<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Aug 17, 2019 at 5:31 PM John Levine <<a href="mailto:johnl@iecc.com">johnl@iecc.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">In article <CABrRNSVPC8N=TpN4G8r+d0JnmR8X7X8PdfLKFQ-eVr6=<a href="mailto:FOpzpw@mail.gmail.com" target="_blank">FOpzpw@mail.gmail.com</a>> you write:<br>
>The next major advance in browser PKI is already here in Firefox. It is DNS<br>
>over HTTPS which needs to be manually turned on (separately, the default<br>
>resolver, provided by Cloudflare, also supports DNSSEC). ...<br>
<br>
For anyone who hasn't been paying attention, DoH is an incredible can<br>
of worms.  Yes, it protects your DNS query stream against snooping,<br>
but you can get that much more cheaply with DNS over TLS or DoT,<br>
described in RFC 8310.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">+1</div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Although there are some uncontroversial uses of DoH (e.g. letting<br>
Javascript apps look up TXT and NAPTR records) its main point is to<br>
hide the DNS traffic in HTTPS traffic and circumvent networks' DNS<br>
filters.  If you believe that network managers are all malicious, a<br>
surprisingly popular viewpoint in the IETF, this is good.  Those of us<br>
who use DNS filters to keep our users away from malware droppers and<br>
botnet command and control hosts, and use split horizon DNS so our<br>
users can use local network resources, find it not good at all.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">My specific problem with DoH is that it moves the control point from the user to one of the sites they are visiting. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">What we need to do is to move the control point to the USER or a party chosen by the user.<br></div><br></div><div> </div></div></div>