Vielleicht noch nicht ganz, denn
- die DNS-HTTPS-Requests müssen ja auch erst einmal den Zielserver auflösen. Solange das noch über klassische DNS-Wege geht, hat man noch die Chance, die bekannten DoH-Server an dieser Stelle zu blocken
- auf der Client-Seite wäre man in der Lage, die angefragten Domänen noch im Klartext zu lesen und dort anhand einer Blockliste zu filtern. Das geht allerdings nur im Browser mit Plugins wie uBlock Origin und passenden Blocklisten.
Apps, die DoH verwenden, liessen sich auf diese Weise jedoch nicht mehr einhegen 
Generell glaube ich, dass DoH mehr Sicherheitsprobleme aufwirft, als es im Gegenzug an Privatheit schafft. Ich verstehe aber den grundsätzlichen Wunsch nach Verschlüsselung der DNS-Abfragen und halte ihn auch für sinnvoll.
Es dürfte für die Diskussiion hilfreich sein, hier zwei grundsätzliche Einsatz-Szenarien zu unterscheiden:
- den Einsatz auf vagabundierenden Geräten in fremden Netzen
Das sind z.B. Smartphones in WLAN-Cafés, Tablets bei den Nachbarn oder Laptops in Hotelzimmern
- den Einsatz in kontrollierten Umgebungen
also im wesentlichen Rechner in Firmennetzen oder alle Geräte im eigenen Heimnetz
In Szenario 1 bringt der Einsatz von DNS-Verschlüsselung tatsächlich zunächst einen Zugewinn an Privatheit/Privacy, da hier die anderen Netznutzer im Café/Hotel/etc prinzipiell nicht mehr abhören und mitlesen können, welche DNS-Server ich kontaktiere. Es handelt sich also vor allem um einen Zugewinn an Privatheit im eigenen Netz. Das ist auch das Szenario, auf das die Protagonisten von DoH gerne verweisen.
Allerdings ist es mit Ankunft der DoH-DNS-Pakete bei den Verarbeitern dann vorbei mit der Privatheit - diese müssen ja entschlüsseln können und erhalten in der Folge nach wie vor ein vollständiges Profil der DNS-Anfragen eines Nutzers.
Im Zuge der Aktivierung von DoH auf Browsern ist allerdings eine zunehmende Konzentration der DNS-Provider zu erwarten, weg von den DNS-Servern der ISPs hin zu den Default-DNS-Providern der Browserhersteller (hier sei nur die Kooperation von Firefox mit Cloudflare erwähnt). Es werden also mit einiger Wahrscheinlichkeit immer mehr Benutzerprofile bei nur wenigen DNS-Providern konzentriert.
Für mich ist damit DoH im Ergebnis ein Verlust an Privatheit, und nicht ein Gewinn. Umso mehr, als mit DoT schon länger ein konkurrierendes Verfahren existiert, was durch die Bindung an einen neuen DNS-Port 853 zumindest eine vergleichbare Kontrolle des Datenverkehrs in kontrollierten Netzen (Szenario 2) erlauben würde.
Aber (und dieses Aber ist kein kleines):
Das gilt so pauschal nur, solange ich in einem freiheitlichen Regime lebe. Wäre ich unter einem Unrechtsregime von Überwachung und Verfolgung bedroht, würde ich genau auf DoH setzen, um zumindest der Überwachung zu entgehen (auch, wenn ich mich wahrscheinlich genau dadurch verdächtig machen würde).
Und das liegt an zwei weiteren Eigenschaften von DoH:
- DoH läuft über den SSL-Port 443 und ist damit von normalen HTTPS-Anfragen nicht zu unterscheiden
- DoH-Anfragen können damit auch von jedem Web-Server mit HTTPS-Unterstützung im Netz akzeptiert und auch verarbeitet werden, solange dieser die DNS-Anfragen weiterleitet oder selbst direkt beantwortet
Dies erschwert eine Überwachung ziemlich, denn jedes HTTPS-Paket sieht aus wie das andere und ist zudem verschlüsselt, und die Menge der zur theoretisch zur Auflösung befähigten (und damit zu überwachenden) Server ist nicht mehr auf die DNS-Server beschränkt, sondern entspricht der Menge der Webserver im Netz.
Was ich als überwachtes Individuum an DoH gut finde, macht mir jedoch in Szenario 2 das Leben schwer. Denn wenn ich mein eigenes Netz kontrolliere, ist mir der minimale Zugewinn an Privatheit innerhalb des Netzes egal - da bin ich ja schon privat.
Wichtiger ist da schon, dass Dritte ausserhalb meines Netzes die DNS-Anfragen nicht mehr einfach mitlesen können. Das ist mit DoH sichergestellt, allerdings gibt es dafür auch schon jetzt alternative Verfahren wie eben z.B. DoT. Hier stellt DoH also nur einen Zugewinn in Aussicht, der sich auch anders realisieren ließe.
Die Vorteile von DoH aus Sicht Szenario 2 sind damit minimal, oder im Vergleich mit alternativen Verfahren sogar nicht existent.
Aber aus Sicht des Administrators bringt DoH ein gehöriges Sicherheitsproblem:
Durch Verwendung von Port 443 sind DNS-Anfragen jetzt nicht mehr von normalen HTTPS-Verkehr unterscheidbar - auch DPI ist wegen der Verschlüsselung machtlos.
