Asociatii de comert
Înțelegând beneficiul general al utilizării criptării pentru traficul DNS, asociațiile consideră că este inacceptabil să concentreze controlul asupra rezoluției numelor într-o singură mână și să conecteze acest mecanism în mod implicit la serviciile DNS centralizate. În special, se susține că Google se îndreaptă către introducerea DoH în mod implicit în Android și Chrome, care, dacă ar fi legat de serverele Google, ar sparge natura descentralizată a infrastructurii DNS și ar crea un singur punct de eșec.
Deoarece Chrome și Android domină piața, dacă își impun serverele DoH, Google va putea controla majoritatea fluxurilor de interogări DNS ale utilizatorilor. Pe lângă reducerea fiabilității infrastructurii, o astfel de mișcare ar oferi Google și un avantaj nedrept față de concurenți, deoarece compania ar primi informații suplimentare despre acțiunile utilizatorilor, care ar putea fi folosite pentru a urmări activitatea utilizatorului și pentru a selecta publicitate relevantă.
DoH poate perturba, de asemenea, domenii precum sistemele de control parental, accesul la spațiile de nume interne din sistemele întreprinderii, rutarea în sistemele de optimizare a livrării de conținut și respectarea hotărârilor judecătorești împotriva distribuției de conținut ilegal și exploatării minorilor. Falsificarea DNS este adesea folosită pentru a redirecționa utilizatorii către o pagină cu informații despre sfârșitul fondurilor la abonat sau pentru a se conecta la o rețea wireless.
Google
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și a falsării traficului DNS (de exemplu, la conectarea la Wi-Fi public), contracararea blocării la DNS nivel (DoH nu poate înlocui un VPN în zona ocolirii blocării implementate la nivel DPI) sau pentru organizarea muncii dacă este imposibil să accesați direct serverele DNS (de exemplu, atunci când lucrați printr-un proxy).
Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor. Momentan despre
Sursa: opennet.ru