Em 25 de fevereiro, a Mozilla transformou o DNS sobre HTTPS (DoH) no protocolo padrão em seu navegador para todos os usuários dos EUA. Em geral, a comunidade de TI recebeu positivamente essa decisão, observando que a criptografia do tráfego DNS aumentará a segurança da Internet. Mas havia também quem pensasse diferentemente, por exemplo, representantes do registrador da Internet RIPE.No artigo de hoje, analisamos as principais opiniões.
/ Unsplash / MuukiiPequeno programa educacional
Antes de passar para uma revisão de opiniões, discutimos brevemente como o DoH funciona e por que sua implementação causa um debate acalorado na comunidade de TI.A troca de dados entre o navegador e o servidor DNS ocorre de forma clara. Se desejado, um invasor pode espionar esse tráfego e rastrear quais recursos o usuário está visitando. Para resolver o problema, o protocolo DoH encapsula uma solicitação de endereço IP no tráfego HTTPS. Depois, ele acessa um servidor especial, que o processa usando a API e gera uma resposta ( p. 8 )::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
Portanto, o tráfego DNS está oculto no tráfego HTTPS e as solicitações ao sistema de nomes de domínio permanecem anônimas.Quem apoia o DoH
Em apoio ao DoH, os provedores ocidentais de nuvem, telecomunicações e provedores de Internet estão se manifestando. Muitos deles já oferecem serviços DNS com base no novo protocolo - uma lista completa está no GitHub . Por exemplo, a British Telecommunications diz que ocultar consultas DNS em HTTPS aumentará a segurança dos usuários do Reino Unido.Alguns materiais do nosso blog em Habré:
Há um ano, o DNS sobre HTTPS começou a testar no Google. Os engenheiros acrescentaram a capacidade de ativar o DoH no Chrome 78. Segundo os desenvolvedores, a iniciativa protegerá os usuários contra falsificação e manipulação de DNS , quando os hackers redirecionarem a vítima para um endereço IP falso.
No início do artigo, mencionamos outro desenvolvedor de navegador, o Mozilla. Esta semana, a empresa ativou o DNS sobre HTTPS para todos os usuários dos EUA. Agora, ao instalar o navegador, o novo protocolo é ativado por padrão. Aqueles que já possuem o Firefox planejam migrar para o DoH nas próximas semanas. Outros países ignoram a nova iniciativa , mas aqueles que desejam podem ativar a transferência de consultas DNS por HTTPS por conta própria.Argumentos contra
Aqueles que se opõem à implementação do DoH dizem que isso reduzirá a segurança das conexões de rede. Por exemplo, Paul Vixie, um dos autores do sistema de nomes de domínio, afirma que ficará mais difícil para os administradores de sistema bloquear sites potencialmente maliciosos em redes corporativas e privadas.Representantes do registrador da Internet RIPE, responsável pelas regiões da Europa e do Oriente Médio, também se opuseram ao novo protocolo. Eles chamaram a atenção para os problemas de segurança de dados pessoais. O DoH permite transmitir informações sobre os recursos visitados de forma criptografada, mas os logs correspondentes ainda permanecem no servidor responsável pelo processamento de consultas DNS usando a API. Isso levanta a questão da confiança no desenvolvedor do navegador.O funcionário do RIPE, Bert Hubert, envolvido no desenvolvimento do PowerDNS , diz que a abordagem clássica de DNS sobre UDP fornece um grande anonimato, porque combina todas as solicitações ao sistema de nomes de domínio da mesma rede (doméstica ou pública). Nesse caso, a correspondência de consultas individuais com computadores específicos se torna mais difícil.
/ Unsplash / chris panasAlguns especialistas também atribuem deficiências de DoHa incapacidade de configurar o controle dos pais nos navegadores e as dificuldades em otimizar o tráfego nas redes CDN. Nesse último caso, o atraso pode aumentar antes do início da transferência de conteúdo, pois o resolvedor procurará o endereço do host mais próximo do servidor DNS sobre HTTPS. Vale a pena notar aqui que várias empresas de TI já estão trabalhando para resolver essas dificuldades. Por exemplo, a Mozilla disse também que o Firefox irá automaticamente desativar DoH se o usuário define as regras de controlo parental. E a empresa planeja continuar trabalhando em ferramentas mais avançadas no futuro.Sobre o que escrevemos no blog corporativo do VAS Experts: