Агентство национальной безопасности США опубликовало руководство по преимуществам и рискам зашифрованных протоколов DNS, таких как DNS-over-HTTPS (DoH), которые стали широко использоваться за последние два года.
Catalin Cimpanu
Агентство по кибербезопасности США предупреждает, что, хотя такие технологии, как DoH, могут шифровать и скрывать запросы DNS пользователей от сетевых наблюдателей, они также имеют недостатки при использовании.
«DoH не является панацеей» — использование протокола дает компаниям ложное ощущение безопасности. DoH не полностью предотвращает возможность злоумышленникам видеть трафик пользователя.
Кроме того при развертывании внутри сетей его можно использовать для обхода многих инструментов безопасности. Также, АНБ утверждает, что многие из сегодняшних серверов DNS-преобразователей с поддержкой DoH также размещаются на внешних серверах, вне контроля компании и ее возможностей для аудита.
АНБ призывает использовать собственные преобразователи DoH, а не сторонние.
☝🏻Более того, АНБ утверждает, что этот же совет следует применять и к классическим DNS-серверам, а не только к зашифрованным / DoH-серверам.
