Handelsförbund
För att förstå den övergripande fördelen med att använda kryptering för DNS-trafik anser föreningarna att det är oacceptabelt att koncentrera kontrollen över namnupplösning på en hand och koppla denna mekanism som standard till centraliserade DNS-tjänster. Speciellt hävdas det att Google går mot att introducera DoH som standard i Android och Chrome, vilket, om det kopplas till Googles servrar, skulle bryta den decentraliserade karaktären hos DNS-infrastrukturen och skapa en enda punkt av misslyckande.
Eftersom Chrome och Android dominerar marknaden, om de inför sina DoH-servrar, kommer Google att kunna kontrollera majoriteten av användarens DNS-frågeflöden. Förutom att minska tillförlitligheten hos infrastrukturen skulle ett sådant drag också ge Google en orättvis fördel gentemot konkurrenterna, eftersom företaget skulle få ytterligare information om användaråtgärder, som skulle kunna användas för att spåra användaraktivitet och välja relevant reklam.
DoH kan också störa områden som föräldrakontrollsystem, tillgång till interna namnområden i företagssystem, routing i optimeringssystem för innehållsleverans och efterlevnad av domstolsbeslut mot distribution av olagligt innehåll och utnyttjande av minderåriga. DNS-spoofing används också ofta för att omdirigera användare till en sida med information om slut på medel hos abonnenten eller för att logga in på ett trådlöst nätverk.
Google
Låt oss komma ihåg att DoH kan vara användbart för att förhindra läckor av information om de begärda värdnamnen genom leverantörernas DNS-servrar, bekämpa MITM-attacker och DNS-trafikförfalskning (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS nivå (DoH kan inte ersätta en VPN inom området för att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete om det är omöjligt att direkt komma åt DNS-servrar (till exempel när du arbetar via en proxy).
Om DNS-förfrågningar i en normal situation skickas direkt till DNS-servrar definierade i systemkonfigurationen, då i fallet med DoH, är begäran om att fastställa värdens IP-adress inkapslad i HTTPS-trafik och skickas till HTTP-servern, där resolvern bearbetar förfrågningar via webb-API. Den befintliga DNSSEC-standarden använder endast kryptering för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar. För närvarande ca
Källa: opennet.ru