Vlákno názorů k článku Mozilla má pravidla pro DNS-over-HTTPS a důvěryhodné resolvery od Ondřej Surý - Myslím, že velmi dobře shrnul názor většiny DNS...

Myslím, že velmi dobře shrnul názor většiny DNS komunity Geoff Huston: https://www.potaroo.net/ispcol/2019-04/angst.html
V případě DoH se s vaničkou nevylilo jedno dítě ale rovnou celá mateřská škola.
Monitorovat IoS zařízení a malware v domácích podmínkách bude s DoH prakticky nemožné.

To není workaround. Smysl toho zákona je, aby se lidé na ty weby nedostali tak snadno, což ten DNS blacklist splňuje dobře. Donutit ISP k daleko dražšímu řešení pouhou změnou výkladu půjde těžko, takže je dost pravděpodobné, že to vyšumí do ztracena – vlk se nažral, a koza zůstala celá.

Třeba si státy jednou uvědomí, že pokud chtějí vynucovat dodržování zákonů na internetu, budou muset spolupracovat.

Znění paragrafu 82 sice je jasné, v tom není problém. Problém je v tom, že se spousta ajťáků se snaží binární logiku aplikovat (například) i na právo, které tak ale nefunguje. Nikdy nemůžete vytrhnout jeden paragraf zákona a zabývat se jenom jím. S vaším přístupem by měl ISP jedinou možnost – vytrhnout síťový kabel, aby zabránil jakémukoli přenosu. Protože i něco, co může vypadat jako naprosto neškodný přenos obrázku přes HTTP může být ve skutečnosti tunelovaná komunikace s těmi zakázanými weby. Jenže ve skutečnosti neplatí, že je potřeba dodržet § 82 za každou cenu a vše ostatní jde stranou. Ve skutečnosti platí i ostatní zákony, které je také potřeba dodržovat, a které tomuhle absolutnímu přístupu k § 82 naopak brání.

Existuje i jiná alternativa - stát donutí ISP zaříznout resolvery na TRR seznamu, pokud nebudou dodržovat pravidla platná pro danou zemi. Pak se teprve uvidí, jestli DNS silům jde o soukromí uživatelů nebo o jejich data...

Sice je to složitější, ale nakonec lze jakékoliv filtrování ojebat např. tunelem či VPN. Pak byste musel skončit u toho, že bude poskytovatel blokovat přístup k jakékoliv adrese či jakéhokoliv toku, u kterého není jasné, co obsahuje. Vím, že nejpokrokovější angličtí soudruzi k tomu mají dobře našlápnuto, ale dokud nebudou Češi poserové, nemusíme tu mít každou vymoženost Západu.

Pokud jsem metodiku dříve dobře četl, ISP má povinnost bránit v přístupu pouze pokud ten uživatel explicitně neudělá krok kterým ho obejde (například změna na X.X.X.X resolver). Bohužel, defaultní nastavení významného prohlížeče už bude jistě těžší považovat za explicitní obcházení a tady vidím jisté riziko jak bude stát reagovat.

Blokování dle IP adresy je v metodice explicitně vyloučeno, protože by mohlo zablokovat i něco mimo seznam. V tuto chvíli se SNI asi moc nešifruje, tak to by nějakou chvíli možná smyslu toho nařízení odpovídalo, i když by to pravděpodobně bylo pro ISP nákladnější. Ale co nastane potom?

Tenhle argument o boji proti malware prostřednictvím DNS upřímně moc nechápu. Pokud většina sítí propouští HTTPS a zároveň nějakým způsobem filtruje DNS, proč by se měl tvůrce malwaru snažit komunikovat skrytě pomocí DNS, když může komunikovat zcela otevřeně uvnitř šifrovaného HTTPS? Představa, že správnými zásahy do DNS provozu dokážu ochránit síť před malwarem mi připadá docela úsměvná.

Nehledě na to, že celý internet stojí na principu dumb core - smart edge. Tedy chytrost má být na koncovém zařízení, ne někde po cestě. Z toho pohledu se dá říct, že DoH vlastně vynucuje původní koncepci internetu, protože nikde jinde než na konci do provozu není možné zasahovat.

Po IETF 104 jsem to dlouze zkoumal a můj názor je, že v (některých) "enterprise sítích" mají chytré firewally které sledují DNS i HTTPS zároveň a (kromě jiného) blokují spojení na adresy které neprošly nedávno firemním DNS (které mají filtrované nějakými komerčními RPZ feedy). Možná je hned neblokují a jen logují jako podezřelé, nebo tak něco. Port 853 tedy mohou snadno blokovat, známé X.X.X.X adresy taky. Tihle lidé teď mají pocit, že to byl dobrý kompromis který už nebude z velké části fungovat a tedy budou nuceni k drastičtějším opatřením, třeba HTTPS zakázat a dovolit jen skrze MITM proxy.

Aby bylo jasno, není mým cílem se jich zastávat, jen pochopit jejich motivaci. Mimochodem, u nikoho z nich jsem přímým dotazem neověřoval jak moc jsem se s tou hypotézou trefil...

No, popravdě řečeno, kdo z nás adminů může říct, že má tak zabezpečeny browser, že mu stažením nějaké stránky a následným DNS rebindingem nezaútočí jeho vlastní browser na jím spravované počítače. Zrovna tady se hodí mít DNS firewall, a DNS rebindingu zamezit (resp. zamezit resolvení "externích" domén na "interní" adresy). Potom už alespoň bude mít útočník sníženou působnost díky same-origin-policy.

blokují spojení na adresy které neprošly nedávno firemním DNS
Jak by to mohlo fungovat, když platnost DNS záznamu je často jeden den a může být i delší? Po tu dobu může klient zcela legálně záznam kešovat a nemusí se na něj ptát znovu. Nebo je to postavené na nějaké empirické zkušenosti, mají to zaplé třeba jen pro stanice s Windows a vědí, že ty Windows nikdy nepoběží déle než den v kuse a žádná používaná aplikace nekešuje záznamy na disk, aby mohly přežít restart?

Tihle lidé teď mají pocit, že to byl dobrý kompromis který už nebude z velké části fungovat a tedy budou nuceni k drastičtějším opatřením, třeba HTTPS zakázat a dovolit jen skrze MITM proxy.
Chtělo by to nějakou osvětu, že dělat díry do zabezpečení není dobrý způsob, jak zvyšovat bezpečnost. Já chápu, že je lákavá představa, že se bezpečnost vyřeší tak, že se všechna komunikace svede do jedné velké černé krabice, na které budou nepravidelně blikat dvě různě barevné LEDky, ale tak to na internetu nikdy fungovat nebude. Spíš než kompromisy, aby to vypadalo, že to funguje, by se mělo řešit, jak zajistit tu skutečnou bezpečnost. Pokud někdo potřebuje zkoumat provoz prohlížeče, ať tedy prohlížeč poskytne API, na které se připojí antivir, a přes tohle API ať prohlížeč poskytuje dešifrovanou komunikaci.