Trgovačka udruženja
Shvaćajući sveukupnu korist korištenja enkripcije za DNS promet, udruge smatraju neprihvatljivim koncentriranje kontrole nad razrješenjem imena u jednoj ruci i povezivanje ovog mehanizma prema zadanim postavkama sa centraliziranim DNS uslugama. Konkretno, tvrdi se da Google ide prema uvođenju DoH-a prema zadanim postavkama u Androidu i Chromeu, što bi, ako se poveže s Googleovim poslužiteljima, razbilo decentraliziranu prirodu DNS infrastrukture i stvorilo jednu točku kvara.
Budući da Chrome i Android dominiraju tržištem, ako nametnu svoje DoH poslužitelje, Google će moći kontrolirati većinu protoka korisničkih DNS upita. Osim što bi smanjio pouzdanost infrastrukture, ovakav bi potez Googleu dao i nepravednu prednost u odnosu na konkurenciju, jer bi tvrtka dobila dodatne informacije o radnjama korisnika, koje bi se mogle koristiti za praćenje aktivnosti korisnika i odabir relevantnog oglašavanja.
DoH također može poremetiti područja kao što su sustavi roditeljske kontrole, pristup internim imenskim prostorima u sustavima poduzeća, usmjeravanje u sustavima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga protiv distribucije ilegalnog sadržaja i iskorištavanja maloljetnika. DNS spoofing također se često koristi za preusmjeravanje korisnika na stranicu s informacijama o kraju sredstava kod pretplatnika ili za prijavu na bežičnu mrežu.
Google
Podsjetimo se da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS-u. razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na razini DPI) ili za organizaciju rada ako je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada radite putem proxyja).
Ako se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, tada se u slučaju DoH-a zahtjev za određivanjem IP adrese glavnog računala enkapsulira u HTTPS promet i šalje HTTP poslužitelju, gdje rezolver obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva. Trenutno oko
Izvor: opennet.ru