankuuluvaa mainontaa.
DoH voi myös häiritä esimerkiksi lapsilukkojärjestelmiä, pääsyä yritysjärjestelmien sisäisiin nimitiloihin, sisällön toimituksen optimointijärjestelmien reititystä ja laittoman sisällön levittämistä ja alaikäisten hyväksikäyttöä koskevien tuomioistuinten määräysten noudattamista. DNS-huijausta käytetään usein myös ohjaamaan käyttäjiä sivulle, jolla on tietoa tilaajan varojen loppumisesta, tai kirjautumaan langattomaan verkkoon.
Google
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta).
Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaisija käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta. Tällä hetkellä noin
Lähde: opennet.ru