NSA警告不要在企业网络内使用DoH

美国国家安全局今天发布了有关加密DNS协议（例如，基于HTTPS的DNS（DoH）的DNS）的优点和风险的指南，该指南在过去两年中已得到广泛使用。

美国网络安全机构警告说，尽管DoH之类的技术可以加密和隐藏来自网络观察员的用户DNS查询，但在公司网络内部使用时，它们也有缺点。

国家安全局（NSA）在今天发布的安全公告中说：“ DoH不是万能的”。美国国家安全局说，DoH不能完全阻止威胁参与者看到用户的流量，当在网络内部部署时，DoH可以用来绕过许多依靠嗅探经典（纯文本）DNS流量来检测威胁的安全工具。

此外，美国国家安全局（NSA）认为，当今许多具有DoH功能的DNS解析器服务器也是在公司控制和审计能力之外的外部托管的。

国家安全局（NSA）敦促公司避免在自己的网络中使用加密的DNS技术，或者至少使用在内部托管并受其控制的具有DoH功能的DNS解析器服务器。

此外，NSA认为，同样的建议也应应用于经典的DNS服务器，而不仅仅是加密/ DoH服务器。

该安全机构说：“所有其他DNS解析器均应禁用和阻止。”