O Google anunciou a disponibilidade geral de seu serviço público de DNS-over-HTTPS na quarta-feira, com base no padrão RFC 8484 da Internet Engineering Task Force. A mudança é o culminar de três anos de ajuste do DNS pelo Google sobre HTTPS, também conhecido como DoH.

“Hoje estamos anunciando disponibilidade geral para nosso serviço padrão DoH. Agora, nossos usuários podem resolver DNS usando DoH no domínio dns.google com os mesmos endereços anycast (como 8.8.8.8) que o serviço de DNS regular, com latência mais baixa dos nossos PoPs de borda em todo o mundo”, escreveu Marshall Vale, gerente de produto e Alexander Dupuy, engenheiro de software em um blog de segurança do Google.

O movimento é um esforço do Google para aumentar a privacidade do consumidor, reduzir a ameaça de ataques man-in-the-middle e acelerar a internet com uma nova solução para proteger o tráfego do servidor de nomes de domínio que usa o canal HTTPS criptografado.

Outra camada de privacidade e segurança

Atualmente, o provedor de serviços de Internet de um usuário é, na maioria das vezes, o único participante das solicitações de DNS feitas por um navegador, principalmente porque o ISP sozinho é responsável pelo roteamento dessa solicitação. Quase tudo que um usuário faz on-line começa com uma consulta DNS. Sua função é mapear nomes de domínio (como example.com) para o endereço IP real do servidor que hospeda uma página da Web desejada.

As consultas DNS são enviadas em texto não criptografado (usando UDP ou TCP) e podem revelar os sites que um usuário visita, juntamente com metadados, como o nome de um site, quando ele foi visitado e com que frequência. Em outros casos, quando os filtros de conteúdo estão em vigor, os registros de DNS podem capturar IDs de usuários ou endereços MAC. E graças a um afrouxamento das regras de privacidade, agora os ISPs podem compartilhar a atividade de internet de seus usuários com terceiros.

Esforços semelhantes por parte das partes interessadas

Por essas razões, o DNS sobre TCP (DoT) é considerado um aspecto com vazamento do encanamento da Internet. É por isso que o Google e outros, como a Mozilla e a Cloudflare, uma provedora de redes de distribuição de conteúdo focada em segurança, vêm construindo e promovendo novas alternativas para o envio de tráfego usando UDP e TCP.

Em abril de 2018, a Cloudflare lançou seu próprio serviço DNS-over-HTTPS chamado 1.1.1.1. Mais recentemente, o grupo Firefox da Mozilla Foundation também anunciou que estava testando um serviço DNS-over-HTTPS com um pequeno grupo de usuários.

Privacidade, Segurança e Velocidade

Esses grupos argumentam que ataques do tipo man-in-the-middle (MiTM) frequentemente exploram a natureza insegura do DNS por meio de ataques DNS Spoofing ou DNS Hijacking ou DNS Poisoning. Os ataques MiTM envolvendo DNS são quando um hacker pode abusar de servidores DNS para redirecionar solicitações de páginas da Web e retornar sites ( ou arquivos ) falsos que pareciam ser legítimos.

Ao colocar o DNS em um canal criptografado com HTTPS, o ISP (hotspot Wi-Fi de hotel ou café) não pode mais espionar as consultas de DNS. Também torna mais difícil para os hackers seqüestrar ou falsificar a atividade do DNS, a fim de aproveitar um ataque MiTM.

Depois, há a questão da eficiência e confiabilidade. A Cloudflare afirma que o uso de um resolvedor de DNS por meio de uma solicitação HTTPS é mais eficiente e pode reduzir em até 15 milissegundos o tempo que leva para fazer consultas DNS para renderizar uma página da Web. "Ainda mais milissegundos podem ser minimizados quando o Cloudflare atua como o serviço de hospedagem DNS autoritativo", disse Prince. O Google também promete menor latência, mas não menciona aumentos específicos de velocidade.

A adoção do RFC 8484 é importante. A norma ainda não foi ratificada pela IETF, mas à medida que mais participantes da Internet a adotam, mais próximo está de se tornar formalmente um padrão de DoH. Em abril de 2018, especialistas disseram que o padrão poderia ser adotado em questão de semanas. Avanço rápido de 14 meses e RFC 8484 ainda está em discussão. O último ajuste da proposta foi em outubro de 2018.

Preocupações com segurança e privacidade

Embora muitos aplaudam as vantagens de usar o canal HTTPS criptografado para proteger o tráfego DNS, há alguns que alertam que, ao fazer isso, negociam um problema de privacidade e segurança com outro. Eles argumentam que, ao rotear o tráfego por meio de um sistema de gerenciamento de rede de distribuição de conteúdo (como o Cloudflare e outros), eles estão criando novos repositórios centrais para consultas DNS que podem ser invadidas ou usadas para minerar dados de informações pessoais identificáveis ??(PII).

Em entrevista ao Threatpost no ano passado, Matthew Prince, co-fundador e CEO da Cloudflare, disse: “Estamos comprometidos em não armazenar nenhum registro de DNS para o serviço por mais de 24 horas. Não gravamos os endereços IP de origem em disco - que são os únicos dados que podem identificar um cliente. Não temos interesse em ser um repositório centralizado de PII. Nosso modelo de negócios não é publicidade e não se trata de salvar dados”.

No teste do DoH do Google, sua política de privacidade declara:

“O endereço IP do seu cliente é registrado apenas temporariamente (apagado em um dia ou dois), mas as informações sobre ISPs e locais no nível da cidade / metrô são mantidas por mais tempo para tornar nosso serviço mais rápido, melhor e mais seguro.”