Handelsorganisasjoner
For å forstå den generelle fordelen med å bruke kryptering for DNS-trafikk, anser foreningene det som uakseptabelt å konsentrere kontrollen over navneløsning på én hånd og koble denne mekanismen som standard til sentraliserte DNS-tjenester. Spesielt argumenteres det for at Google beveger seg mot å introdusere DoH som standard i Android og Chrome, som, hvis knyttet til Google-servere, ville bryte den desentraliserte naturen til DNS-infrastrukturen og skape et enkelt feilpunkt.
Siden Chrome og Android dominerer markedet, hvis de pålegger sine DoH-servere, vil Google være i stand til å kontrollere de fleste bruker-DNS-søkestrømmene. I tillegg til å redusere påliteligheten til infrastrukturen, vil et slikt grep også gi Google en urettferdig fordel i forhold til konkurrentene, siden selskapet vil motta tilleggsinformasjon om brukerhandlinger, som kan brukes til å spore brukeraktivitet og velge relevant annonsering.
DoH kan også forstyrre områder som foreldrekontrollsystemer, tilgang til interne navnerom i bedriftssystemer, ruting i systemer for optimalisering av innholdslevering og overholdelse av rettskjennelser mot distribusjon av ulovlig innhold og utnyttelse av mindreårige. DNS-spoofing brukes også ofte for å omdirigere brukere til en side med informasjon om slutten av midler hos abonnenten eller for å logge på et trådløst nettverk.
Google
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy).
Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler. For tiden ca
Kilde: opennet.ru