Názory k článku DNS over HTTPS: nový standard pro bezpečné a soukromé DNS

zajimalo by me, kdy cz nic planuje dns over https

"DNS over HTTPS" se mi zda jako dobry napad pro mobilni telefon, ale predstava, ze prohlizec na domacim PC bude ignorovat lokalni DNS server ziskany z DHCP a bude se dotazovat primo nejakeho globalniho DNS serveru me prilis netesi. Pro pristup na lokalni zdroje budu nucen pouzit IP adresy, v budoucnu pak dlouhe IPv6 adresy. Snad to pujde v prohlizeci manualne vypnout a snad bude dostupny modul DoT pro router, ktery bude sluzbu bezpecneho DNS nabizet zbytku lokalni site....

Sorry, ale NECHCI si platit doménu a NECHCI mít ve veřejné DNS svoje lokální stroje jenom proto, abych si nemusel pamatovat IP adresy. Je to bezpečnostní riziko a nepotřebuju, aby někdo viděl, že na 2001:abcd:ef12:5600­::7 je tiskárna s webovým rozhraním. A musí se s tímhle tvým modelem řešit statisíce vypnutí/zapnutí strojů v desetititsících LAN v domácnostech ve veřejné DNS infrastruktuře (protože i domácí krabička za 500 by se stala veřejným serverem).

Takže svoje stroje mám (zatím) v doméně .local na lokálním unboundu a nic na tom měnit nehodlám. I když po 6ce chodí 80% trafficu.

Chce to nějaký "LNS - Local Naming System":
- Komunikace po TLS se zařízeníma, co budou mít registrovaný klíče (soukromí je soukromí)
- Každý zařízení se tam ohlásí při přidělení IPv6
- S timeoutem (například pro případ pádu systému nebo přerušení napájení)
- S formátem dat klasickýho DNS
- S volitelnou možností přidání odkazu na LNS do DNS

Pak by z pohledu uživatele byl počítač normálně vidět přes jméno jako z DNS ( např. tiskarna.local ), ale kdo nemá klíč k LNS, ten se k tomu prostě nedostane. A když chceš jít na server zvenčí, buďto si na stroji zadrátuješ LNS server natvrdo, nebo služba zkusí lns.mojedomena.tld

V tej dobe sme tiez pouzivali dial-up. Dalsia vec, ku ktorej sa vraciat nebudeme.

V praxi je to tak, ze:

1. split horizon DNS existuje a bude existovat, bez ohladu na to, co si niektori ludia okolo DNS zelaju; existuje na to dostatocny pocet subjektov s dostatocnym impactom.

2. rovnako budu existovat lokalne resolvery;

3. pokial niektory software nebude podporovat lokalny resolver, bude v organizaciach z bodu 1 vyradeny zo zoznamu podporovaneho software a nahradeny takym, ktory lokalny resolver podporuju.

4. goto 1

PS:

a) Samozrejme, ze z DNS sa moze dozvediet, na akej IP adrese je tlaciaren alebo ine zariadenie. Staci resolvovat SRV zaznam z _ipp._tcp.domena, t.j. DNS-SD, ktoru pouzivatelia tiez chcu. Analogicky pre dalsie sluzby.

b) kazde priradenie adresy cez SLAAC alebo DHCPv6 moze mat za nasledok zmenu IP adresy. Uz len spomenuty pripad: pouzivatel sa dostane mimo dosahu wifi, preroamuje do inej siete, dostane inu IP adresu... a uz je DNS neaktualny.

c) "local naming" existuje, vola sa mDNS, ale jeho obmedzenie je, ze funguje iba link-local. Kedze existuje dostatocny pocet organizacii, spomenutych v bode 1 vyssie, ktore chcu, aby im to fungovalo cez viacero subnetov, napriklad z routovanej VPN, tak to celkom neriesi problem, ktory riesit treba.

d) ked sa niekomu strati signal, a je preroamovany do inej siete, je to pre neho signal, ze uz nema opravnenie pristupovat k danemu zdroju. Aby to opravnenie ziskal naspat, potrebuje mat VPN. VPN kludne moze byt na mobilnych zariadeniach always-on, s vynimkou definovanych AP, takze pre pouzivatela sa nic nemeni, ale prevadzkovatel bude kludnejsi, pretoze komunikacia bude vzdy sifrovana bez ohladu na aplikaciu.

