Mozilla pusht also DoH. Warum zum Geier? Das Problem der Echtheit von DNS-Antworten löst DNSSEC besser. Vertraulichkeit? Wenn der “Partner” sämtliche Anfragen bekommt? Da wäre es doch sinnvoller, den DNS-Server des ISP zu verwenden. Zumal es dann bei SNI ohnehin vorbei ist mit der Vertraulichkeit — der Host-Header geht im Klartext übers Netz.
Und die Architektur ist natürlich kaputt: Erstens gehört der (validierende) Resolver so dicht wie möglich an den Nutzer, also auf dien lokalen Rechner. Und zweitens ist es einfach bescheuert, einen Resolver für einen Browser zu haben, und getaddrinfo()
für den Rest des Systems.
Nieder mit DoH!