Názor k článku Veřejné DNS resolvery CZ.NIC podporují také DNS-over-HTTPS od Filip Jirsák - Míchají se tu dva různé útoky. Jedno je...

Míchají se tu dva různé útoky. Jedno je DNS rebinding – cíl útoku je připojen v privátní síti (přímo nebo třeba přes VPN), přijde s prohlížečem na www.example.com, po nahrání stránky útočník přesměruje www.example.com na adresu serveru v privátní síti. Pokud ten server má náhodou privátní IPv4 adresu, filtrování DNS odpovědí to může překazit – ale spoléhat se na to nedá. Ale hlavní problém je v tom, že ten interní server klidně odpovídá i na požadavky na www.example.com.

Druhý útok je vlastně opačný – DNS záznam intranet.exam­ple.com povede na privátní IPv4 adresu, uživatel nebude mít zapnutou VPN a útočník na tu privátní IPv4 adresu podvrhne svůj server. Jenže pokud si útočník může v síti na danou IP adresu dát svoje zařízení, s největší pravděpodobností tu síť ovládá a může tam dát i svůj DNS resolver. Tomuhle útoku brání používání a validace certifikátů.