V době, kdy byl dostatek IPv4, tak domácí PC byla vzácnost a pokud lezlo někam ven, tak přes modem a místo IP adresou se identifikovalo telefonním číslem. Teď jsme v situaci, kdy byt s čtyřčlennou rodinou má 2-3 smart TV, multifunkční tiskárnu s LAN, minimálně dva tablety a čtyři smartfouny + 1-3 PC. A "router" k tomu. Takže kdyby to chtěl tatínek propojit s NASem dohromady, má DNS 10-15 záznamů, který se dynamicky mění (nehledě na příchozí návštěvy atd.). Takových bytů máš v paneláku klidně 30 a takových paneláků na jenom sídlišti 50. Počítej 150 domén jenom pro takový sídliště. A hodně přehledný domény jako novak35445.za­kaznik.isp.cz. A u ISPíka pěkně velký DNSko, který bude resolvovat doménu .zakaznik.isp.cz a reagovat na každý vykopnutý kabel z modemu, aby záznamy byly aktuální. Fakt super.

LNS by totiž řešilo dva problémy IPv6. Zkus automaticky narvat stroje do DNSka, když mají jenom IPv6 adresu a nemáš v síti DHCPv4 ani AHCP. Ani s *HCP na IPv6 totiž nemáš vyhráno. A domácí zónu jsem ještě nikde implementovanou neviděl.

Takhle stačí zapnout zařízení, to se spojí s domácím routerem, pošle mu podepsaný záznam, kde je a po ověření je vzdálený zařízení dostupný z domova a sosne aktuální stav. Hned vidí jména strojů v lokální síti např. file manageru. Jak když lezeš v LAN na Sambu. A to včetně těch, kdo jsou v divočině.

V prohlížeči to vypnout (zatim) jde (firefox). Dokonce šla nastavit preference zda zkoušet první dns a pak dnsohttps, a preference ipv6 prvni a dokonce i url, kde dnsohttps dotazovat (klidne lokal).

Skrývání lokálních strojů za nat mi připadá vždy jako security by obscurity. Tohle má imho řešit správně nastavený firewall. Tím, ale neříkám, že obhajuju globalni dns. A vzdy si svoje zarizeni muzete pridat docasne treba do /etc/hosts, nez si rozjedete vlastni instanci.

Btw je uz podpora dns over https v majoritních implementacích dns?

hosts sposuta appek vesele ignoruje. V nekterych pripadech i chrofox.

Ona platba za domenu je stejna pitomost jako platba za IP. Bohuzel se to takhle zmrvilo, ze si z toho par vyvolenych udelalo kseft. Protoze provoz HW by meli platit ISP z penez od zakazniku (stejne jako platej provoz routeru, switchu atd atd) a at si pak kazdej regne co chce.

Naopak, nejakou bydefault (sub)domenu se kterou si pak muzes delat co chces bys mel dostat pridelenou automaticky s podepsanim libovolny smlouvy na pripojeni.

Klice nikdo nastavovat nebude, ale od tohodle tu je zeroconf aka avahi.

Zeroconf/avahi su link local. Pokial to bude trosicku pokrocilejsi pouzivatel a zapne si na routeri alebo nas vpn, tak mu to bude pri pristupe zvonka presne na dve veci.

Jisaku, neblabol, zase zvanis vohovne kterymu nerozumis.

Cetifikatu je upne uprdele jestli ma seznam.cz IPcko 77.75.77.53 nebo 192.168.1.2.

Stejne tak vis hovno o .local, to je automaticky pridelovana domena v pripade, ze v siti ZADNY DNS ... NENI!!!

Lokalni DNS se ty trotle pouzivaji predevsim proto, ze kdyz chcipne ta linka ven, tak se kupodivu ocekava, ze unitr vse pobezi dal. A ne ze chcipne cela firma.

