Door iatomory: Door Anoniem: Door Anoniem: Draai je eigen recursive DNS server
Dat betekent dat er minder gecached wordt en dus de werkdruk op (oa de root)servers verhoogt. Oftewel, dat is een prima optie als je a) weet wat je doet en b) je netwerkje toch een beetje grootte heeft. Voor verreweg de meeste mensen is dat niet echt het geval, dus als algemeen advies is het minder geschikt.
Ik betwijfel of het zo'n verschil gaat maken. Allereerst kan je vrij eenvoudig een lokale kopie van de root zone file gebruiken (en elke 24 uur verversen).
Waarmee je de werkdruk verplaatst, en relatief nog verder verhoogt.
Daarnaast zullen grote DNS providers ook niet altijd een antwoord paraat hebben,
Nee, maar daar zit wel degelijk een groot gradatieverschil tussen.
Ze zien namelijk veel meer queries en hebben dus veel meer materiaal om te cachen. En laten we wel wezen, verreweg de meeste van ons gebruiken voor het overgrote deel van de tijd maar een kleine handvol aan websites en daarmee een iets grotere handvol aan hostnamen en dus DNS-queries. Dus zo'n grote provider heeft een veel grotere kans om in de laatste paar minuten al iets vergelijkbaars gevraagd te hebben zien worden.
Het gaat dus ook niet om wat je zelf als eindgebruiker direct kan merken, maar om dat als heel erg veel mensen dit geintje uit gaan halen dat dat wel eens een probleem kon gaan worden. Zeker je ISP vindt het wat minder leuk want hun caching servers reduceren ook hun verkeer op de uplink en dus hun verkeerskosten.
Als je zelf een recursor gaat draaien, begeef je je op het vlak van wat een netwerk-administrator normaliter doet, en daar komen dit soort bedenkingen ook bij kijken. Dus ietsje verder kijken dan je neus lang is en een beetje rekening houden met wat de ISP en de rest van de wereld belangrijk vinden.
In die zin is het ontstaan van "DoH" een
backfire tegen de Amerikaanse ISPs zelf die zich nogal misdroegen in het beantwoorden van de DNS-queries van hun klanten. Dat gebeurt, zoals opgemerkt, hier te lande niet dus is "DoH" een oplossing zonder probleem, en wel redelijk wat vervelende bij-effecten.
Het instellen van een eigen recursive zal wel meer inspanning vereisen dan al je gegevens direct naar Google te sturen, wat dat betreft heb je zeker gelijk.
En google is een notoire datagraaier. Je ISP kan je iets meer vertrouwen. In Nederland toch wel, en anders is het tijd om van ISPs te veranderen, en dat kan ook in Nederland toch wel.
Door rhen: [..] geavanceerde veiligheidsmaatregelen zoals een ingebouwde DDoS blokker en DNSSEC.
De DDoS blokker zal in dit geval betekenen dat jou
w queries geen antwoord krijgen.
Ook erg slecht voor die "100% uptime".
DNSSEC heeft pas een echte meerwaarde als je de validatie zelf uitvoert. Anders is het altijd mogelijk dat Cloudflare jou de verkeerde antwoorden geeft, dat is precies wat je wilt voorkomen.
Wat dat betreft is de opzet van DoH echt een ontzettend slecht idee. De "DoH"-provider kan nog zo hard volhouden echt alles nagekeken te hebben, jij kan het niet verifiëren.
Helemaal als je bedenkt dat Cloudflare niet goed samen (schijnt) te gaan met geografische load balancing via DNS. Met andere woorden je DNS antwoord is snel binnen maar de server waar je verbinding maakt staat verder weg dan nodig is.
Dat kost weer extra miliseconden op elke volgende http(s)-verbinding, waarvan je soms wel honderden nodig hebt om een hele pagina te laden. Best kans dat elke "DoH"-aanbieder dat probleem heeft.