Uma tecnologia polêmica
O DNS-over-HTTPS é criticado por órgãos reguladores, empresas de telecomunicações, representantes de registros da Internet e até mesmo pelo próprio autor do sistema de nomes de domínio. Entre os argumentos estão a administração complicada e os atrasos nas redes de distribuição de conteúdo. Ao mesmo tempo, algumas das implementações de protocolo ignoram as regras descritas em /etc/nsswitch.conf. Portanto, o gerenciamento do DNS é transferido do nível do sistema operacional para o nível do aplicativo, o que pode levar a uma confusão entre os serviços.
Além disso, argumenta-se que esse protocolo cria a ameaça de vazamento de dados pessoais. O DNS-over-HTTPS criptografa as informações sobre os recursos visitados, mas elas ainda estão disponíveis para um servidor que processa a solicitação. Nesse contexto, há preocupações com a credibilidade do provedor DoH. Esse é um dos motivos pelos quais a Agência de Segurança Nacional dos EUA recomenda não usar o DNS-over-HTTPS em redes corporativas e dar mais atenção às soluções auto-hospedadas.
Passo a passo
A disseminação bastante lenta da tecnologia parece ser o resultado da dura retórica contra ela. Atualmente, um tráfego de DNS “clássico” é três vezes maior do que um tráfego criptografado. No entanto, a situação está mudando gradualmente – de acordo com os principais ISPs e empresas de IS, o tráfego de DoH aumentou nos últimos anos. Isso é especialmente perceptível no Brasil, nos Estados Unidos, na Itália, na Argentina e na Espanha (consulte a página 10 do estudo sobre esse tópico).
De acordo com os representantes do “Firefox”, a empresa não armazena registros por mais de um dia, não transfere dados de usuários para terceiros e aplica obrigatoriamente a tecnologia DNS Query Name Minimisation (RFC 7816).
A capacidade de trabalhar com DNS-over-HTTPS foi também adicionada ao Chrome, Edge e Brave. A funcionalidade correspondente também está implementada no firmware do roteador, tanto comercial quanto de código aberto (como o OpenWRT).
Os entusiastas também estão contribuindo para o desenvolvimento da tecnologia. Por exemplo, engenheiros da APNIC fizeram uma varredura no espaço de endereços IPv4, depois procuraram portas 443 abertas e as testaram com um script especial. Eles encontraram mais de 930 resolvedores DoH, um quarto dos quais implantados em servidores domésticos e provavelmente usados em projetos privados (esses sistemas não tinham registros de zonas de visualização posterior).
Outras opções
Muito provavelmente, o DoH será implementado por mais e mais desenvolvedores. No entanto, isso não significa que será a solução “final” para a criptografia de solicitações de DNS – outras alternativas estão sendo desenvolvidas, além do DNS-over-TLS. Assim, o grupo de trabalho da IETF propôs um padrão de código aberto Oblivious DNS-over-HTTPS (ODoH), que permite ocultar o IP dos dispositivos do usuário usando proxies. Nesse caso, o provedor de DNS vê apenas o endereço do link intermediário.
Existem soluções para a criptografia de recursos para o sistema de nomes de domínio com base em outros protocolos, como o QUIC. Mas ainda é muito cedo para falar sobre seu uso generalizado. Em particular, mesmo em comparação com o DNS-over-HTTPS, o volume de tráfego do DNS-over-QUIC é incrivelmente pequeno. A implementação prática de tais sistemas também é questionável, já que, no futuro, o DNS-over-HTTPS oferecerá suporte ao QUIC (às custas do HTTP/3).
É muito cedo para dizer qual tecnologia de criptografia de solicitações de DNS será implementada, mas isso definitivamente pode levar algumas décadas de qualquer maneira.