O DNS sobre HTTPS (DoH) criptografa consultas e respostas do servidor DNS. Os nomes dos servidores remotos são ocultados se o usuário os acessar usando DoH.
O motivo do argumento é que parte da comunidade de TI considera que o protocolo adiciona uma camada extra de segurança à internet. Por isso, ele já está implementado em alguns serviços e aplicativos. Por outro lado, existem novas dificuldades e desafios no trabalho dos administradores de sistemas.
Precisamos entender o mecanismo do protocolo DoH para chegar ao cerne do problema. Com o DNS comum, o nome do host e o endereço são transmitidos em texto não criptografado. No protocolo DoH, uma consulta por um endereço IP é encapsulada em tráfego HTTPS criptografado. Depois disso, ela é transmitida ao servidor HTTP e processada com comandos de API.
Este é um exemplo de tal consulta do RFC 8484 (página 4):
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
Como podemos ver, as consultas ao DNS são anônimas, pois estão ocultas no HTTPS.
O anonimato é bom. Qual é o problema?
O primeiro motivo para descartar o DNS sobre HTTPS é a segurança reduzida da Internet. Será mais difícil para os administradores de sistema bloquearem sites maliciosos, pois os nomes não poderão ser removidos do tráfego HTTPS. Além disso, os assinantes não poderão mais usar o controle parental nos navegadores.
Por exemplo, o sistema legal na Grã-Bretanha obriga os ISPs a bloquear sites proibidos. Com o protocolo DOH, torna-se quase impossível filtrar o tráfego. A Sede de Comunicações do Governo (GCHQ) e a Internet Watch Foundation (IWF) protestam contra a popularização do protocolo — a tarefa dessas organizações é manter um registro dos recursos bloqueados.
Mesmo sistemas modernos de filtragem de tráfego, como o Stingray Service Gateway, não conseguem realizar uma análise completa do tráfego HTTPS. Esses sistemas utilizam classificação por SSL/TLS (Nome Comum) ou Indicação de Nome de Servidor (SNI) e análise de assinatura do fluxo de tráfego.
O segundo problema do DNS sobre HTTPS são os novos malwares que utilizam as características específicas do protocolo. Por exemplo, em julho de 2019, especialistas em segurança da Netlab descobriram um novo vírus chamado Godlua que utilizava o DoH para ataques DDoS. O vírus obtém registros DNS de texto (TXT) e URLs de servidores de controle do DoH.
A segurança cibernética está ameaçada porque as soluções antivírus populares não conseguem reconhecer as consultas DoH criptografadas. Portanto, é provável que novos vírus apareçam e a situação pode piorar.
O lado positivo
Ao mesmo tempo, um novo protocolo pode fortalecer a segurança cibernética. O DoH pode ajudar a neutralizar os ataques de sequestro de DNS cada vez mais comuns. Isso é confirmado pelo relatório da empresa de segurança da informação FireEye. O protocolo também é suportado por diversas outras grandes empresas de TI.
Desde 2018, o Google vem testando o protocolo DNS sobre HTTPS. Há pouco tempo, a empresa anunciou seu serviço de Disponibilidade Geral (DoH). O Google espera que a distribuição do DoH aumente o nível de segurança dos dados pessoais e proteja contra ataques MITM.
Por sua vez, desde o verão passado, a Mozilla oferece suporte à operação completa do DNS sobre HTTPS e está ativamente apoiando o protocolo. A Associação de Provedores de Serviços de Internet (ISPA) indicaram a Mozilla para o prêmio de “Vilão da Internet do Ano”; os representantes do navegador responderam que estão decepcionados com a tendência das operadoras de telecomunicações de abandonar as atualizações de infraestrutura e “estarem atualizadas”. Embora a nomeação tenha sido retirada depois que grande mídia e alguns provedores se manifestaram a favor da Mozilla e da British Telecom, alegando que o novo protocolo só aumentará a segurança dos usuários britânicos sem afetar a qualidade da filtragem de conteúdo.
Os provedores de nuvem também intervieram. A Cloudflare já oferece serviços de DNS baseados em DNS sobre HTTPS.
As disputas não se acalmarão por muito tempo. Novas tecnologias são sempre recebidas com hostilidade e muita discussão, e uma implementação generalizada do novo protocolo pode ser esperada provavelmente em mais de uma década. Atualmente, você pode encontrar a lista de navegadores e clientes que suportam DNS sobre HTTPS no GitHub.
