Asociacións de comerciantes
Entendendo o beneficio xeral de usar o cifrado para o tráfico DNS, as asociacións consideran inaceptable concentrar o control sobre a resolución de nomes nunha man e vincular este mecanismo por defecto a servizos de DNS centralizados. En particular, argumentase que Google está avanzando cara a introducir DoH por defecto en Android e Chrome, o que, de estar ligado aos servidores de Google, rompería a natureza descentralizada da infraestrutura DNS e crearía un único punto de falla.
Dado que Chrome e Android dominan o mercado, se impoñen os seus servidores DoH, Google poderá controlar a maioría dos fluxos de consulta DNS dos usuarios. Ademais de reducir a fiabilidade da infraestrutura, tal movemento tamén daría a Google unha vantaxe inxusta sobre os seus competidores, xa que a empresa recibiría información adicional sobre as accións dos usuarios, que podería utilizarse para rastrexar a actividade dos usuarios e seleccionar publicidade relevante.
O DoH tamén pode perturbar áreas como os sistemas de control parental, o acceso a espazos de nomes internos en sistemas empresariais, o enrutamento en sistemas de optimización de entrega de contidos e o cumprimento das ordes xudiciais contra a distribución de contido ilegal e a explotación de menores. A suplantación de DNS tamén se usa a miúdo para redirixir os usuarios a unha páxina con información sobre o fin dos fondos no subscritor ou para iniciar sesión nunha rede sen fíos.
Google
Lembremos que DoH pode ser útil para evitar filtracións de información sobre os nomes de host solicitados a través dos servidores DNS dos provedores, combater ataques MITM e suplantación de tráfico DNS (por exemplo, cando se conecta a wifi pública), contrarrestar o bloqueo no DNS. nivel (DoH non pode substituír unha VPN na área de evitar o bloqueo implementado a nivel de DPI) ou para organizar o traballo se é imposible acceder directamente aos servidores DNS (por exemplo, cando se traballa a través dun proxy).
Se nunha situación normal as solicitudes de DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón no caso de DoH, a solicitude para determinar o enderezo IP do host encápsulase no tráfico HTTPS e envíase ao servidor HTTP, onde o resolutor procesa. solicitudes a través da API web. O estándar DNSSEC existente usa o cifrado só para autenticar o cliente e o servidor, pero non protexe o tráfico da intercepción e non garante a confidencialidade das solicitudes. Actualmente sobre
Fonte: opennet.ru