Association commerciale
Comprenant l'avantage global de l'utilisation du cryptage pour le trafic DNS, les associations considèrent qu'il est inacceptable de concentrer le contrôle de la résolution de noms dans une seule main et de lier ce mécanisme par défaut aux services DNS centralisés. En particulier, il est avancé que Google s'oriente vers l'introduction de DoH par défaut dans Android et Chrome, ce qui, s'il était lié aux serveurs de Google, briserait la nature décentralisée de l'infrastructure DNS et créerait un point de défaillance unique.
Puisque Chrome et Android dominent le marché, s’ils imposent leurs serveurs DoH, Google pourra contrôler la majorité des flux de requêtes DNS des utilisateurs. En plus de réduire la fiabilité de l'infrastructure, une telle décision donnerait également à Google un avantage injuste sur ses concurrents, puisque l'entreprise recevrait des informations supplémentaires sur les actions des utilisateurs, qui pourraient être utilisées pour suivre l'activité des utilisateurs et sélectionner des publicités pertinentes.
Le DoH peut également perturber des domaines tels que les systèmes de contrôle parental, l'accès aux espaces de noms internes dans les systèmes d'entreprise, le routage dans les systèmes d'optimisation de la diffusion de contenu et le respect des ordonnances des tribunaux contre la distribution de contenus illégaux et l'exploitation de mineurs. L'usurpation d'identité DNS est également souvent utilisée pour rediriger les utilisateurs vers une page contenant des informations sur la fin des fonds chez l'abonné ou pour se connecter à un réseau sans fil.
Google
Rappelons que DoH peut être utile pour empêcher les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS (par exemple, lors de la connexion au Wi-Fi public), contrer le blocage au niveau du DNS. (Le DoH ne peut pas remplacer un VPN dans le domaine du contournement des blocages mis en œuvre au niveau DPI) ou pour organiser le travail s'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque l'on travaille via un proxy).
Si dans une situation normale les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la requête pour déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite requêtes via l’API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes. Actuellement environ
Source: opennet.ru