3. Selection of DoH Server (Auswahl des DoH-Servers)

Der DoH-Client wird mit einem URI-Template [RFC6570] konfiguriert, das beschreibt, wie die für die Auflösung zu verwendende URL konstruiert werden soll. Die Konfiguration, Entdeckung und Aktualisierung des URI-Templates erfolgt außerhalb dieses Protokolls. Beachten Sie, dass die Konfiguration manuell sein kann (z. B. wenn ein Benutzer URI-Templates in einer Benutzeroberfläche für "Optionen" eingibt) oder automatisch (z. B. wenn URI-Templates in Antworten von DHCP oder ähnlichen Protokollen bereitgestellt werden). DoH-Server können (MAY) mehr als ein URI-Template unterstützen. Dies ermöglicht es verschiedenen Endpunkten, unterschiedliche Eigenschaften zu haben, wie z. B. unterschiedliche Authentifizierungsanforderungen oder Service-Level-Garantien.

Ein DoH-Client verwendet die Konfiguration, um den URI und damit den DoH-Server auszuwählen, der für die Auflösung verwendet werden soll. [RFC2818] definiert, wie HTTPS die Identität des DoH-Servers überprüft.

Ein DoH-Client darf nicht (MUST NOT) einen anderen URI verwenden, nur weil er außerhalb der Konfiguration des Clients entdeckt wurde (z. B. durch HTTP/2-Server-Push) oder weil ein Server eine unaufgeforderte Antwort anbietet, die wie eine gültige Antwort auf eine DNS-Abfrage aussieht. Diese Spezifikation erweitert die DNS-Auflösungsberechtigungen nicht auf URIs, die vom DoH-Client nicht als konfigurierte URIs erkannt werden. Solche Szenarien können zusätzliche betriebliche, Tracking- und Sicherheitsrisiken schaffen, die Einschränkungen für eine sichere Nutzung erfordern. Eine zukünftige Spezifikation kann diesen Anwendungsfall unterstützen.