Cloudflare, Apple e Fastly co-projetaram e propuseram um novo padrão de DNS para lidar com problemas de privacidade contínuos associados ao DNS. Tanya Verma e Sudheesh Singanamalla da Cloudflare anunciaram suporte para o novo padrão, que separa os endereços IP das consultas, uma medida que, espera-se, vai mascarar as solicitações e tornará mais difícil para os usuários serem rastreados on-line. Segundo a Cloudflare, trata-se do Oblivious DoH.
O Domain Name System (DNS), que sustentou a arquitetura on-line durante anos, em sua forma básica ainda envia consultas sem criptografia. Portanto, qualquer pessoa que espreite nos caminhos de rede entre o seu dispositivo e os resolvedores de DNS pode visualizar as consultas. Elas contêm nomes de host – ou endereços de sites solicitados – e endereços IP.
O DNS over HTTPS (DoH) e DNS over TLS (DoT) foram projetados para proteger esses caminhos por meio da criptografia DNS padronizada da Internet Engineering Task Force (IETF). Assim, reduz o risco de interceptação ou modificação de consultas – por exemplo, evitando que invasores redirecionem usuários de domínios legítimos para endereços maliciosos. Terceiros, como ISPs, também acham mais difícil rastrear visitas a sites quando o DoH está ativado.
Cloudflare oferece suporte a um novo padrão DNS para a privacidade e segurança
A implantação do DoH está prevista para muitos dos principais fornecedores de navegadores, embora os planos de implantação estejam em andamento. Agora, Oblivious DNS over HTTPS (ODoH) chega como uma proposta da Cloudflare. Projeto tem a parceria de outras gigantes como PCCW Global, Surf e Equinix. Ideia é aprimorar esses modelos, adicionando uma camada de criptografia de chave pública e um proxy de rede.
Pesquisa conduzida pela Princeton University e pela University of Chicago, “Oblivious DNS: Practical Privacy for DNS Queries“, (.PDF) publicada em 2019 por Paul Schmitt, Anne Edmundson, Allison Mankin e Nick Feamster, forneceu a inspiração para o novo padrão proposta.
O objetivo geral do ODoH é desacoplar proxies do cliente. Então, insere-se um proxy de rede entre os clientes e servidores DoH. É o caso do DNS público 1.1.1.1 da Cloudflare. Assim, a combinação disso e da criptografia de chave pública “garante que apenas o usuário tenha acesso às mensagens DNS e aos seus próprio endereço IP ao mesmo tempo”, de acordo com Cloudflare.
ODoH
O destino descriptografa as consultas criptografadas pelo cliente, por meio de um proxy, explicou a Cloudflare. Da mesma forma, o destino criptografa as respostas e as retorna ao proxy. O padrão diz que o destino pode ou não ser o resolvedor. O proxy faz o que um proxy deve fazer, ao encaminhar mensagens entre o cliente e o destino. o cliente se comporta como no DNS e no DoH, mas difere criptografando consultas para o destino e descriptografando as respostas do destino. Qualquer cliente que escolher fazer isso pode especificar um proxy e um destino de sua escolha.
Como resultado, o ODoH deve garantir que apenas os destinos possam visualizar uma consulta e o endereço IP do proxy; ler o conteúdo de uma consulta ou produzir uma resposta, e o proxy não terá visibilidade das mensagens DNS.
A Cloudflare diz que, enquanto não houver “conluio” ou compromisso entre proxies e servidores de destino, os invasores não devem ser capazes de interferir nas conexões.
Como se faz o trabalho
A Cloudflare está trabalhando atualmente com a IETF no padrão e planeja adicionar ODoH aos resolvedores de stub existentes, incluindo cloudflared. É importante observar que o ODoH ainda está em desenvolvimento e as empresas estão testando o desempenho em diferentes proxies, destinos e níveis de latência.
Por outro lado, já existe um rascunho ODoH para o IETF.
Os testes estão ocorrendo. No entanto, até a chegada definitiva deste novo recurso, pode levar algum tempo. Porém, Eric Rescorla, CTO do Firefox, já indicou que o Firefox vai “experimentar” o ODoH.
Esperamos que mais operadoras se juntem a nós ao longo do caminho e forneçam suporte para o protocolo, executando proxies ou destinos, e esperamos que o suporte ao cliente também aumente à medida que a infraestrutura disponível aumentar, diz a Cloudflare. O protocolo ODoH é uma abordagem prática para melhorar a privacidade dos usuários e visa melhorar a adoção geral de protocolos DNS criptografados sem comprometer o desempenho e a experiência do usuário na Internet.
Em outubro, a Cloudflare estreou o API Shield, um serviço gratuito que usa uma configuração “negar tudo” para recusar conexões de entrada em servidores API, a menos que certificados criptográficos e chaves adequados sejam fornecidos. Portanto, vamos aguardar até a estreia do Oblivious DoH da Cloudflare, com novo padrão DNS de privacidade e segurança.
ZDNet