Serviço Safe DNS do Firefox Nightly entra em fase de testes

Emanuel Negromonte
Por Emanuel Negromonte

Durante o mês julho deste ano, testes planejados para o Firefox Nightly foram realizados envolvendo Safe DNS (DNS seguro) via protocolo DNS over HTTPS (DoH). Cerca de 25.000 usuários do Firefox Nightly concordaram em fazer parte dos experimentos Nightly e participaram deste estudo. A Cloudflare foi quem proveu os servidores DoH que foram usados ??de acordo com a política de privacidade com a qual eles entraram em acordo com a Mozilla. Cada usuário recebeu adicionalmente informações diretamente no navegador sobre o projeto. Essas informações incluíram o provedor de serviços e uma oportunidade de recusar a participação no estudo.

Atualmente, os usuários de navegadores estão enfrentando problemas de espionagem e falsificação de suas informações de DNS devido à confiança no protocolo DNS tradicional não protegido. Usar um serviço confiável baseado em nuvem DoH no lugar do DNS tradicional é uma mudança significativa em como a rede opera e levanta muitas coisas a serem consideradas à medida que avançamos na seleção de servidores. No entanto, a experiência inicial concentrou-se em validar duas questões técnicas importantes:

  1. O uso de um serviço DNS na nuvem funciona bem o suficiente para substituir o DNS tradicional?
  2. O uso de um serviço DNS na nuvem cria erros de conexão adicionais?

Destaques e resultados do Safe DNS

O HTTPS com um provedor de serviços de nuvem mostra um impacto menor no desempenho na maioria das consultas DNS não armazenadas em cache, em comparação com o DNS tradicional. A maioria das consultas foi em torno de 6 milissegundos mais lenta, o que parece ser um custo aceitável para o benefício de proteger os dados. No entanto, as transações de DNS mais lentas apresentaram desempenho muito melhor com o novo sistema baseado em DoH do que o tradicional – às vezes centenas de milésimos de segundo melhor.

servico-safe-dns-experimental-do-firefox-nightly-entra-em-fase-de-testes

O gráfico acima mostra a melhoria da distribuição de desempenho do DoH em relação à distribuição tradicional de desempenho do DNS. As trocas de DNS mais rápidas estão à esquerda do gráfico e as mais lentas à direita. Os 20% mais lentos das trocas de DNS são radicalmente aprimorados (melhorias de vários segundos são truncadas por razões de formatação de gráficos ao extremo), enquanto a maioria das trocas exibe uma pequena quantidade tolerável de sobrecarga ao usar um serviço de nuvem. Isso mostra um bom resultado.

A equipe do Firefox levantou a hipótese de que as melhorias na cauda da distribuição derivaram de duas vantagens que o DoH oferece em comparação com o DNS tradicional. Primeiro, a consistência da operação de serviço – ao lidar com milhares de sistemas operacionais diferentes que são sobrecarregados, não-mantidos ou encaminhados para locais estranhos. Em segundo lugar, o uso do HTTP de recuperação moderna de perdas e controle de congestionamento permite que ele opere melhor em redes muito ocupadas ou de baixa qualidade.

O experimento também considerou as taxas de erro de conexão e descobriu que os usuários que usavam o serviço de nuvem DoH no modo ‘soft-fail’ não apresentavam taxas diferentes de erros de conexão estatisticamente significantes do que os usuários de um grupo de controle usando DNS tradicional. O modo de falha de software usa principalmente o DoH, mas ele faz fallback para o DNS tradicional quando um nome não é resolvido corretamente ou quando uma conexão com o endereço fornecido pelo DoH falha. A taxa de erro de conexão mede se um canal HTTP pode ser estabelecido com êxito a partir de um nome e, portanto, incorpora os fallbacks em suas medições. Esses fallbacks são necessários para garantir uma operação contínua na presença de serviços com firewall e portais cativos.

Estamos comprometidos a longo prazo com a construção de um ecossistema maior de provedores confiáveis ??de DoH que atendem a um alto padrão de manipulação de dados. Também estamos trabalhando em preservar a privacidade de dividir as transações do DNS entre um conjunto de provedores e / ou fazer uma parceria com os servidores geograficamente. Futuras experiências provavelmente refletirão esse trabalho, à medida que continuamos a avançar em direção a um futuro com DNS seguro implantado para todos os nossos usuários, diz a equipe do Firefox Nightly.

Precisa de mais informações sobre o assunto? Então confira o planejamento inicial dos testes da Mozilla, a política de privacidade da Mozilla, e as mudanças que ocorreram na rede durante os testes.

Share This Article
Follow:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.