Stowarzyszenia branżowe
Rozumiejąc ogólne korzyści wynikające ze stosowania szyfrowania ruchu DNS, stowarzyszenia uważają za niedopuszczalne skupianie kontroli nad rozpoznawaniem nazw w jednej ręce i domyślne łączenie tego mechanizmu ze scentralizowanymi usługami DNS. W szczególności argumentuje się, że Google zmierza w kierunku domyślnego wprowadzenia DoH w systemach Android i Chrome, co w przypadku połączenia z serwerami Google przerwałoby zdecentralizowany charakter infrastruktury DNS i utworzyłoby pojedynczy punkt awarii.
Ponieważ na rynku dominują przeglądarki Chrome i Android, jeśli narzucą swoje serwery DoH, Google będzie w stanie kontrolować większość przepływów zapytań DNS użytkowników. Oprócz zmniejszenia niezawodności infrastruktury, takie posunięcie dałoby także Google nieuczciwą przewagę nad konkurencją, gdyż firma otrzymywałaby dodatkowe informacje o działaniach użytkowników, które mogłyby zostać wykorzystane do śledzenia aktywności użytkowników i doboru odpowiednich reklam.
DoH może również zakłócać takie obszary, jak systemy kontroli rodzicielskiej, dostęp do wewnętrznych przestrzeni nazw w systemach korporacyjnych, routing w systemach optymalizacji dostarczania treści oraz przestrzeganie orzeczeń sądowych zakazujących rozpowszechniania nielegalnych treści i wykorzystywania nieletnich. DNS spoofing często wykorzystuje się także do przekierowania użytkowników na stronę z informacją o zakończeniu środków u abonenta lub do zalogowania się do sieci bezprzewodowej.
Google
Przypomnijmy, że DoH może być przydatny w zapobieganiu wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczaniu ataków MITM i fałszowaniu ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałaniu blokowaniu w DNS poziomie (DoH nie może zastąpić VPN w zakresie obejścia blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy).
Jeżeli w normalnej sytuacji żądania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DoH żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, gdzie resolwer przetwarza żądań za pośrednictwem interfejsu API sieci Web. Istniejący standard DNSSEC wykorzystuje szyfrowanie jedynie do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań. Obecnie o
Źródło: opennet.ru