Eficácia e benefícios do DNS sobre HTTPS dividem especialistas e causam polêmica.
O navegador Firefox está começando a ativar um polêmico recurso de privacidade e segurança que promete melhorar a confiabilidade no acesso a sites e diminuir as informações que ficam disponíveis para intermediários no acesso à internet – como provedores e donos de redes Wi-F públicas.
Chamada de DNS sobre HTTPS (DoH, na sigla em inglês), a tecnologia visa proteger as solicitações que convertem nomes de sites (como g1.com) em números IP nos quais os computadores podem se conectar.
Por enquanto, a novidade só está valendo (por padrão) para usuários nos Estados Unidos. Ainda não há previsão para usuários no resto do mundo, mas a ativação deve ocorrer em etapas, conforme problemas forem ou não encontrados. Quem quiser usar o recurso desde já também pode, mas é preciso ativá-lo manualmente nas opções do navegador.
O DoH camufla o DNS em uma conexão HTTPS, "disfarçando" a consulta de um acesso a um site. Dessa forma, filtros e grampos programados para funcionar com o DNS simplesmente não vão enxergar os dados transmitidos por essa modalidade.
A medida divide especialistas por vários motivos. Alguns defendem uma tecnologia concorrente para a criptografia do DNS, o "DNS sobre TLS". Outros apontam problemas na decisão da Mozilla de habilitar a criptografia no Firefox de forma unilateral. Segundo essas críticas, o DoH no Firefox pode impor dificuldades para a administração de redes – principalmente em empresas – e burlar proteções no acesso à internet que hoje são gerenciadas pelo DNS.
A 'lista de contatos' da internet
O Domain Name Service (DNS) é como uma "agenda de contatos" da internet. Sempre que o sistema precisa acessar um site novo (um endereço como "g1.com.br" ou "globo.com"), o DNS precisa ser consultado para obter o endereço de IP do site desejado.
Assim como a rede de telefonia, a internet depende de números, então esse processo de consulta ao DNS é que traduz ("resolve", na linguagem técnica) os endereços dos sites (que são os "nomes da internet") em números de endereços IP.
O serviço de DNS é normalmente fornecido pelo provedor de internet. Na prática, o provedor saberá todos os sites que um cliente acessa. Mas o DNS é baseado em tecnologias muito antigas e não usa criptografia, o que deixa essas solicitações expostas para outros participantes da rede, principalmente em redes Wi-Fi.
Em alguns países, o DNS é monitorado e filtrado para bloquear o acesso a páginas censuradas. Mesmo que alguém escolha usar um serviço de DNS diferente – até de outro país –, a falta de criptografia no DNS permite que o governo intercepte essas consultas externas e bloqueie ou mude as informações durante o trânsito.
'Agente secreto'
Muitos serviços na internet possuem características únicas que os diferenciam facilmente em meio a outros fluxos de dados. O DNS tradicional é um desses serviços: não é preciso um equipamento de rede muito sofisticado para interceptar ou modificar as conexões do DNS no fluxo de dados.
Mas o DNS sobre HTTPS disfarça as consultas ao DNS, deixando-as no mesmo formato que um acesso a um site criptografado (HTTPS). Essa medida engana filtros e censores que procuram por tráfego específico de DNS, enquanto a criptografia impede que um intermediário na rede – inclusive o provedor de internet – observe facilmente quais são os sites que as pessoas estão acessando.
Diferentemente do tráfego HTTPS, que inclui todo que é enviado por streaming de vídeo e música, por exemplo, o tráfego de DNS tem um volume relativamente baixo. Se o DNS estiver misturado no HTTPS, o custo de uma tentativa de monitoramento tende a aumentar.
Quem vai perder
A simplicidade do DNS tradicional também é vantajosa em muitas situações. Redes de empresas, por exemplo, podem controlar o acesso a sites por meio dele, estabelecendo limites ou até bloqueando totalmente certas páginas – seja para evitar perda de produtividade ou bloquear sites contaminados com vírus.
Por regra, todos os programas devem obedecer ao DNS ajustado no sistema – mas o DoH no Firefox não respeita a configuração do sistema. Com isso, técnicos de rede e usuários que quiserem usar um serviço de DNS específico terão de configurá-lo duas vezes: uma no sistema e outra no próprio navegador.
Por enquanto, todos os usuários de DoH no Firefox vão usar o mesmo serviço de DNS, o que pode prejudicar algumas otimizações de tráfego de dados. Certas redes de distribuição de conteúdo podem encurtar o caminho do usuário a um site com base no provedor de DNS daquele usuário. Se o serviço de DNS usado não for o do provedor de internet, o usuário pode acabar fazendo downloads de um servidor mais longe – e mais lento.
Já a criptografia pode levar à diminuição da capacidade de monitoramento da rede, inibindo o funcionamento de sensores de alerta que detectam novos vírus ou tráfego suspeito.
Quem pode ganhar
Em teoria, o DoH pode aumentar a segurança de dissidentes políticos em regimes autoritários e impedir que consultas de DNS sejam interceptadas para redirecionar o acesso a páginas clonadas ou maliciosas.
No Brasil, criminosos atacam roteadores de internet, que são responsáveis por intermediar o DNS em redes domésticas. Com o DoH, controlado pelo navegador e não pelo roteador, essa fraude seria ineficaz.
Quem utiliza muitas redes Wi-Fi públicas também poderia sair ganhando, já que não precisaria mexer nas configurações de rede para garantir um acesso seguro ao DNS.
No entanto, alguns dos benefícios do DoH foram alvo de questionamentos. O método de conexão com sites seguros (HTTPS) revela informações sobre as páginas visitadas, da mesma forma que o DNS.
Portanto, a migração para o DoH não impede o mesmo tipo de monitoramento que antes – ele apenas obriga que algumas soluções de software sejam reprogramadas para funcionar na realidade do DoH.
Com isso, ativistas políticos que quiserem blindar um acesso à rede contra grampos e interceptações ainda serão obrigados a utilizar tecnologias como a rede Tor e redes virtuais privadas (VPNs), que criptografam todo o tráfego de internet em um canal seguro. Sendo assim, tudo permaneceria como é hoje.
A confiabilidade dos resultados do DoH é maior que a do DNS tradicional. Mas esse ganho pode não ser relevante, graças à utilização do HTTPS pelos próprios sites. Um resultado incorreto no DNS, que levaria o usuário para um site falso, poderia ser detectado pela ausência do certificado de segurança na página visitada.
No próprio Firefox, sites sem certificados estão sendo exibidos com um "cadeado riscado", enquanto no Chrome eles recebem o rótulo de "não seguro".
Quem também pode sair ganhando é a Cloudflare, que prestará o serviço de DoH padrão no Firefox. Na prática, a Cloudflare receberá parte das informações de navegação que hoje são enviadas ao provedor de internet de cada usuário.
Porém, a Cloudflare promete que não armazena nem utiliza as informações desse serviço, e garante que seu serviço de DNS faz o possível para proteger a privacidade dos usuários.
Fonte: G1