A tusis ty vubec ze DNS muze IPcek poslat i vic? A ze kazda normalni aplikace vyzkousi ... vsechny? A tusis ze ti i to verejny DNS posle uplne jinou IP klidne s kazdym dotazem? Protoze se tak resi load balance?

Úplně nechápu, co jste tímto příspěvkem měl na mysli, každopádně správu poddomén globálními DNS považuju obecně za nekoncepčnost, to by si měla vždy řešit sama síť, na kterou by měly být dotazy DNS na poddomény delegovány. Dělení sítě a jejích adresních prostorů taky neřešíte kdesi v pr-deli v Americe. A důvodem k tomu určitě není bezpečnost, ale centralizace správy sítě do jednoho místa a rychlost, jednoduchost a možnosti správy.

Už někoho napadlo, že se to zavádí proto, aby některé domény šly lépe centrálně zablokovat?

a nebo naopak aby se nedaly domény lokálně blokovat a my dostali pravidelnou denní dávku všudypřítomné reklamy, poskytovatelé reklamního obsahu přicházejí o příjmy ...

Spis se to zavadi, aby se rozbil internet uplne, protoze spousta DNS ti poskyten JINOU ip podle rozahu ze kteryho se ... TVUJ DNS pta. Takze dostanes v CR trebas IPcko stroje kterej je nekde v okoli a mas k nemu po siti blizko, kdezto kdyz se zepta DNS z US, dostanes emerickou IP ...

Proste to moc dlouho a moc spolehlive funguje, a predevsim je to zcela decentralizovany, coz se musi zakazat a rozbit.

Bez obav, dostanes spravnou IP. Tvuj duveryhodny DNS od spolecnosti Google totiz bude vedet uplne presne, kdo a odkud jsi :D

V tom nenastane žádná změna oproti současnému stavu.

Záměrně vycházíte z toho, že jediným poskytovatelem uvedené služby bude Google. Klasická ukázka manipulace, jen je mi záhadou, že Vám na to vůbec někdo skočil.

Můžete spustit (např. někde v zahraničí) svůj vlastní DNS-over-HTTPS server, který bude pouhou proxy na původní DNS od Vámi zvolených poskytovatelů. Můžete samozřejmě realizovat i službu opačnou, tj. DNS pro své (legacy) klienty, která bude požadavky směrovat na DoH stroj (opět Vámi vybraného) poskytovatele.

Toto může být cesta, jak se ze zemí "za firewallem" dostat k blokované službě.

Btw. počet poskytovatelů služby DNS není kdovíjak vysoký (https://www.iana.org/domains/root/servers) a o jejich nezávislosti můžete rovněž poměrně dlouho debatovat.

Sorry, ale dejme tomu, že jsi v Brně. Tvůj ISP má resolver s cache v Brně. Nejbližší root a TLD server je v Praze. Tvůj prohlížeč obsahuje seznam DoH resolverů, ze kterých je nejbližší v Mnichově.

a) Jakou výhodu pro tebe má, když místo lokálního DNS resolveru v síti toho 100%?
b) Jakou výhodu má pro tvýho ISP, že dotazy na DNS neodbavuje cache resolveru, ale tečou mu do mezinárodního tranzitu?
c) Jakou výhodu pro BFU má, že server v Praze musí přidat ručně, zatímco klasický DNS resolver se nastaví sám rovnou v síti ISP?
d) Jak ti bod a) ovlivní latence při načítání stránek?*

* kvůli tomu vymýšlí posílání DNS odpovědí dřív, než se na ně ptáš, a podobný prasečiny s miliardou děr.

Problem je spis s ochranou soukromi. Na druhou stranu, v kombinaci s NATem to nemusi byt tak hrozny. Az bude mit kazdy svou verejnou IP, bude to horsi.

Na druhou stranu, kdyz prijdu do nejake budovy, prippjim se na eduroam, a zjistim, ze mi v ni nefunguje resolvovani, protoze nekdo blokuje dns dotazy na 8.8.8.8...
Doufam, ze DNS over TLS bude by defaul ignorovat udaje z DHCP a bude chodit po portu 443...

