Hlavní navigace

Názor k článku Centralizované DoH škodí ochraně soukromí, v roce 2019 i do budoucna od BobTheBuilder - "Split horizon DNS a neveřejné domény jsou zlo...

  • Článek je starý, nové názory již nelze přidávat.
  • 16. 11. 2019 6:05

    BobTheBuilder

    "Split horizon DNS a neveřejné domény jsou zlo – tohle je ten problém, ne to, co s nimi nefunguje. I přesto si s nimi prohlížeče s implementovaným DoH poradí."
    S neveřejnými doménami souhlas, ale i ty jsou poměrně běžnou realitou. Split horizon DNS je v pořádku: jak chcete používat interní servery s neveřejnými adresami (protože máme NAT), mít pro služby vystavené správné certifikáty (třeba mail.firma.cz) a přitom nespoléhat jen na hairpin-NAT a taky nemuset všechny služby mít přístupné z venku?
    Přístup přes VPN je další moment.
    V reálném světě se vám prolíná, co je uvnitř, co je (také) venku, co je na veřejných nebo privátních adresách. Jen ty privátní adresy nemají (nesmí?, neměly by?) být ve veřejném DNS. Vystavíte do internetu DNS s Active Directory?
    Chcete spoléhat na to, že Mozilla a současně Google to správně vyhodnotí a DoH vypne? I v každé další aktualizaci? Třeba když se ukáže, že kanárková doména DoH likviduje všude tam, kde by DoH dávalo smysl (hádejte, co udělá ROSKONADZOR v nejbližší době, pokud to už neudělal)?
    Ten krok je nesystémový a proto špatný. Prohlížeč dělá něco, co mu nepřísluší. A uživatel si to může zapnout (přepsat tu detekci), takže zdroj problémů pro správce, který lze jen obtížně ovlivnit. A to pro každý prohlížeč jinak.