DoH в картинках

[GamePad64]

Никак не могу понять, зачем нужен HTTP в DNS. Почему нельзя было обойтись DNS over TLS?

[Ruich]

Вот краткое сравнение нескольких решений:
dnscrypt.info/faq

[SemaIVVV]

В этом DNSCrypt-е всё хорошо, но нет нормальных серверов только. Половина доменов, которыми я пользуюсь — не резолвятся через него. Я вот не понимаю, как так можно держать ДНС службу, которая не знает о существовании половины доменов. Пробовал страны менять и т.д. — такое ощущение, что они просто между собой синхронизируют списки, а из вне ничего не подгружают.

[Ruich]

А можете примеры написать? Интересно, может у меня тоже они не открываются, потому что пока что не сталкивался с такой проблемой.

[YourChief]

До недавнего времени просто не было адекватных реализаций DNS over TLS. В unbound она появилась достаточно давно, но без проверки имени в сертификате сервера. Полноценная проверка появилась только в версии 1.7.1 в апреле этого года.

[eri]

Интересная статья, но её в 2х словах можно передать так:

Мы боимся что кто-то вас подслушивает, поэтому мы сольём всё о вас Cloudflare

[YourChief]

CF не единственный провайдер, который поддерживает DNS-over-TLS. Есть ещё quad9, например.

[eri]

1) никто не меняет умолчания.
2) Вас отслеживает гугл, местами яндекс. И это неизбежно. CF активно внедряет сервисы днс, не только DoH, месяц назад была ещё новость про новую альтернативу восьмеркам-четверкам. А 8.8.8.8 — лишь ленивый эникей не пропишет альтернативной или основной днс.

п.с.
Сейчас 8.8.8.8 идут с завода на онлайн-кассах!

[ATwn]

Получается, что DNS запросы будут идти мимо ISP?
Задумка неплохая, но тогда Cloudflare должен обеспечить инфраструктуру локальных DNS-серверов/резолверов по всему миру. Не слишком ли это будет для них накладно?

[eri]

окупится ещё до внедрения ;)
Cloudflare продают трафик, чем больше трафика — тем лучше.