La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. anunció hoy que tiene la intención de ejecutar servidores de resolución de DNS DoH (DNS-over-HTTPS) y DoT (DNS-over-TLS) para uso oficial del gobierno, sin embargo, aconseja agencias para deshabilitar el soporte de DoH y DoT en los navegadores de los empleados hasta que los servidores CISA oficiales estén disponibles.
La agencia emitió un memorando [PDF] hoy para recordar a las agencias gubernamentales su requisito legal de usar el servidor DNS EINSTEIN 3 Accelerated (E3A) como el principal solucionador de DNS para cualquier estación de trabajo y comunicaciones gubernamentales.
CISA dijo que el servidor E3A viene con una capacidad de sumidero «que bloquea el acceso a la infraestructura maliciosa anulando, en efecto, los registros DNS públicos que han sido identificados como dañinos».
«La gran mayoría de las agencias ya lo hacen, pero particularmente a la luz del aumento del teletrabajo, sentimos que valía la pena reiterarlo», dijo la agencia en un comunicado de prensa.
CISA teme que los trabajadores del gobierno o los administradores de sistemas puedan verse tentados por las características de DoH y DoT y cambien del servidor DNS E3A aprobado a un sistema compatible con DoH/DoT no autorizado.
La agencia dijo que no respalda el uso de resoluciones DoH o DoH de terceros, como las proporcionadas por Google, Cloudflare, Cisco o Quad9.
La agencia de seguridad cibernética del DHS emitió el memorándum debido a la creciente popularidad y el aumento del uso de DoH y DoT.
Ambas son versiones del protocolo DNS que priorizan la privacidad y cifran las consultas DNS para proteger los destinos web previstos de los observadores de la red de terceros.
La compatibilidad con DoH está habilitada de manera predeterminada para los usuarios de Firefox en los EE. UU., mientras que Chrome está experimentando actualmente con la función. Microsoft también ha anunciado planes para admitir DoH dentro de Windows en el futuro próximo.
DoH, en especial, parece que se convertirá en un pilar en la escena tecnológica, con más navegadores y aplicaciones de escritorio recibiendo soporte para usar DoH como una alternativa de privacidad al DNS clásico.
«Hasta que los servicios de resolución de DoH y DoT estén disponibles en CISA, establezca y aplique políticas en toda la empresa (por ejemplo, objetos de políticas de grupo [GPO] para entornos Windows) para navegadores instalados para deshabilitar el uso de DoH», dijo CISA hoy, instando a los administradores de sistemas gubernamentales a tomar medidas y evitar que los trabajadores tomen la configuración de DNS en sus propias manos.
Las 15 principales amenazas de malware que enfrentan usted y su organización