Jak nenapada? Uplne stejne, jako ted, jen misto X ISP prikaze stat zablokovat domenu jen Googlu a Cloudflare, pricemz pro efektivni smazani domeny z internetu bude stacit jen ten Google, ktery jiste rad vyhovi, plus mozna zablokuje neco navic, kdyz se mu to bude hodit.

Misto X (= vetsiho poctu) DNS serveru budou dva, resp. jeden, protoze Cloudflare muzeme ignorovat, jeho DNS over HTTPs implementuje maximalne Firefox s uzivatelskou zakladnou vytrvale smerujici k nule.
Tzn. posileno je to tim, ze pro stejny vysledek staci provest zablokovani na jednom, misto na X mistech.

A treba vobec nieco Googlu/Cloudflare prikazovat?

Obe firmy uz maju za sebou precedens, kedy zrusili domenu, pretoze sa nepacila im. Bez akehokolvek prikazu od statu.

Dalsi pitomost, ktera problem neresi, a navic prinasi nekolik dalsich...

Asi tak. Zase se někdo po večerech nudil, flašky s rumem už byly prázdný, tak rychle začal sepisovat RFC, než vystřízliví.

Když se člověk podívá, jak klasický DNSko funguje, rozdělí se dotazy (na root levelu se ptá jenom na TLD apod.), v síti je jeden DNS resolver, tak je ztráta soukromí minimální. S DoT útočník vidí jenom to, že se někdo ptal na TLD .cz na nějakou doménu, neví na jakou. DNS pro .cz ví, že se někdo ze sítě XY dotazoval na root.cz, ale neví kdo přesně... A díky cache v DNS ani nevidí všechny dotazy. Vypadne jeden server, odpoví jiný.

Teď se ještě vožungři můžou zaměřit na to, aby veškerá komunikace šla na "agregátor", který teprve bude komunikovat s HTTPS servery místo něho, protože někdo může podle IP adresy vidět, s kým se síť vlastně baví... Ideálně agregátor v rukách státu nebo velké firmy, která ví, co je pro uživatele dobrý.

Správný řešení je, že pokud se objeví bezpečný standard, nahrazující původní nebezpečný/ne­šifrovaný (telnet->ssh, ftp->sftp, dns->DoT...) a začne ho používat > 60% uživatelů na netu, za půl roku se stane povinným a za rok od dosažení 60% zablokovat komunikaci s ním na veřených sítích. Jinak se furt budou vymýšlet rovnáky na ohybáky a další krávoviny, jak to udělat, když to někdo nechce udělat správně. Takhle budou sabotéři out of busines a hotovo.

Mám nejradši tyhle konstruktivní příspěvky do diskuze, které jasně vysvětlí, proč je to špatně, aby se o tom dalo dále odborně flamovat.

Pokud nekdo nevi proc je to spatne asi by nemel lizt na root, ale takovych je tu zjevne driva vetsina.

A kam maji chodit novacci, na Novinky?

Když něčemu nerozumím, začnu tím, že se pokusím si o tom něco přečíst (a informací je tady dost). Pokud je něco nejasnýho, zeptám se.

Rozhodně bych jako začátečník nešel do toho, že bych kategoricky na serveru o autech hodnotil nějakou vychytávku kolem turba v motoru, když o autech vím jenom jak se řídí, jak zhruba funguje čtyřtaktní spalovací motor a jaký je rozdíl mezi bubnovou a kotoučovou brzdou.

ad "přináší velkou výhodu v tom, že pak není možné blokovat pouze DNS provoz, který je namíchán s HTTP"
No tak tohle je totalni nevyhoda. Ja chci mit moznost blokovat DNS a http oddelene. A ne proto, abych blokoval dns a povolil http (proboha, proc?), ale abych povolil dns a zakazal http.

To neni chyba v clanku? Opravdu tam nemelo byt spis "...prinasi velkou NEvyhodu..."???

