DNS-over-HTTPS

Mozil­la pusht also DoH. War­um zum Gei­er? Das Pro­blem der Echt­heit von DNS-Ant­wor­ten löst DNSSEC bes­ser. Ver­trau­lich­keit? Wenn der “Part­ner” sämt­li­che Anfra­gen bekommt? Da wäre es doch sinn­vol­ler, den DNS-Ser­ver des ISP zu ver­wen­den. Zumal es dann bei SNI ohne­hin vor­bei ist mit der Ver­trau­lich­keit — der Host-Hea­der geht im Klar­text übers Netz.
Und die Archi­tek­tur ist natür­lich kaputt: Ers­tens gehört der (vali­die­ren­de) Resol­ver so dicht wie mög­lich an den Nut­zer, also auf dien loka­len Rech­ner. Und zwei­tens ist es ein­fach bescheu­ert, einen Resol­ver für einen Brow­ser zu haben, und getaddrinfo() für den Rest des Sys­tems.

Nie­der mit DoH!

0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.