Associazioni di commercio
Comprendendo il vantaggio complessivo derivante dall'utilizzo della crittografia per il traffico DNS, le associazioni ritengono inaccettabile concentrare il controllo sulla risoluzione dei nomi in una sola mano e collegare questo meccanismo per impostazione predefinita ai servizi DNS centralizzati. In particolare, si sostiene che Google si stia muovendo verso l’introduzione DoH per impostazione predefinita in Android e Chrome, che, se legata ai server di Google, spezzerebbe la natura decentralizzata dell’infrastruttura DNS e creerebbe un singolo punto di guasto.
Poiché Chrome e Android dominano il mercato, se imporranno i propri server DoH, Google sarà in grado di controllare la maggior parte dei flussi di query DNS degli utenti. Oltre a ridurre l’affidabilità dell’infrastruttura, una simile mossa darebbe a Google anche un vantaggio ingiusto rispetto ai concorrenti, poiché l’azienda riceverebbe ulteriori informazioni sulle azioni degli utenti, che potrebbero essere utilizzate per tracciare l’attività dell’utente e selezionare pubblicità pertinente.
Il DoH può anche compromettere ambiti quali i sistemi di controllo parentale, l’accesso agli spazi dei nomi interni nei sistemi aziendali, il routing nei sistemi di ottimizzazione della distribuzione dei contenuti e il rispetto delle ordinanze del tribunale contro la distribuzione di contenuti illegali e lo sfruttamento dei minori. Lo spoofing DNS viene spesso utilizzato anche per reindirizzare gli utenti a una pagina con informazioni sulla fine dei fondi dell'abbonato o per accedere a una rete wireless.
Google
Ricordiamo che il DoH può essere utile per impedire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio durante la connessione a reti Wi-Fi pubbliche), contrastare il blocco dei DNS livello (DoH non può sostituire una VPN nell'ambito dell'elusione del blocco implementato a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy).
Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste. Attualmente circa
Fonte: opennet.ru