Neboj, jeste smtp over https, snmp, dhcp, ... proc by mel mit kazdej protokol svy porty a behal po siti sam, kdyz to vsechno muzem protlacit pres http a poslat guuglu.

A skončí to ARP over HTTPS... Co kdyby někdo na segmentu LAN vystopoval tvou MAC adresu?

Tu je optimizmus autora predcasny.

IP adresy DNS musia byt z definicie well-known. A kedze su well-known pre browser, mozu byt rovnako well-known pre pravidla vo firewalloch.

V principu ti muzu tuhle kokotinu provozovat na stejny IP na ktery bezi google, gmail, ... prihodis to jako ISP do firewallu?

Ako ISP by som takuto vec neriesil, pretoze by to bolo na zakaznikoch.

Riesil by som to ako prevadzkovatel siete v nejakej organizacii. Boli by dve moznosti:

- zlozitejsie riesenie: pakety na DoH maju specificky obsah, so specifickym SNI (plati aj pre TLS 1.3). Dropovat tie.
- jednoduche riesenie: zaviest natvrdo proxy.

Nakoniec to narobi problemy akurat v mensich firmach, ktore nemaju adminov, co maju priestor na riesenie takychto veci. Domaci pouzivatelia budu mat uplne smolu, pokial niektory z clenov rodiny nie je nadsenec, ktory to vie tiez urobit.

"těsněji spojuje prohlížeč s konkrétním poskytovateli služby" - dalsi blocker. kdo, sakva, tyhle napady vymysli? proc?
kdyz nekdo nechce dns a http, tak at pouzije tor.

Ze prej bezpecnost, to jiste ... budeme pekne vase dns prasit centralne guuglu, to aby vedel kam lezete i kdyz tam nejakym omylem nema svuj smirovaci script ... a kdyby to nahodou nestacilo, tak mu naprasime aspon certifikat (jak jinak nez povine zverejnenej v prave jeho ulozisti), takze si to stejne dohleda.

Vyzkouseli jsme, jak funguje decentralizovany system. Ukazalo se, ze nefunguje. Lidi bezne nejsou ochotni tolerovat moji volbu nepouzivat zadny DNS server z jejich infrastruktury.
Tak proste bohuzel pro vsechny je treba ten pristup nahradit

"Lidi bezne nejsou ochotni tolerovat moji volbu nepouzivat zadny DNS server z jejich infrastruktury."

Ty zas nejsi ochoten tolerovat jejich pozadavky pri vyuzivani jejich infrastruktury, proto je nejjednodussi ji nepouzivat - kde je problem? Obe strany budou spokojene.

Kdezto Ty, jako spravny dobroser, to chces kvuli svemu malemu problemu naordinovat globalne vsem....

1) Používáš jejich síť.
2) Oni určují pravidla jejich sítě.
3) Oni odpovídají za to, že co se v síti děje, je v nějakých zákonem daných mantinelech.

Pokud nesouhlasíš s pravidly, zkus domluvit lepší, nebo (v případě blokování služeb s ohledem na síťovou neutralitu) požádej regulátora o asistenci, nebo používej jinou síť. Místo blokované ad-hoc WiFi můžeš pořád používat mobilní data.

Decentralizovaný systém kupodivu funguje. Doteď nemají BFU problém dostat se na libovolnou webovku, která není na seznamu MFČR. Jedinej problém je, že někteří nepoužívají DNSSEC (což se dá řešit přes VPNku na domácí resolver). Zpoždění bude +/- stejný, jako když požádáš HTTPS server, aby se zeptal DNS serveru,... Domácí resolver máš pod kontrolou, můžeš si ohlídat, že třeba neposílá plnou URL na root DNS. A že používá DNSSEC. Kdo ti tohle zaručí u prostředníka?

A pokud jde o VPNku, tak to by měl být standard. Pokud nechodí (třeba na WiFI v hospodě), je potřeba kontaktovat pingla a vysvětlit mu, že jsi měl v plánu u nich udělat firemní akci pro padesát lidí, ale protože se bezpečně nedostanou z noťasů na firmu, slušně se ho zeptej, jestli v okolí není někdo, kdo to umí. Když to udělá 20 lidí, najednou tam VPN pojede.

