(English)

DNS-over-HTTPS - o que está acontecendo com a adaptação

March 23, 2022
Telecom
DNS-over-HTTPS - o que está acontecendo com a adaptação
Desde o início, esse protocolo tem sido muito controverso na comunidade de TI. Algumas pessoas acreditam que o DoH aumenta a segurança das conexões, enquanto outras acham que ele apenas dificulta o trabalho dos administradores de sistemas. De qualquer forma, o DoH é usado por um número cada vez maior de aplicativos, apesar dos diferentes pontos de vista. Neste artigo, daremos uma olhada mais de perto e lhe diremos o que realmente está acontecendo.

Uma tecnologia polêmica

O DNS-over-HTTPS é criticado por órgãos reguladores, empresas de telecomunicações, representantes de registros da Internet e até mesmo pelo próprio autor do sistema de nomes de domínio. Entre os argumentos estão a administração complicada e os atrasos nas redes de distribuição de conteúdo. Ao mesmo tempo, algumas das implementações de protocolo ignoram as regras descritas em /etc/nsswitch.conf. Portanto, o gerenciamento do DNS é transferido do nível do sistema operacional para o nível do aplicativo, o que pode levar a uma confusão entre os serviços.

Além disso, argumenta-se que esse protocolo cria a ameaça de vazamento de dados pessoais. O DNS-over-HTTPS criptografa as informações sobre os recursos visitados, mas elas ainda estão disponíveis para um servidor que processa a solicitação. Nesse contexto, há preocupações com a credibilidade do provedor DoH. Esse é um dos motivos pelos quais a Agência de Segurança Nacional dos EUA recomenda não usar o DNS-over-HTTPS em redes corporativas e dar mais atenção às soluções auto-hospedadas.

Passo a passo

A disseminação bastante lenta da tecnologia parece ser o resultado da dura retórica contra ela. Atualmente, um tráfego de DNS “clássico” é três vezes maior do que um tráfego criptografado. No entanto, a situação está mudando gradualmente – de acordo com os principais ISPs e empresas de IS, o tráfego de DoH aumentou nos últimos anos. Isso é especialmente perceptível no Brasil, nos Estados Unidos, na Itália, na Argentina e na Espanha (consulte a página 10 do estudo sobre esse tópico).

Essa tendência está relacionada à ativação do DNS-over-HTTPS por padrão nos principais navegadores. Assim, os desenvolvedores do Firefox incluíram um novo protocolo para os usuários americanos em 2019 e em 2021 para os usuários do Canadá. No segundo caso, o projeto foi implementado em parceria com o provedor CIRA do DoH.

De acordo com os representantes do “Firefox”, a empresa não armazena registros por mais de um dia, não transfere dados de usuários para terceiros e aplica obrigatoriamente a tecnologia DNS Query Name Minimisation (RFC 7816).

A capacidade de trabalhar com DNS-over-HTTPS foi também adicionada ao Chrome, Edge e Brave. A funcionalidade correspondente também está implementada no firmware do roteador, tanto comercial quanto de código aberto (como o OpenWRT).

browsers with DoH

Os entusiastas também estão contribuindo para o desenvolvimento da tecnologia. Por exemplo, engenheiros da APNIC fizeram uma varredura no espaço de endereços IPv4, depois procuraram portas 443 abertas e as testaram com um script especial. Eles encontraram mais de 930 resolvedores DoH, um quarto dos quais implantados em servidores domésticos e provavelmente usados em projetos privados (esses sistemas não tinham registros de zonas de visualização posterior).

Outras opções

Muito provavelmente, o DoH será implementado por mais e mais desenvolvedores. No entanto, isso não significa que será a solução “final” para a criptografia de solicitações de DNS – outras alternativas estão sendo desenvolvidas, além do DNS-over-TLS. Assim, o grupo de trabalho da IETF propôs um padrão de código aberto Oblivious DNS-over-HTTPS (ODoH), que permite ocultar o IP dos dispositivos do usuário usando proxies. Nesse caso, o provedor de DNS vê apenas o endereço do link intermediário.

O endereço IP do cliente é conhecido pelo proxy, mas o proxy não pode obter informações sobre a solicitação porque a mensagem está criptografada.

Existem soluções para a criptografia de recursos para o sistema de nomes de domínio com base em outros protocolos, como o QUIC. Mas ainda é muito cedo para falar sobre seu uso generalizado. Em particular, mesmo em comparação com o DNS-over-HTTPS, o volume de tráfego do DNS-over-QUIC é incrivelmente pequeno. A implementação prática de tais sistemas também é questionável, já que, no futuro, o DNS-over-HTTPS oferecerá suporte ao QUIC (às custas do HTTP/3).

É muito cedo para dizer qual tecnologia de criptografia de solicitações de DNS será implementada, mas isso definitivamente pode levar algumas décadas de qualquer maneira.

(English) We use cookies to optimize site functionality and give you the best possible experience. To learn more about the cookies we use, please visit our Cookies Policy. By clicking ‘Okay’, you agree to our use of cookies. Learn more.