DNS Queries over HTTPS (DoH)
Enviado em 25.08.2021

DNS Queries over HTTPS (DoH)

Os servidores DNS (Domain Name System) ou sistema de nomes de domínios, são os responsáveis por localizar e traduzir para números IP (Internet […]

Os servidores DNS (Domain Name System) ou sistema de nomes de domínios, são os responsáveis por localizar e traduzir para números IP (Internet Protocol) aqueles endereços dos sites que digitamos nos navegadores. O DNS, assim como outras soluções que usamos nas redes de comunicação, está mudando o tempo todo, e algumas mudanças na forma como ele opera vem acontecendo de forma contínua com a evolução das redes, trazendo algumas implicações sutis, outras nem tanto.

Existem várias etapas envolvidas no processo de criação, publicação, e recuperação de dados via DNS. Protocolos que usam criptografia de DNS, entre eles o DNS Queries over HTTPS (DoH) e o DNS-over-TLS (DoT), são desenvolvimentos recentes, que tem como principal objetivo aumentar a privacidade dos usuários ao navegarem pela Internet, por exemplo.

O Request for Comments (RFC) 8484, de outubro de 2018, do IETF, definiu como protocolo para enviar consultas DNS e obter respostas DNS por HTTPS o DoH. No protocolo, cada par de consulta-resposta DNS é mapeado em uma troca HTTP. Assim, o DoH altera a forma como as consultas de DNS são enviadas pela rede. O DoH criptografa consultas DNS como tráfego da web em vez de enviá-los como um texto plano, não criptografado.

A abordagem descrita no RFC 8484, estabelece tipos de formatos de mídia padrão para solicitações e respostas, mas usa mecanismos normais de negociação de conteúdo HTTP para selecionar as alternativas que os terminais da rede podem preferir na expectativa de servir novos usuários. Além dessa negociação de tipo de mídia, ele alinha com outros recursos HTTP, como cache, redirecionamento, proxy, autenticação e compressão de dados.

Trocando em miúdos, se DoH estiver em uso, o conteúdo de uma consulta DNS será visível apenas para os navegadores dos usuários e o servidor responsável por resolver o DNS, mas não estará visível para terceiros que estiverem entre eles na rede. Os principais fornecedores de navegadores, os Provedores de Serviços de Internet (ISP’s) e outros players estão implantando suporte para esse e outros protocolos. O Google e a Mozilla já possuem essa “facilidade” nos navegadores de desktop Chrome e Firefox, em seus painéis de configuração.

Convém salientar que existe um senão para o uso do DoH: ele pode dificultar a entrega de conteúdo aos usuários da Internet. Como as redes de entrega de conteúdo (CDN’s) atuais hospedam várias instâncias de conteúdo da web em servidores geograficamente dispersos, isso cria resiliência para serviços da web, o que ajuda a entregar conteúdo aos usuários mais rapidamente. Caso os ISP’s percam a capacidade de visualizar as consultas de DNS dos usuários, eles ainda poderão encaminhar os usuários para um CDN, mas não necessariamente para o mais próximo ou o menos carregado. Algumas alternativas técnicas que podem solucionar essa dificuldade incluem o compartilhamento de alguns dados do usuário (como dados gerais de geolocalização) e o uso de técnicas de gerenciamento de carga dos CDN’s por parte do ISP.

Considerando a conformidade com a LGPD para informações dos usuários de sistemas computacionais, a consulta de DNS será um problema se os ISP’s não tiverem mais a visibilidade desses dados. A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) poderá solicitar as informações relativas aos servidores de DNS, mas precisará saber qual servidor DNS os clientes usam para apresentar sua solicitação, e pode acontecer de os servidores não reterem os registros necessários.

Comentários