Tak mozna myslenka zabezpeceni dotazu je uslechtila, ale uz si dokazu zive predstavit praxi:
- Vsechny Androidy tam budou mit prednastaveny jeden konkretni (napodobne pro jine platformy)
- Typicky BFU si to nikdy v zivote nezmeni
- I kdyby se typicky BFU proti vuli Googlu vzeprel a v tom dotazu kterej tam pri vytvareni uctu je jestli GDPR souhlasi s synchronizaci dal ne, tak stejne jeho historie browseni v podobe DNS ober TLS/HTTPS potece dal k Velkemu Bratrovi
- Pro tech par zlomku procenta uzivatelu, kteri vedi ze si maji zvolit jineho DNS poskytovatele jestli se chtej zbavit smirovani stejne uz ted pouzivaj napr. always on VPN a pro ne to nepredsavuje zadnou zmenu

Zaverem nevim jestli vic neduverovat providerovi, ktery samozrejme ze zakona loguje taky, ale aspon se obvykle nezivi prodejem soukromi, nebo jednomu z nekolika globalnich hracu, ze kterych nejmene u jednoho je vseobecne smirovani zakladnim business modelem.

Zapomínáš ještě na change log FF a známou větu "95% uživatelů to nevypínalo, odstraněn check box a zadrátováno natvrdo"

Uz tu par desitek let mame ... voiala ... ipsec, takze netreba ani vymejslet kokotiny na tema kazdej protokol budem sifrovat zvlast, kazdej jinak, a nejlip, jeste kazdou cast jinak. Viz trebas narovnavak na vohejbak na tema nesifrovany hlavicky https ...

Jenze vis, to by misto sracek musel nekdo neco realne delat ... https://bugzilla.mozilla.org/show_bug.cgi?id=14328 ... tohle je muj oblibenec, na vyroci zapaluju svicky - podle poctu let, ale brzo to budu muset omezit, spis na pocet desetileti.

Hlavně je to kvůli tomu, že by to prohlížeč neměl pod kontrolou a musel by spoléhat na konzervativní adminy. Takhle si to můžou naprasit sami. Vítej ve světe devops, dockerů a flatpacků. Spolupráce se nekoná a NIH syndrom na každém kroku.

Jo, udělají si to stylem aktualizace aplikací na Widlích. LibreOffice zobrazuje v pravým horním rohu ikonu, že mám stáhnout novou verzi. Pak s objeví u SysTraye bublina, která chce novou Javu a TortoiseSVN zase házelo požadavky na aktualizaci do okna. A vždycky taková aplikace leze tam, kam nemá ( = co má JRE co o své vlastní iniciativě hledat na webu novější kopii sebe sama? ), vždycky se to píše jenom tak mimochodem a vždycky je tam velký riziko bezpečnostní díry... A celý snažení přitom funguje jako rovnák na ohybák, protože M$ nedokáže zajistit aktualizaci včetně aplikací třetí strany.

Hm, aktualizace aplikace treti strany nejsou problem MS (btw, existuje store)...stejne jako to doted neresi jednotlive distribuce linuxu ve chvili, kdy tam ta aplikace neni.

Kazda distribuce linuxu umi pridat libovolnej pocet externich repository, klidne i lokalnich, kde ta aplikace je. Aktualizauje se to pak cely sakum prdum jedinym prikazem. Na widlich naprosto neresitelny.

Mimochodem, soudruzi z M$ pokrocili, uz neumej pres widloupdate aktualizovat ani VLASTNI tvorbu....

M$ Visual ... pouziva presne to co psal Petr M - cosi kdesi si to samo stahuje a samo instaluje.
M$ SQL management studio - to te posle na web, kde si mas ten exac stahnout a nainstalovat.

Neexistuje zadnej zpusob jak bys centralne zjistil, kde je co v jaky verzi, a jestli na to je nebo neni verze novejsi, natoz abys zjistil, co ze ten kterej patch vlastne dela. JO, muzes to instalovat, pak dopadnes jako aktualne s widlema 10 ... proste ti to tu a tam smaze nejaky ty soubory, nu coz, soubor sem nebo tam ...

