{"id":2201,"date":"2020-02-20T08:37:53","date_gmt":"2020-02-20T05:37:53","guid":{"rendered":"https:\/\/vasexperts-ru.hst11.itglobal.com\/blog\/%d0%b1%d0%b5%d0%b7-%d1%80%d1%83%d0%b1%d1%80%d0%b8%d0%ba%d0%b8\/dns-https-point-contention\/"},"modified":"2025-08-11T14:14:05","modified_gmt":"2025-08-11T11:14:05","slug":"dns-https-point-contention","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/br\/blog\/telecom\/dns-https-point-contention\/","title":{"rendered":"DNS over HTTPS: o ponto de disc\u00f3rdia"},"content":{"rendered":"O DNS sobre HTTPS (DoH) criptografa consultas e respostas do servidor DNS. Os nomes dos servidores remotos s\u00e3o ocultados se o usu\u00e1rio os acessar usando DoH.\r\n\r\nO motivo do argumento \u00e9 que parte da comunidade de TI considera que o protocolo adiciona uma camada extra de seguran\u00e7a \u00e0 internet. Por isso, ele j\u00e1 est\u00e1 implementado em alguns servi\u00e7os e aplicativos. Por outro lado, existem novas dificuldades e desafios no trabalho dos administradores de sistemas.\r\n\r\nPrecisamos entender o mecanismo do protocolo DoH para chegar ao cerne do problema. Com o DNS comum, o nome do host e o endere\u00e7o s\u00e3o transmitidos em texto n\u00e3o criptografado. No protocolo DoH, uma consulta por um endere\u00e7o IP \u00e9 encapsulada em tr\u00e1fego HTTPS criptografado. Depois disso, ela \u00e9 transmitida ao servidor HTTP e processada com comandos de API.\r\n\r\nEste \u00e9 um exemplo de tal consulta do RFC 8484 (p\u00e1gina 4<\/a>):\r\n
   :method = GET\r\n   :scheme = https\r\n   :authority = dnsserver.example.net\r\n   :path = \/dns-query?\r\n           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl\r\n           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z\r\n           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ\r\n   accept = application\/dns-message\r\n<\/pre>\r\nComo podemos ver, as consultas ao DNS s\u00e3o an\u00f4nimas, pois est\u00e3o ocultas no HTTPS.\r\n
O anonimato \u00e9 bom. Qual \u00e9 o problema?<\/h2>\r\nO primeiro motivo para descartar o DNS sobre HTTPS \u00e9 a seguran\u00e7a reduzida da Internet. Ser\u00e1 mais dif\u00edcil para os administradores de sistema bloquearem sites maliciosos, pois os nomes n\u00e3o poder\u00e3o ser removidos do tr\u00e1fego HTTPS. Al\u00e9m disso, os assinantes n\u00e3o poder\u00e3o mais usar o controle parental nos navegadores.\r\n\r\nPor exemplo, o sistema legal na Gr\u00e3-Bretanha obriga<\/a> os ISPs a bloquear sites proibidos. Com o protocolo DOH, torna-se quase imposs\u00edvel filtrar o tr\u00e1fego. A Sede de Comunica\u00e7\u00f5es do Governo (GCHQ) e a Internet Watch Foundation (IWF) protestam contra a populariza\u00e7\u00e3o do protocolo \u2014 a tarefa dessas organiza\u00e7\u00f5es \u00e9 manter um registro dos recursos bloqueados.\r\n\r\nMesmo sistemas modernos de filtragem de tr\u00e1fego, como o Stingray Service Gateway<\/a>, n\u00e3o conseguem realizar uma an\u00e1lise completa do tr\u00e1fego HTTPS. Esses sistemas utilizam classifica\u00e7\u00e3o por SSL\/TLS (Nome Comum) ou Indica\u00e7\u00e3o de Nome de Servidor (SNI) e an\u00e1lise de assinatura do fluxo de tr\u00e1fego.\r\n\r\nO segundo problema do DNS sobre HTTPS s\u00e3o os novos malwares que utilizam as caracter\u00edsticas espec\u00edficas do protocolo. Por exemplo, em julho de 2019, especialistas em seguran\u00e7a da Netlab descobriram<\/a> um novo v\u00edrus chamado Godlua<\/a> que utilizava o DoH para ataques DDoS. O v\u00edrus obt\u00e9m registros DNS de texto (TXT) e URLs de servidores de controle do DoH.\r\n\r\nA seguran\u00e7a cibern\u00e9tica est\u00e1 amea\u00e7ada porque as solu\u00e7\u00f5es antiv\u00edrus populares n\u00e3o conseguem reconhecer as consultas DoH criptografadas. Portanto, \u00e9 prov\u00e1vel que novos v\u00edrus apare\u00e7am e a situa\u00e7\u00e3o pode piorar.\r\n\r\n
O lado positivo<\/h2>\r\nAo mesmo tempo, um novo protocolo pode fortalecer a seguran\u00e7a cibern\u00e9tica. O DoH pode ajudar<\/a> a neutralizar os ataques de sequestro de DNS cada vez mais comuns. Isso \u00e9 confirmado<\/a> pelo relat\u00f3rio da empresa de seguran\u00e7a da informa\u00e7\u00e3o FireEye. O protocolo tamb\u00e9m \u00e9 suportado por diversas outras grandes empresas de TI.\r\n\r\nDesde 2018, o Google vem testando o protocolo DNS sobre HTTPS. H\u00e1 pouco tempo, a empresa anunciou<\/a> seu servi\u00e7o de Disponibilidade Geral (DoH). O Google espera que a distribui\u00e7\u00e3o do DoH aumente o n\u00edvel de seguran\u00e7a dos dados pessoais e proteja contra ataques MITM.\r\n\r\nPor sua vez, desde o ver\u00e3o passado, a Mozilla oferece suporte<\/a> \u00e0 opera\u00e7\u00e3o completa do DNS sobre HTTPS e est\u00e1 ativamente apoiando o protocolo. A Associa\u00e7\u00e3o de Provedores de Servi\u00e7os de Internet (ISPA) indicaram<\/a> a Mozilla para o pr\u00eamio de \u201cVil\u00e3o da Internet do Ano\u201d; os representantes do navegador responderam<\/a> que est\u00e3o decepcionados com a tend\u00eancia das operadoras de telecomunica\u00e7\u00f5es de abandonar as atualiza\u00e7\u00f5es de infraestrutura e \u201cestarem atualizadas\u201d. Embora a nomea\u00e7\u00e3o tenha sido retirada depois que grande m\u00eddia<\/a> e alguns provedores se manifestaram a favor da Mozilla e da British Telecom, alegando que o novo protocolo s\u00f3 aumentar\u00e1 a seguran\u00e7a dos usu\u00e1rios brit\u00e2nicos sem afetar a qualidade da filtragem de conte\u00fado.\r\n\r\n