De Amerikaanse geheime dienst NSA heeft advies gepubliceerd over het gebruik van DNS over HTTPS (DoH) binnen bedrijven. Op dit moment zijn dns-verzoeken van internetgebruikers, waarin staat welk domein ze willen opvragen, nagenoeg altijd onversleuteld. Zo kunnen derden zien welke websites iemand bezoekt of de dns-informatie aanpassen.

Om dit te voorkomen werd DNS over HTTPS (DoH) bedacht. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. DoH moet echter wel door de dns-provider van de gebruiker worden ondersteund. Op dit moment zijn er slechts een paar publieke DoH-providers.

"Hoewel DoH de privacy van dns-verzoeken en de integriteit van antwoorden kan beschermen, verliezen bedrijven die van DoH gebruikmaken een deel van de controle over het dns-gebruik binnen hun netwerken, tenzij ze alleen hun eigen gekozen dns-server toestaan", aldus de NSA. Volgens de geheime dienst is het belangrijk dat bedrijven hun dns-verkeer in de gaten houden, aangezien dit het lastiger voor een aanvaller kan maken om toegang te krijgen, machines te besturen en data te stelen.

Zelfs wanneer bedrijven niet van plan zijn om van DoH gebruik te maken kan het zijn dat browsers en gebruikte software dit wel doen, waardoor de traditionele dns-verdediging van de onderneming wordt omzeild. Het gebruik van DoH in combinatie met externe dns-servers is volgens de NSA prima voor thuisgebruikers en netwerken waar geen dns-beveiliging actief is.

In het geval van bedrijfsnetwerken adviseert de NSA, ongeacht of het dns-verkeer is versleuteld of niet, om een eigen zakelijke dns-server te gebruiken. Zodoende hebben ondernemingen volledige controle over hun eigen dns-beveiliging en kan het interne netwerk beter worden beschermd. "Alle andere dns-servers moeten worden uitgeschakeld en geblokkeerd", zo stelt de NSA.