NSA警告不要在企業網絡內使用DoH

美國國家安全局今天發佈了有關加密DNS協議（例如，基於HTTPS的DNS（DoH）的DNS）的優點和風險的指南，該指南在過去兩年中已得到廣泛使用。

美國網絡安全機構警告說，儘管DoH之類的技術可以加密和隱藏來自網絡觀察員的用戶DNS查詢，但在公司網絡內部使用時，它們也有缺點。

國家安全局（NSA）在今天發佈的安全公告中說：“ DoH不是萬能的”。美國國家安全局說，DoH不能完全阻止威脅參與者看到用戶的流量，當在網絡內部部署時，DoH可以用來繞過許多依靠嗅探經典（純文本）DNS流量來檢測威脅的安全工具。

此外，美國國家安全局（NSA）認為，當今許多具有DoH功能的DNS解析器服務器也是在公司控制和審計能力之外的外部託管的。

國家安全局（NSA）敦促公司避免在自己的網絡中使用加密的DNS技術，或者至少使用在內部託管並受其控制的具有DoH功能的DNS解析器服務器。

此外，NSA認為，同樣的建議也應應用於經典的DNS服務器，而不僅僅是加密/ DoH服務器。

該安全機構說：“所有其他DNS解析器均應禁用和阻止。”