Vlákno názorů k článku
Chrome spustí experiment s DNS-over-HTTPS ve verzi 78
od oss - Stale nechapem tu snahu DoH, ked to ziadne...
-
Stale nechapem tu snahu DoH, ked to ziadne problemy neriesi https://www.root.cz/clanky/postrehy-z-bezpecnosti-sifrovane-dns-soukromi-nezvysi/ .
-
peci1Stříbrný podporovatelSoukromi to zvysi. Aspon si muzes vybrat, kdo tvuj DNS provoz vidi. U "stareho" DNS si vybrat nemuzes, videt ho muze kdokoli po ceste.
-
Ondřej CaletkaZlatý podporovatelJenže ten kdokoli po cestě právě stejně téměř všechno vidí, protože vidí komunikující IP adresy, SNI hlavičky, OCSP dotazy. S použitím DoH tak tedy v podstatě ti stávající útočníci po cestě vidí téměř totéž, a navíc všechno ještě vidí poskytovatel DNS-over-Cloud.
-
Filip JirsákStříbrný podporovatelTřeba blokování na základě českého zákona o hazardních hrách řeší DNS-over-HTTPS docela dobře.
-
Filip JirsákStříbrný podporovatel
Občas někdo tvrdí, že jeho ISP unáší DNS dotazy na své servery. Dělá to pravděpodobně pro to, že tím řeší nějaké (své) problémy s DNS – podle mne to nebývá záměr kvůli blokování. Provoz na DoH resolvery tedy blokovat nebude.
Navíc konfiguraci prohlížeče si může změnit každý uživatel sám, změnu resolveru může udělat jenom správce počítače.
-
Iba ked je DoH na dedikovanych IP.
Ked zacne Google alebo Cloudflare pouzivat rovnake IP pre DoH a aj pre svoje sluzby (resp. svojich zakaznikov) a rozlisovat az na zaklade SNI (ktora v blizkej buducnosti bude tiez sifrovana), tak blokovanie DoH zacne byt problem. Teda pokial s blokovanim DoH nechcete zablokovat aj Google Search alebo mnohe weby, ktore maju ako frontend Cloudflare.
Bude sa dat blokovat DoH bootstrap, ked resolvuje IP pre DoH sluzbu pomocou klasickeho DNS, ale to zafunguje iba na pocitace, ktore su v danej sieti napevno. Tie, co roamuju, mozu mat kludne nacachovane IP pre DoH a ani si to nevsimnu.
Preto cakam, ze v korporatoch a inych kontrolovanych sietach to pojde na vyssi level, a to vlastny CA certifikat a MITM. Alebo minimalne povinna proxy.