Damit können DNS-Anfragen zu internen Hosts potentiell das lokale Netz verlassen und bis zum DNS-Provider gelangen, der sie auch nicht auflösen kann und auch nach Weiterverteilung ins Netz der DNS-Server günstigstenfalls nicht aufgelöst bekommen wird.
Statt einer schnell funktionierenden internen Namensauflösung werden so gegebenfalls Informationen über den internen Aufbau meines Netzwerks exponiert und schlimmstenfalls mit einer falschen externen Adresse aufgelöst - zwei Umstände, die potentiellen Angreifern in die Hände spielen. Natürlich werden Firmen intern weiterhin klassisches DNS zu erzwingen versuchen, aber nur eine falsche Eingabe in einem falsch konfigurierten DoH-fähigen Browser kann das zunichte machen.
Umso mehr, als ja jeder Web-Server HTTPS-Anfragen zumindest entgegennehmen verarbeiten und damit eben auch potentiell DoH-DNS-Anfragen verarbeiten kann, sofern er entsprechend aufgerüstet wurde. Dies wird (neben interessanten neuen Premium-Content-Geschäftsfeldern) auch neue Möglichkeiten im Spoofing erschliessen, da so aufgelöste Hostnamen in URLs tatsächlich wie echte aussehen können. Diesem Umstand kann man nur wirkungsvoll begegnen, wenn DoH nur im Zusammenspiel mit DNS-Validierungen wie DNSSEC genutzt werden kann (Ich bin aktuell überfragt, ob das so geplant ist, ich habe den kürzlich erschienen RFC zu DoH noch nicht gelesen). Wir werden es also wohl mit ganz neuen Bedrohungsszenarien zu tun bekommen.
Aus Sicht des Heimnetzwerkers ist das zwar eher unwahrscheinlich, weil Firmen als Angriffsziele interessanter sind. Aber auch er leidet unter DoH, denn eine zentrale lokale Kontrolle des DNS-Verkehrs wie z.B durch Pi-hole ist damit nur noch schwer möglich.
Ich habe zudem in meinem Netzwerk den DNS-Port 53 für alle Geräte gesperrt, nur Pi-hole darf auf diesem Port telefonieren. Dadurch bleiben auch alle Geräte oder Apps brav virtuell zuhause, die gerne zu ihren eigenen Servern ausbüxen (TVs, Smartphones und Chromium haben da so ihre eigenen Adressen, die man ihnen nicht immer ausreden kann).
Diese Art der Portblockade ist mit DoH nicht möglich, da ich mit Port 443 quasi das gesamte Internbet blockieren würde. DoT hingegen könnte ich über Port 853 so kontrollieren.
Was bleibt an Alternativen?
Natürlich müssen auch die Hostnamen der DoH-Server erst einmal in eine IP-Adresse aufgelöst werden. Solange Standard-DNS noch der Standard bleibt, bietet dies zumindest die Möglichkeit, bekannte DoH-DNS-Server zu blocken - das ginge über entsprechende Blocklisten in Pi-hole oder Firewallregeln vor oder im Router/Gateway.
Es bleibt abzuwarten, inwieweit die DNS-Auflösung über Port 53 verfüpgbar bleibt, oder ob sie in Zukunft nicht einzig und ausschließlich die Auflösung von DoH-Namensservern erlaubt, um deren Verwendung zu erzwingen.
Da im Browser die Hostnamen noch im Klartext vorliegen, ist auch eine Kontrolle direkt im Browser noch möglich.
Existierende Plug-Ins wie uBlock Origin (uBO) könnten durch entsprechende Blocklisten zumindest den Abfluss von DNS-Anfragen an beklannte DoH-DNS-Server weiterhin unterbinden.
Ich sage 'könnten', weil sich auch an dieser Front etwas tut: Google will die Integration von Plug-Ins derart umstellen. dass eine Filterung nur noch mit einer statischen und zudem zahlenmässig beschränkten Blackliste möglich wäre. Statische Listen würden zwar in etwa der Pi-hole-Filterung entsprechen, aber sie wären auf derzeit geplant 30,000 Einträge kastriert. Und die umfangreichen dynamischen Filterungen, die uBO so hervorragend machen, wären damit prinzipiell unmöglich. Aber das nur am Rande...
Anders als bei Browsern dürfte die Kontrolle von Applikationen, die DoH verwenden, jedoch nahezu unmöglich sein.
In diesem Zusammenhang möchte ich noch auf einen Umstand eingehen, den @DL6ER mir an anderer Stelle zurecht vor Augen geführt hat: Versuche zur Umgehung von DNS-Filtern hat es schon immer gegeben. Es gibt sie auch heute, und auch böswillge Programme oder Apps versuchen heute bereits, zu externen Servern Kontakt aufzubauen und dabei einer Entdeckung zu entgehen.
Ich werde nur das Gefühl nicht los, dass DoH diese Art der Umgehung eher erleichtern wird.
Insgesamt finde ich es zwar begrüßenswert, dass man DNS-Anfragen verschlüsselt überträgt
Die Verlagerung der DNS-Auflösung aus dem Netzwerk hin zum Client sogar bis auf Applikationsebene halte ich jedoch für falsch und aufgrund von Sicherheitsbedenken sogar für gefährlich.
Das ebenfalls verfügbare und auch schon länger RFC-standardisierte DoT wäre aus meiner Sicht die weniger problematische Alternative - zumindest solange ich in einem freiheitlichen Staat lebe.
Aber das ist nur meine bescheidene Meinung 
