Vlákno názorů k článku
Thunderbird 145 zapíná DNS over HTTPS a už není pro 32bitový Linux od ... - To je skvělé. :-( DoH při použití třetí...

To je skvělé. :-( DoH při použití třetí strany může naopak soukromí uživatele ohrožovat. DoH resolver totiž dostává veškeré dotazy stroje (zde aplikace) a dokáže si je přímo s klientem spojit. DoH operátor sice může slibovat že klienty nesleduje, ale věřte mu ... Navíc tato třetí strana by bez použití jejího DoH resolveru k těmto dotazům vůbec neměla přístup. Kdo jim zaplatil aby mu odesílali dotazy uživatelů ve výchozím stavu?

Ano jsou situace kdy DoH dává smysl jako v případech obcházení restriktivních síťových politik na úrovni DNS a možná v totalitních režimech. Otázka však zní zda se to týká většiny uživatelů aby to muselo být zapnuté ve výchozím stavu a jestli to má dělat každá aplikace sama?

Daleko větší smysl dává použít běžný DNS server předaný sítí třeba i s DoT. "Anonimitu" těchto dotazů na internetu pak zajišťují různé cache po cestě a to že daný resolver nepoužíváte sami. Pro většinu z nás není největším nebezpečím soukromí dotazů v koncové síti, ale podvržená data v odpovědích. Tedy spíše je důležitější DNSSEC ověřování až na úrovni systemového DNS resolveru/cache.

DoH při použití třetí strany může naopak soukromí uživatele ohrožovat. DoH resolver totiž dostává veškeré dotazy stroje (zde aplikace) a dokáže si je přímo s klientem spojit.
Zatímco když se klient dotazuje DNS protokolem … je to úplně to samé.

Běžným DNS protokolem to nedokáže - tedy není to to samé. Předně se standardně neptáte třetí strany ale firemního DNS nebo DNS serveru ISP. Druhak máte v cestě nejdřív jednu cache v systému (tedy nespojíte to s konkrétní aplikací), druhou cache máte typicky na úrovni segmentu (tedy za ní už nevíte který počítač v rámci segmentu se ptal), další cache má rekurzivní resolver na hraně sítě (odtud neodlišíte zákazníka konkrétního ISP). Kdykoliv to prochází přes cache tak dotaz dál nepokračuje pokud se tam odpověď už nachází. A rekurzivní DNS dělá query minimisation, tedy každý autoritativní DNS server vidí jen tu část dotazu který odpovídá jeho úrovni a s konkrétním klientem/aplikací si to nemůže spojit - ptá se rekurzivní DNS.

Jasně, pokud jste si nastavil v systému jako DNS server třetí stranu tak jste už o anonymitu davu přišel a navíc dotazy posíláte celou cestu nešifrované. Za ztrátu "soukromí" si pak ale můžete sám. Pak už je ale docela jedno jestli si pomůžete přes DoT nebo DoH, ale DoH má oproti DoT větší overhead kvůli HTTPS, výhodou je maximálně to že se na rozdíl od DoT hůř blokuje.

Brání něco firmě nebo ISP provozovat také DoH? Na všech těch úrovních, kde předpokládáte cache?

Jinak já bych za mnohem větší ztrátu soukromí považoval to, kdyby mé DNS dotazy sledoval provozovatel místní sítě nebo ISP, který je na základě IP adresy dokáže spojit s konkrétní osobou, domácností nebo firmou. Než to, že by je sledoval nějaký velký provozovatel DNS jako DNS4EU, Cloudflare, Google apod., kteří podle IP adresy určí leda tak ISP a obec.

Firmě nic nebrání provozovat DoH, ale to ještě neznamená že je tyto aplikace s vlastním DoH klientem budou používat a nebudou místo toho posílat dotazy třetím stranám. DoT je v tom lepší jelikož systémový resolver zkusí navázat šifrované spojení s adresou kterou získal autokonfigurací.

Provozovatel místní sítě nebo ISP nepotřebuje nutně vaše DNS dotazy aby věděl kam lezete. Ten to dost dobře tuší z netflow a případně ze SNI. Třetí strana - provozovatel DoH resolveru by tyto informace bez toho aniž by ho aplikace použila vůbec neměl.

Pokud se chcete schovat před ISP tak vám nezbude nic jiného než šifrovaný tunel do nějaké sítě které věříte že vás skryje. Pokud šifrujete pouze DNS dotazy tak děláte jen poloviční práci a ve výsledku si nemusíte pomoct.

Aby jirsak zase neblabolil o vecech, o kterych nic nevi ze?

DNS dodaz bezi na dns server ktery ma uzivatel nastaven ... a neprekvapive ma kazdy uzivatel jiny, bud sveho isp, nebo nejaky ktery mu jeho isp predhodi ... nebo zcela svuj.

Navic nastaveni dns serveru ma zcela standardizovane distribucni kanaly, bud pres dhcp nebo pres rdnss.

Zatimco tohle svinstvo nastavuje dodavatel aplikace.

Navic to zcela totalne rozbiji sitovani, to bude zase place, az pocet uzivatelu klesne na tisicinu ... i kdyz nula z nuly ... Protoze neprekvapive se spousta uzivatelu pripojuje na mailservery uvnitr sve site, ktere maji privatni adresy.

Není už na čase, abyste dostal ban, když soustavně porušujete pravidla diskuse? Navíc vaše příspěvky jsou nepravdivé, takže jich žádná škoda nebude.

DoH si nastavuje uživatel v aplikaci. Ve správně nakonfigurované síti to nic nerozbíjí, protože pokud síť zasahuje do DNS provozu a je správně nakonfigurovaná, signalizuje, že se DoH nemá používat.

Já si myslím, že nejste ve při. Jen je otázka, proti jakému odposlechu se bráníte. Klasický protokol DNS je otevřený a kdokoliv může poslouchat cokoliv. Samozřejmě místní poskytovatel má všechna data v ruce. Zároveň spousta uživatelů má ručně nastavenou adresu na veřejný resolver a tam si může jeho požadavky číst kdokoliv po trase.

DoH tohle zakryje, ale posílá pak všechna data z DNS konkrétnímu cíli v internetu. Pokud máte ale stejně nastavené v DNS čtyři osmičky, pak je lepší použít proti nim DoH než otevřený DNS. Existuje dokonce standardní mechanismus DDR (RFC 9462), který dovoluje to takhle automaticky povýšit.

Pokud se vám tedy nelíbí váš místní poskytovatel (třeba někde v kavárně), tak je pro vás DoH prospěšný, protože ukryje dotazy před místní sítí.

Jestliže vám ale naopak vadí ten veřejný cíl v internetu, pak musíte přejít na místní resolver nebo si postavit vlastní DoH.