Ir para conteúdo
  • Cadastre-se
  • Entre para seguir isso  

    Entenda o DNS sobre HTTPS

       (2 análises)

    Um pouco depois das revelaçōes de Edward Snowden sobre monitoração generalizada da internet por entidades governamentais, a IETF (Internet Engineering Taskforce - uma comunidade de gente interessada na engenharia da internet) criou um grupo de trabalho para rever a privacidade do DNS e o nomeou "DPRIVE" - abreviação para DNS Privacy.

    Pensar em jeitos de tornar as resoluçōes deste protocolo tão fundamental menos manipuláveis e mais secretas sem perder muita velocidade é o abacaxi que foi dado a esse grupo, que tem trabalhado bastante e gerado alguns frutos.

    Mais recentemente um deles ficou mais conhecido entre nós quando a Cloudflare lançou um serviço de DNS focado em privacidade e rapidez e anunciou suporte a uma das propostas do IETF para DNS seguro-privado-rápido , o DOH (DNS over HTTPS), que dá nome à este artigo.

    A sacada do DOH é possibilitar queries (consultas) DNS criptografadas (tchau entidades governamentais tentando espionar 👻) que são difíceis de diferenciar de outros tráfegos criptofragados (tchau provedores tentando fazer bandwith throttling ou traffic shaping).

    Mas afinal, como isto funciona?

    Basicamente as queries DNS se tornam um request HTTP do tipo POST ou GET para uma URL definida pelo serviço de DNS. Essas requests são trafegadas dentro de uma sessão TLS e formatadas como JSONs codificados em base64. No JSON temos os campos definindo o tipo do registro a ser consultado (A, CNAME, AAA, etc).

    Para visualizar aqui vai um exemplo de solicitação de uma query para resolver o nome www.exemplo.com usando o método POST, tirado direto do rascunho da RFC:

    :method = POST
    :scheme = https
    :authority = dnsserver.example.net
    :path = /dns-query
    accept = application/dns-udpwireformat
    content-type = application/dns-udpwireformat
    content-length = 33

    E o conteúdo de 33 bytes da query:

       00 00 01 00 00 01 00 00  00 00 00 00 03 77 77 77
       07 65 78 61 6d 70 6c 65  03 63 6f 6d 00 00 01 00
       01

    Não é lindo? Sim é. Mas se você quiser usar por enquanto terá que se aventurar. Um dos poucos (único?) navegadores que suporta este recurso é o Firefox em sua versão Nightly (sai um novo release toda noite!). Para configurar, os passos são:

    1. Digite about:config na barra de endereços e pressione [ENTER].
    2. Altere o valor dos seguintes parâmetros de acordo:
    netowrk.trr.bootstrapAddress:   1.1.1.1
    network.trr.uri:                https://mozilla.cloudflare-dns.com/dns-query
    network.trr.mode:               2 (usa DOH primariamente, mas faz fallback pro DNS atual)

    Outros projetos utilizando DOH estão surgindo no Github. O DNS-over-HTTPS proxy, por exemplo, cria um proxy de modo que as consultas DNS sejam redirecionadas para o serviço do Google que suporta DOH.

    O mais legal é que a preocupação com privacidade e liberdade individual continuará a resultar em mais projetos como este para salvar nossa internet de quem se acha dono dela. 🙂

    Se você ficou interessado, dá uma pesquisada nos outros candidatos a DNS seguro:

    • DNS over TLS (RFC 7858)
    • DNS over DTLS (RFC 8094)
    • DNS over QUIC (ID-draft)
    • DNS over DNSCrypt (independente)
    • DNS over TOR (independente)
    • Agradecer 1
    • Curtir 5
    Entre para seguir isso  


    Feedback do Usuário

    Comentários Recomendados

    Isso não protege totalmente a privacidade, ainda existe o SNI enviado no certificado. Entre todos os métodos de DNS encriptado e autenticado, eu prefiro o DNSCrypt, ele não depende de qualquer autoridade certificadora, o que faz ser muito mais seguro se uma autoridade for corrupta (vise WoSign, recentemente).

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites


    Crie uma conta ou entre para comentar

    Você precisar ser um membro para fazer um comentário

    Criar uma conta

    Crie uma nova conta em nossa comunidade. É fácil!

    Crie uma nova conta

    Entrar

    Já tem uma conta? Faça o login.

    Entrar Agora

×