美国国安局（National Security Agency）上周发布安全指引，警告企业环境下部署DNS over HTTPS（DoH）可能因使用了不易掌控的DNS解析器，而增添安全风险。

DNS伺服器可将用户查询的URL网域名转译成IP位址，可加速上网。但是因为DNS的查询及回应流量都是明码传输，可能被警方或骇客等第三方单位窃听或拦截窜改以重导引流量。加密的DNS服务，如DNS over HTTPS可加密这些流量而确保上网安全，因而近年受到企业及个人用户的欢迎。即使企业未正式使用，新版浏览器及新版软体也逐渐支援加密DNS服务。

例如新版浏览器及软体如Firefox、Chrome都已支援DoH，此外，Windows10及苹果的iOS、macOS也都加入对DoH的支援

但NSA警告，虽然加密DNS流量如DoH可确保DNS呼叫隐私及回应的完整性，但企业可能丧失对DNS流量的控管权。关键在于企业採用的DoH若使用外部的DNS解析伺服器，则企业安全方案看不到流量内容，而无法侦测到的可能的恶意活动。

因此NSA建议企业最好只使用公司指定的（designated）DNS解析器（resolver），才好配合公司的安全防护产品确保网路资讯安全。企业DNS解析器可以是企业自己营运的DNS伺服器，或是受信赖的外部代管服务，这些DNS解析器都应支援加密DNS呼叫，如DoH。除外其他加密DNS解析服务都应关闭并封锁。

不过如果企业暂不使用DoH，NSA建议企业仍应使用企业指定的DNS解析器（而不要用无法掌控的外部DNS解析器），封锁所有加密DNS流量，直到企业能完全掌控这些DNS流量为止。

NSA不是第一家对于DoH导致安全管控的威胁提出质疑的安全主管机关。荷兰国家网路安全中心也曾指DoH让企业组织更难进行安全控管。最早推动支援DoH的Firefox，还被英国ISP批为「网路恶棍」第一名。

主管机关的忧虑也非全然杞人忧天。去年8月卡巴斯基安全研究人员发现伊朗骇客组织Oilrig利用DoH及相关工具窃密，藉此躲避防毒产品侦测而将资料传送到外部伺服器。