Vlákno názorů k článku DNS over HTTPS: nový standard pro bezpečné a soukromé DNS od Noname - ad "přináší velkou výhodu v tom, že pak...

ad "přináší velkou výhodu v tom, že pak není možné blokovat pouze DNS provoz, který je namíchán s HTTP"
No tak tohle je totalni nevyhoda. Ja chci mit moznost blokovat DNS a http oddelene. A ne proto, abych blokoval dns a povolil http (proboha, proc?), ale abych povolil dns a zakazal http.

To neni chyba v clanku? Opravdu tam nemelo byt spis "...prinasi velkou NEvyhodu..."???

Neboj, jeste smtp over https, snmp, dhcp, ... proc by mel mit kazdej protokol svy porty a behal po siti sam, kdyz to vsechno muzem protlacit pres http a poslat guuglu.

A skončí to ARP over HTTPS... Co kdyby někdo na segmentu LAN vystopoval tvou MAC adresu?

Tu je optimizmus autora predcasny.

IP adresy DNS musia byt z definicie well-known. A kedze su well-known pre browser, mozu byt rovnako well-known pre pravidla vo firewalloch.

V principu ti muzu tuhle kokotinu provozovat na stejny IP na ktery bezi google, gmail, ... prihodis to jako ISP do firewallu?

Ako ISP by som takuto vec neriesil, pretoze by to bolo na zakaznikoch.

Riesil by som to ako prevadzkovatel siete v nejakej organizacii. Boli by dve moznosti:

- zlozitejsie riesenie: pakety na DoH maju specificky obsah, so specifickym SNI (plati aj pre TLS 1.3). Dropovat tie.
- jednoduche riesenie: zaviest natvrdo proxy.

Nakoniec to narobi problemy akurat v mensich firmach, ktore nemaju adminov, co maju priestor na riesenie takychto veci. Domaci pouzivatelia budu mat uplne smolu, pokial niektory z clenov rodiny nie je nadsenec, ktory to vie tiez urobit.