Když tam aplikace není, hodím tam 3rd party repo.

A aktuální systém včetně aplikací mám kompletně pořešený jedním řádkem v terminálu:

sudo nice -n 20 dnf -y update

Pokud je tam i core, tak restartuju, jinak postupně naběhnou jiný verze. A dělám to, když chci já, ne nějaký pošuk za oceánem se systémem a zbytek nikdy.

tenhle standard snad vyšel jenom kvůli zvýšení příspěvků v podobných diskuzích, ta se bude dobře ukazovat markeťákům, až se bude prodávat reklama...

Jakou to má výdodu proti třeba dns crypt, který se šifrovaně spojí s vybraným serverem ?

To, ze by default (a teda pre vsetkych beznych uzivatelov, ktori nebudu robit stojku na hlave po kazdej zmene siete) to bude pouzivat servery pod kontrolou zopar korporacii - Google, Cloudflare - namiesto predosleho distribuovaneho systemu.

Lahsie sa bude cenzurovat.

Já jsem to pochopil tak, že server DNS over HTTPS bude moci provozovat, kdo bude chtít. Takže stejně jako s DNS dnes. Takže jediné 2 věci, o kterých má smysl diskutovat, jsou
1. zda to není nadbytečný protokol (kvůli čemuž se ale Koule nepřestane točit),
2. zda to nebudou aplikace vynucovat, ale to není chybou protokolu, ale aplikací, a nijak se to neliší od vynucování běžných serverů DNS aplikacemi.

Jedna věc je to provozovat. Druhá věc je zajistit, aby o tom programy věděly... Aby to mimo "Velkou Trojku" ( G, FB, CloudFlare, ... ) nebylo stejný, jako se self-signed certifikátem.

Ano, bude si ho moct prevadzkovat, kto bude chciet, akurat v diskusii je zopar dalsich bodov:

3. Bude tvoj lokalny resolver aj nejaka aplikacia pouzivat?

3a. Firefox umoznuje konfiguraciu... cez about:config. Budu bezni pouzivatelia menit resolver po kazdej zmene siete (s laptopom aj niekolkokrat denne)? Tazko.

3b. Sila defaultov: ani IE6 nebol povinny, a aky mal podiel a co sposobil.

3b. Nezrusia casom tuto moznost, ze "ved aj tak to nikto nepouziva"? (pri danom ux... ani sa nedivim). Uz sa v minulosti stalo.

4. Preco vobec obchadza system? Systemovy resolver tiez moze pouzivat DoH, dokonca konfigurovany cez DHCP, takze pouzivatelia nemusia nic rucne konfigurovat. Aplikacie pouzivajuce getaddrinfo() a spol. ani len netusia, ci sa pouziva 53/udp alebo DoH, je to pre ne transparentne. Preco musi byt browser nieco extra?

"Preco musi byt browser nieco extra?"

Aby blbečci v Mozille mohli vykázat i jinou činnost, než změny loga a genderový války mezi klukoholkama a holkoklukama.

Bude to jako se SocialAPI. S velkou slávou se to zavádělo, pak to celý svět potichu ignoroval a pak se vykázala práce na odstranění SocialAPI, protože to nikdo nepoužíval a běželo to bez toho líp. Nic se nezměnilo, ale 2x se vykázala práce na vylepšení produktu. Tož asi tak...

dnscrypt ma v realnem svete malou podporu, ten standard nebyl akceptovan...

Tady je pekne srovnani s ostatnimi technologiemi vcetne DoH. Prekvapive, dnscrypt vychazi jako vitez...
;-) Ale mozna ze je skutecne nejlepsi... V realnem svete ma malou podporu.
https://dnscrypt.info/faq

To je stejny jako s DANE, resi problem zdaleka nejlip, je primitivne trivialni na implementaci, a proto ho nikdo neimplemetuje, protoze neni cetralizovany a to se nehodi do kramu guuglo, jehoz he chrozilla pobockou.

