Názory k článku
Firefox bude mít druhého poskytovatele pro DNS-over-HTTPS, bude jím NextDNS

Je možné přidat i vlastní server, např. https://odvr.nic.cz/doh

Děkujeme za tip, zasláno k přidání do níže odkazovaného blocklistu. :-D

Průběžně aktualizovaný seznam serverů k zablokování.

Příklady použití:

Unbound:
local-zone: "use-application-dns.net" always_nxdomain

Bind:
use-application-dns.net 120 IN CNAME .

Smrt DoH!

nebo: distribution/po­licies.json:

{
"policies": {
       "Certificates": {
      "ImportEnterpriseRoots": true
    },
    "DNSOverHTTPS": {
      "Enabled":  false,
      "Locked": true
    }
  }
}

Ve Windows můžete i přes GPO (a je-li počítač v doméně, tak musíte přes GPO, pak nastavení v souboru nefunguje).

19. 12. 2019, 07:08 editováno autorem komentáře

Blokování per-app přes GPO fakt nemá budoucnost, ten hnus se šíří jak mor, už to nalezlo i do curl-u.

No jo, to je hnus.
Ale to GPO nebo JSON ničemu neškodí - stejně ho potřebuju kvůli certifikátu vlastní certifikační autority.

DoH - Další krok k centralizovanému internetu

DoH za to nemůže, to je jen transportní protokol. K centralizaci tady přispívá přesun DNS do cloudu, ale ten nesouvisí přímo s DoH. Jednak lze DoH provozovat proti vlastnímu serveru, zároveň je možné přesunout klasický DNS protokol do cloudu prostě tím, že si nastavím jako resolver třeba 1.1.1.1, 8.8.8.8 nebo 9.9.9.9. Což tak ostatně spousta lidí má a ke zmíněné centralizaci tak přispívá i bez DoH.

Je sice pravda, že mohu provozovat proti vlastnímu serveru, ale existuje nějaký standardní mechanismus, jak přesvědčit všechny prohlížeče na mé síti, aby chodili přes můj DoH server, a ne přes ten cloudový?

Zatím spíš potřebujete explicitní akci, abyste DoH použil. Chrome/Chromium samo od sebe nechce měnit providera DNS. (Pokud detekuje nějakého známého, pokusí se o upgrade protokolu při zachování providera.) Firefox sám od sebe bude měnit teď pouze v USA – a ještě se uživatele zeptá na potvrzení. Jak to budou dělat ostatní... kdo ví? Třeba Windows oznámili, že na podpoře DoH (a časem DoT) budou pracovat.

Jediné co masově reálně funguje automaticky (a vím o tom) je DoT na Androidu 9+, na které zkusí automaticky upgradovat při zachování IP adresy. (Samozřejmě v takovém defaultu nemá proti jakému jménu ověřit certifikát, ale lepší než clear-text na stejnou IP.)

Z hlediska centralizace DNS zatím jednoznačně vede nešifrované UDP ke Googlu s 10–20 % uživatelů na světě: http://www.potaroo.net/ispcol/2019-09/centrality.html

Jak to bude dál je otázka, ale z celkového pohledu mi DNS nepřijde jako zásadní, spíš bych nejprve koukal na trend centralizace většiny obsahu do několika CDN. (A taky nechám stanou, že DNS-over-TLS mi dává větší smysl, ty vlastnosti jsou skoro stejné.)