fährt...
Das Problem ist, das es damit sehr viel einfacher wird, einzelnen Programmen gezielt und spezifisch einen anderen DNS Provider unterzuschieben ohne das das groß auffällt, um darüber dann man in the middle Attacken laufen zu lassen.
Besonders problematisch ist das, weil DNS ĂĽber HTTPS den DNS Server quasi ĂĽber den Common Name des TLS Zertifikats authentifiziert.
Über den wird aber garnicht auf den Server zugegriffen - geht ja nicht, denn um den Domainnamen des DOH Servers aufzulösen muss man diesen ja erst fragen. Henne/Ei Problem. Also ist stattdessen die IP hinterlegt, die wiederum entspricht nicht dem CN im Zertifikat. (Ausser im Browser/Programm ist beides hinterlegt, aber was wenn sich der Server/die Firma umbenannt hat? )
Damit ist quasi Voprprogrammiert das irgendwer schindluder betreibt und entweder falsche DOH Server unterschiebt oder den Traffic auf diese umleitet ohne das Programme das korrekt mitbekommen.
das sinnvollste wäre, für admins, eine aktuelle Liste von in den diversen Browsern und anderen gängigen Apps vorkonfigurierten DOH Servern in der Firewall zu hinterlegen, und HTTPS Traffic auf diese generell zu blockieren.
Oder noch besser: Eigenen DNS Server betreiben und auf dem eine art "Port-knocking" laufen lassen. Nur Domains die vorher aufgelöst wurden dürfen auch angesprochen werden.
Alternativ wäre ein NAT Gateway, das alle IP Addressen umbiegt nach einem bestimmten Schema. (Geht bei IPv6 besonders toll,einfach in einen anderen unbenutzten Präfix Raum wechseln, der Rest der IP bleibt gleich - bei IPv4 müsste man was anderes machen, etwa ein XOR mit einem bestimmten Pattern)
Der Nameserver bieght dann alle IPs entsprechend um. Wenn ein Programm den nameserver umgeht und stattdessen einen externen DOH Server fragt, liefert der die falsche (da unmodifizierte) IP und der Zugriff geht ins leere.