Uvedomil jsem si jednu slabinu. Prohlizec nejprve musi ziskat IP adresu DNS resolveru, treba "cloudflare-dns.com".
Prvni dotaz tedy nemuze jit na jmeno ale na IP adresu DNS serveru. Nejprve jsem si myslel, ze v certifikatu nebudou IP adresy, ale jsou tam, takze se pocita, ze prvni dotaz muze jit i na IP adresu treba 1.0.0.1 nebo 1.1.1.1. Ale IP adres je v certifikatu omezene mnozstvi, takze by firewall mohl tyto adresy zablokovat a tim DoH prakticky vyradit. Prohlizec by se musel pokusit ziskat IP adresy pres klasicke DNS a tam uz by zase mohlo dojit k filtrovani

Certifikat lze ziskat treba timto prikazem

$ gnutls-cli --print-cert cloudflare-dns.com 443 < /dev/null | tee x.pem

Vlastni data o DNS ulozena v certifikatu pak timto; takze staci zablokovat pristup na 4 IP adresy (2xIPv4+2xIPv6):

$ openssl x509 -in x.pem -noout -text | grep DNS
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Pro 9.9.9.9 bude blokovani trochu slozitejsi, certifikat obsahuje vice IP adres. Ale tech adres tam muze byt jen konecne mnozstvi....

$ gnutls-cli --print-cert 9.9.9.9 443 < /dev/null | openssl x509 -noout -text | grep DNS

A Google v certifikatu zadne IP adresy definovany nema, takze dotazem na IP adresu nelze ziskat verohodnou odpoved (certifikat nemusi byt verohodny...)

$ openssl s_client -connect 8.8.8.8:443 </dev/null | openssl x509 -noout -text | grep DNS

V predchozim prispevku je chyba, DoH nema Google na 8.8.8.8, ale na dns.google.com. Nicmene, ani v tom certifikatu zadne IP adresy nejsou...

$ time curl -sH 'accept: application/dns-json' 'https://dns.google.com/resolve?name=root.cz&type=AAAA&do=true'

Jeste jeden komentar. Chybejici IP adresa v certifikatech Google pro DoH je problem:

$ gnutls-cli dns.google.com 443 < /dev/null
$ host dns.google.com
$ gnutls-cli 172.217.23.206 443 < /dev/null

Srovnejte s

$ gnutls-cli 9.9.9.9 443 < /dev/null
$ gnutls-cli 1.0.0.1 443 < /dev/null

Pár poznámek:
1. Nelíbí se mi jak prohlížeče přebírají stále více funkcí OS. Celý OS má být jen bootloader pro Chrome/Firefox/co­koli? Jaký to má smysl?
2. Tak jako prohlížeč teď obsahuje seznam důvěryhodných certifikátů (kterým Já nedůvěřuji ale při každé aktualuzaci se mi nacpou z5), bude teď obsahovat seznam důvěryhodných DNS?
3. Argumenrace proti NAT/PAT je jak v kruhu - něco jako: Vchodem do jeskyní foukalo, tak jsme vymysleli dveře. Potom někdo přišel na to, že když dveře zamkne, nedostanou se dovnitř zloději. Teď ale máme tepelné clony a vchody jsou od toho aby se jimi vcházelo, tak všechny dveře zrušíme a zloděje budem řešit správně proškolenou ostrahou v každém vchodu..
4. V každé firmě je několik systémů, které slouží pouze pro vnitropodnikové potřeby. Vystavováním jakýchkoli informací o těchto systémech mimo firmu znamená vytvoření potenciálního postranního kanálu pro dosud neznámé vektory útoku na interní systémy.. Proč?

Budoucnost je SaaS, vse v cloudu. Klientsky pocitac bude zredokovan na zarizeni s WWW prohlizecem. ChromeOS...

Argumentace proti NAT není jak v kruhu. Jakmile máte dostatek IP adres (IPv6), tak bezpečnost "jako za NATem" zařídí firewall. Na DSL modemech je už dneska defaultně DROP na nová příchozí spojení přes IPv6.