美国国家安全局供给运用加密DNS的辅导

  近来，美国国家安全局发布了一份攻略，辅导各安排怎么选用加密域名体系协议，以避免DNS通讯被偷听和操作。尽管该组织的陈述针对的是军事和国防承包商，但它的主张能够被一切部分采用。

  在传统的DNS架构中，当客户端提交一个DNS查询时，它首要转到企业递归DNS解析器。依据美国国家安全局的说法，这一般是通过动态主机装备协议(DHCP）分配的。

  美国国家安全局解说说：“企业DNS解析器将从其缓存中回来已答复的查询，或通过企业网关将查询转发到外部威望DNS服务器。”DNS的呼应将通过企业网关回来到企业DNS解析器，最终回来到客户端。在交流过程中，企业DNS解析器和企业网关都能够正常的看到明文查询和呼应，并将其记录下来做多元化的剖析，假如它看起来是歹意的或违反了企业战略，则能够阻挠它。”

  依据美国国家安全局的说法，DoH对DNS恳求进行加密，以避免偷听和操作DNS流量。尽管DoH有利于保证家庭和小企业网络的隐私，但假如不正确施行的话，它可能会给企业网络带来危险。

  DoH也维护客户端和DNS解析器之间的DNS通讯。因为该流量是加密的，并与其他HTTPS流量混合到网站上，黑客很难确认哪些数据包包含DNS恳求或呼应，并检查恳求的域名和IP地址。

  美国国家安全局表明：“DNS解析器的呼应也通过了认证，并遭到维护，不会被没有通过授权的修正。”“相比之下，传统的DNS买卖是在专门用于DNS的端口上以明文方式进行的，因而网络要挟参与者能够很容易地读取和修正传统的DNS流量。”美国国家安全局表明，运用DoH的潜在缺点包含绕过一般的DNS监控和维护，形成网络过错装备，并答应攻击者运用上游DNS流量。

  2020年5月，美国网络安全与基础设施安全局发布了一份备忘录，提示联邦组织仅可运用已获同意的DNS解析服务，以保证网络流量的安全。

  美国国家安全局主张，没有企业DNS操控维护的家庭、移动和长途工作用户运用DoH来维护DNS通讯的机密性和完整性。该组织弥补说，一些诺言杰出的DNS解析器供给了额定的维护，大众能够不要钱运用。

  该组织指出：“假如外部源供给了维护DNS功用，那么该特定解析器应该答应加密DNS，其他一切DNS都应该被屏蔽。”