Торгові асоціації
Розуміючи загальну користь від застосування шифрування для DNS-трафіку, асоціації вважають неприпустимим зосередження контролю над перетворенням імен в одних руках і прив'язку даного механізму за промовчанням до централізованих DNS-служб. Зокрема, стверджується, що Google рухається у бік введення в практику застосування DoH за замовчуванням в Android та Chrome, що у разі прив'язки до серверів Google призведе до порушення децентралізованого характеру інфраструктури DNS та виникнення єдиної точки відмови.
Оскільки Chrome та Android домінують на ринку, у разі нав'язування своїх DoH-серверів Google отримає можливість контролювати більшу частину потоків DNS-запитів користувачів. Крім зниження надійності інфраструктури подібний крок також дасть Google необґрунтовані переваги перед конкурентами, оскільки компанія отримає додаткові відомості про дії користувачів, які можуть бути використані для відстеження активності користувачів та добору релевантної реклами.
Застосування DoH також може порушити роботу в таких галузях, як системи батьківського контролю, доступ до внутрішніх просторів імен у корпоративних системах, вибір маршрутів у системах оптимізації доставки контенту та виконання судових приписів щодо протидії поширенню нелегального контенту та експлуатації неповнолітніх. Підміна DNS також часто використовується для перенаправлення користувачів на сторінку з інформацією про закінчення коштів у абонента або для входу до бездротової мережі.
компанія Google
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокуванням на рівні DNS (DoH не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, при роботі через проксі).
Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів. В даний час близько
Джерело: opennet.ru