Το NCSC υποστηρίζει ότι η αυξημένη υιοθέτηση νέων πρωτοκόλλων DNS transport, ενδέχεται να καταστήσει τους ελέγχους ασφάλειας ενός οργανισμού μη αποτελεσματικούς. Το NCSC συνιστά στους οργανισμούς να επιλέγουν από τους προτεινόμενους DNS resolvers και να τους διαμορφώνουν σε συσκευές υπό διοικητικό έλεγχο, προκειμένου να αποτρέψουν τους δυνητικούς κινδύνους DNS.
Το Ολλανδικό Εθνικό Κέντρο Cybersecurity έχει δημοσιεύσει ένα ενημερωτικό δελτίο που εξηγεί, πώς τα νέα πρωτόκολλα DNS transport θα καταστήσουν την παρακολούθηση του DNS πιο δύσκολη. Αυτό έχει ως αποτέλεσμα αρνητικές παρενέργειες, όπως διακοπή συνδεσιμότητας.
Το Google και το Mozilla εκτελούν ταυτόχρονα δοκιμές DNS-over-HTTPS (DoH) για τους browsers τους.
- Ο browser του Google Chrome θα αναβαθμιστεί σε server DoH του παρόχου μόνο αν εμφανίζεται σε μια λίστα εγκεκριμένων αποτελεσμάτων, αν όχι θα μεταβεί σε μια λίστα εναλλακτικών παρόχων (π.χ. Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS, Quad9).
- Το πείραμα του Mozilla για την ενεργοποίηση του DoH από προεπιλογή και για την καθιέρωση του server DoH του Cloudflare αντί του υφιστάμενου παρόχου DNS του χρήστη έχει ήδη λάβει κριτική από διαχειριστές δικτύου και διαχειριστές διανομής Linux.
Για να μετριαστούν μερικοί από αυτούς τους κινδύνους DNS, οι διαχειριστές δικτύου καλούνται να αποφασίσουν ποιος DNS resolver προτιμάται και να το ρυθμίσουν σε όλα τα συστήματα υπό διοικητικό έλεγχο.
Για συσκευές που δεν βρίσκονται υπό τον έλεγχό τους, οι διαχειριστές θα πρέπει να περιορίσουν τους κινδύνους σε επίπεδο δικτύου για ορισμένες εφαρμογές, όπως ο Mozilla Firefox.
Για να διατηρηθεί η παρακολούθηση DNS ως αποτελεσματικό μέτρο, είναι απαραίτητο να πραγματοποιηθούν αλλαγές στην υποδομή DNS και τα endpoints. Όπως ανέφερε το NCSC, ενώ η κεντρική παρακολούθηση DNS στα δίκτυα ήταν εφικτή μέχρι τώρα, αυτή η κεντρική προσέγγιση θα συνεχίσει να μειώνει την αποτελεσματικότητα με την πάροδο του χρόνου.
