欧盟网络安全局（ENISA）分析了使用公共 DNS 解析器的安全利弊。

互联网的核心部分是域名系统（DNS）机制。所有计算机，互联网浏览器和其他应用程序都使用DNS解析器将人类可读的网站名称转换为计算机的机器可读IP地址。

传统上，这些DNS解析器由电信提供商提供，作为互联网接入连接的一部分。但现在，客户越来越多地远离私有DNS解析器，转而使用基于云的大型公共DNS解析器。

有哪些安全问题促使客户使用公共DNS解析程序？

更好的安全性和隐私保护被认为是这种向公共DNS解析程序转变的关键驱动因素。

公共DNS解析程序通常支持最新的DNS协议，例如，该协议对DNS查询进行加密。某些公共DNS解析程序还提供额外的安全和保护功能，例如阻止恶意域。

相反，传统的私有DNS解析器使用较旧的协议，并且不加密DNS查询，这会转化为用户的风险。

私有DNS解析程序阻止内容和私有DNS解析程序的服务中断是使用者更改配置的另一个重要原因。中断或网站阻止可能会导致使用者临时将其计算机配置为使用公共DNS解析程序。

ENISA报告——公共DNS解析器的安全性和隐私保护，评估了DNS解析市场向公共DNS解析的转变，并评估了对网络安全的影响。

另一方面，额外的加密是推动消费者行为变化的明显动力。安全和隐私问题一直存在。例如，当计算机将公共DNS解析与加密的DNS查询结合使用时，企业网络安全控制并不总是有效。

尽管加密通常是一种改进，但重要的是要强调，即使使用加密的DNS解析（如HTTPS上的DNS），计算机仍然通过网络发送大量未加密的信息。然后，此类信息可用于跟踪访问的网站。这方面的一个例子是网站的IP地址或传输层安全性（TLS）中的域名。

其他因素还包括依赖性、复原力和缺乏多样化。

成熟和知名的DNS解析器很少，那些最广泛使用的解析器享有市场主导地位。

本报告的目的是帮助欧盟成员国的国家当局监督这部分DNS解析市场。根据网络和信息安全（NIS）指令第14条，需要对DNS进行监督。

欧盟于2020年底发布的《网络安全战略》也涉及公共DNS解析的主题。DNS4EU是欧盟委员会的一项倡议，旨在为目前主导市场的公共DNS解析器提供替代方案。DNS4EU的目标是实施最新的安全和隐私标准，从而确保客户和最终用户保持高度安全性。（本文出自SCA安全通信联盟，转载请注明出处。）