Associações comerciais
Compreendendo o benefício geral do uso da criptografia para o tráfego DNS, as associações consideram inaceitável concentrar o controle sobre a resolução de nomes em uma mão e vincular esse mecanismo por padrão a serviços DNS centralizados. Em particular, argumenta-se que a Google está a avançar no sentido da introdução do DoH por defeito no Android e no Chrome, o que, se ligado aos servidores da Google, quebraria a natureza descentralizada da infra-estrutura DNS e criaria um ponto único de falha.
Como o Chrome e o Android dominam o mercado, se imporem seus servidores DoH, o Google será capaz de controlar a maioria dos fluxos de consulta DNS dos usuários. Além de reduzir a fiabilidade da infraestrutura, tal medida também daria à Google uma vantagem injusta sobre os concorrentes, uma vez que a empresa receberia informações adicionais sobre as ações dos utilizadores, que poderiam ser utilizadas para monitorizar a atividade dos utilizadores e selecionar publicidade relevante.
O DoH também pode perturbar áreas como os sistemas de controlo parental, o acesso a namespaces internos em sistemas empresariais, o encaminhamento em sistemas de otimização de entrega de conteúdos e o cumprimento de ordens judiciais contra a distribuição de conteúdos ilegais e a exploração de menores. A falsificação de DNS também é frequentemente usada para redirecionar os usuários para uma página com informações sobre o fim dos fundos do assinante ou para fazer login em uma rede sem fio.
Google
Lembremos que o DoH pode ser útil para prevenir vazamentos de informações sobre os nomes de host solicitados através dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a redes Wi-Fi públicas), combater o bloqueio no DNS nível (o DoH não pode substituir uma VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho se for impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar através de um proxy).
Se em uma situação normal as solicitações DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, então no caso do DoH, a solicitação para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, onde o resolvedor processa solicitações por meio da API da Web. O padrão DNSSEC existente utiliza criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego contra interceptação e não garante a confidencialidade das solicitações. Atualmente cerca de
Fonte: opennet.ru