Analisamos opiniões sobre os recursos do DNS sobre HTTPS, que recentemente se tornaram um "ponto de discórdia" entre provedores de Internet e desenvolvedores de navegadores.
/ Unsplash / Steve HalamaA essência do desacordo
Recentemente,
grandes mídias e
plataformas temáticas (incluindo Habr) costumam escrever sobre o protocolo DNS sobre HTTPS (DoH). Ele criptografa consultas ao servidor DNS e respostas a eles. Essa abordagem permite ocultar os nomes de host que o usuário acessa. A partir das publicações, podemos concluir que o novo protocolo (
aprovado pela IETF em 2018) dividiu a comunidade de TI em dois campos.
Metade acredita que o novo protocolo aumentará a segurança da Internet e a implementará em seus aplicativos e serviços. A outra metade está convencida de que a tecnologia complica apenas o trabalho dos administradores de sistema. Em seguida, analisamos os argumentos de ambos os lados.
Como funciona o DoH
Antes de falarmos sobre por que os provedores de serviços da Internet e outros participantes do mercado são a favor ou contra o DNS pelo HTTPS, discutiremos brevemente os princípios de sua operação.
No caso de DoH, uma solicitação de endereço IP é encapsulada no tráfego HTTPS. Em seguida, ele vai para o servidor HTTP, onde é processado usando a API. Aqui está um exemplo de solicitação da RFC 8484 (
p. 6 ):
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message
Assim, o tráfego DNS está oculto no tráfego HTTPS. O cliente e o servidor se comunicam na porta padrão 443. Como resultado, as solicitações ao sistema de nomes de domínio permanecem anônimas.
Por que eles não o favorecem
Os opositores do DNS sobre HTTPS
dizem que o novo protocolo reduzirá a segurança da conexão. Segundo Paul Vixie, membro da equipe de desenvolvimento de DNS, será mais difícil para os administradores de sistema bloquear sites potencialmente maliciosos. Ao mesmo tempo, usuários comuns perderão a capacidade de configurar o controle dos pais condicional nos navegadores.
A opinião de Paul é compartilhada pelos provedores de serviços de Internet do Reino Unido. A
legislação do país
exige que eles bloqueiem recursos com conteúdo proibido. Mas o suporte ao DoH nos navegadores complica a tarefa de filtrar o tráfego. Os críticos do novo protocolo também incluem o Government Communications Centre of England (
GCHQ ) e a Internet Watch Foundation (
IWF ), que mantém um registro de recursos bloqueados.
Em nosso blog sobre Habré:
Especialistas dizem que o DNS sobre HTTPS pode se tornar uma ameaça à segurança cibernética. No início de julho, os especialistas em segurança da Netlab
descobriram o primeiro vírus que usava um novo protocolo para ataques DDoS -
Godlua . O malware recorreu ao DoH para recuperar registros de texto (TXT) e recuperar os URLs dos servidores de gerenciamento.
As solicitações de DoH criptografadas não foram reconhecidas pelo software antivírus. Os especialistas em segurança da informação
temem que, depois de Godlua, ocorram outros malwares invisíveis ao monitoramento passivo do DNS.
Mas nem tudo é contra
Em defesa do DNS sobre HTTPS, o engenheiro da APNIC Geoff Houston
falou em seu blog. Segundo ele, o novo protocolo permitirá lidar com ataques de seqüestro de DNS, que recentemente se tornaram cada vez mais comuns. Esse fato
confirma o relatório de janeiro da empresa de segurança da informação FireEye. O desenvolvimento do protocolo foi apoiado por grandes empresas de TI.
No início do ano passado, o DoH começou a ser testado no Google. E há um mês, a empresa
lançou a versão Disponibilidade Geral de seu serviço DoH. O Google
espera aumentar a segurança dos dados pessoais na rede e proteger contra ataques MITM.
Outro desenvolvedor de navegador, a Mozilla, oferece
suporte ao DNS por HTTPS desde o último verão. Ao mesmo tempo, a empresa está promovendo ativamente novas tecnologias no ambiente de TI. Por isso, a ISPA (Internet Service Providers Association)
até nomeou a Mozilla para o prêmio "Vilão do ano na Internet". Em resposta, os representantes da empresa
disseram estar decepcionados com a relutância das operadoras de telecomunicações em melhorar a infraestrutura desatualizada da Internet.
/ Unsplash / TETrebbienMídia grande e alguns provedores de serviços de Internet
falaram em apoio ao Mozilla. Em particular, a British Telecom
acredita que o novo protocolo não afetará a filtragem de conteúdo e aumentará a segurança dos usuários britânicos. Sob pressão do público, o ISPA
teve que retirar a indicação de "vilão".
Além disso, a adoção do DNS sobre HTTPS foi
suportada por provedores de nuvem, como o
Cloudflare . Eles já oferecem serviços DNS com base no novo protocolo. Uma lista completa de navegadores e clientes com suporte a DoH está disponível no
GitHub .
De qualquer forma, ainda não há necessidade de falar sobre o fim do confronto entre os dois campos. Os especialistas em TI prevêem que, se o DNS sobre HTTPS for destinado a fazer parte da enorme pilha de tecnologias da Internet, levará mais
de uma década .
O que mais estamos escrevendo em nosso blog corporativo: