Blog

Quando o DNS foi inventado, já lá vão quase 35 anos, o objetivo era fazer a Internet crescer. Os problemas de segurança e privacidade não estavam em consideração porque quase ninguém usava ainda a Internet. Nos anos posteriores o DNS foi aumentado com capacidade para autenticar a informação que ele transporta, com o DNSSEC, mas toda a informação continua a circular pela Internet em texto sem encriptar. Qualquer elemento da rede capaz de ler o tráfego da rede é capaz de ler quais as perguntas de DNS que cada pessoa anda a fazer. Em princípio pode-se pensar que isto não tem grande importância, porque o DNS só indica o site que se quer visitar ou para onde se quer enviar um email. O DNS seria "só metadados”.

Com o tempo percebeu-se que esses metadados dão muita informação para quem quiser fazer uma análise e começou-se a falar de como proteger o tráfego de DNS das "escutas” na Internet.

A primeira proposta para tentar remediar esta situação foi publicada por Dan Bernstein com o nome DNSCurve e foi pensada para esconder a informação nas comunicações entre servidores de DNS recursivos (os dos prestadores de serviços para os clientes) e os de DNS autoritativos (os dos sites, TLDs, etc). Foi publicada fora da IETF e não viu grande aceitação, mas um prestador de serviços de segurança e DNS, a OpenDNS, fez uma implementação para as comunicações entre os clientes e os seus servidores recursivos.

Por outro lado, a IETF começou a trabalhar na moficiação do protocolo de transporte do DNS (desde o início têm sido UDP e TCP), adicionando TLS de forma a encriptar o tráfego, e assim nasceu o DTLS (DNS over TLS).

Todos estes avanços mantinham o DNS, até agora conhecido, sem modificações e escondiam a informação sob uma capa de proteção. Modificações relativamente simples e que não alteravam praticamente o DNS utilizado até agora.

No entanto, em paralelo e de forma independente, a IETF começou a trabalhar numa outra alternativa. Conhecida como DNS over HTTPS (DoH), afasta-se muito mais do DNS tradicional e esconde as mensagens de DNS como se fossem dados a ser transportados por HTTP com proteção TLS, como os dados da Web de qualquer site HTTPS. A mensagem passa a não ser só uma encapsulação de DNS, mas sim um novo tipo de mensagem sob HTTPS. Também é obrigatório utilizar a Porta 443 para as comunicações.

A intenção é não só esconder as mensagens de DNS com encriptação, mas também esconder o próprio tráfego de DNS junto com o resto do tráfego da Web. Desta forma evita-se o possível bloqueio do acesso aos servidores de DNS, que tem sido utilizado por vários governos pelo mundo fora, e também é mais difícil distinguir tráfego de DNS de outro tráfego HTTPS.

O DoH contou logo à partida com o apoio da Mozilla, que incorporou o protocolo no Firefox e que viu aceitação do lado dos servidores de DNS recursivos abertos (de serviço geral para a Internet, em vez de só para clientes, como costuma ser o caso dos prestadores de serviços de Internet), com a implementação da Cloudflare no servidor 1.1.1.1.

A polémica chegou logo a seguir porque a Mozilla optou por fazer com que essa fosse a forma de utilizar o DNS por defeito no Firefox, sem o utilizador fazer nada. Imediatamente, levantam-se dois problemas:

- está-se a fugir da intervenção na privacidade pelos governos ao mesmo tempo que se entrega toda essa informação a uma companhia privada americana (alguns diriam, mais uma). Será esta a melhor escolha? Cada um terá de tomar uma decisão, esperamos que com informação.

- está-se a abrir a porta a um bypass das políticas de segurança e controlo de acesso em redes sensíveis, tais como empresas, agências estatais ou mesmo as políticas de controlo parental em casa de cada um, tornando não só possível, senão mesmo fácil, fugir a esse tipo de controlo.

Como em tudo, a tecnologia não é boa nem má por si só e depende de como for utilizada. Para começar será preciso ter informação para saber como isto afeta a privacidade de cada um de nós, assim como a segurança das nossas redes.

Por fim, e só como nota de rodapé, o DoH, ao modificar a forma como o DNS é manipulado, poderia ser também uma porta aberta para uma nova etapa na evolução dos serviços de DNS num futuro próximo.