Hiệp hội Thương mại
Hiểu được lợi ích tổng thể của việc sử dụng mã hóa cho lưu lượng DNS, các hiệp hội cho rằng việc tập trung quyền kiểm soát độ phân giải tên vào một tay và liên kết cơ chế này theo mặc định với các dịch vụ DNS tập trung là không thể chấp nhận được. Cụ thể, có ý kiến cho rằng Google đang hướng tới việc giới thiệu DoH theo mặc định trong Android và Chrome, nếu bị ràng buộc với các máy chủ của Google, sẽ phá vỡ tính chất phi tập trung của cơ sở hạ tầng DNS và tạo ra một điểm lỗi duy nhất.
Vì Chrome và Android thống trị thị trường nên nếu họ áp đặt máy chủ DoH của mình, Google sẽ có thể kiểm soát phần lớn luồng truy vấn DNS của người dùng. Ngoài việc làm giảm độ tin cậy của cơ sở hạ tầng, động thái như vậy cũng sẽ mang lại cho Google lợi thế không công bằng so với các đối thủ cạnh tranh, vì công ty sẽ nhận được thông tin bổ sung về hành động của người dùng. Thông tin này có thể được sử dụng để theo dõi hoạt động của người dùng và chọn quảng cáo có liên quan.
DoH cũng có thể phá vỡ các lĩnh vực như hệ thống kiểm soát của phụ huynh, quyền truy cập vào không gian tên nội bộ trong hệ thống doanh nghiệp, định tuyến trong hệ thống tối ưu hóa phân phối nội dung và tuân thủ lệnh của tòa án chống lại việc phân phối nội dung bất hợp pháp và khai thác trẻ vị thành niên. Việc giả mạo DNS cũng thường được sử dụng để chuyển hướng người dùng đến một trang có thông tin về việc hết tiền của người đăng ký hoặc để đăng nhập vào mạng không dây.
Google
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy).
Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu. Hiện tại về
Nguồn: opennet.ru