Gigantes da tecnologia, como Microsoft, Google e Mozilla, estão na vanguarda da implementação do DNS sobre HTTPS (DoH). Essa inovação tecnológica tem como objetivo encriptar as pesquisas de DNS, reforçando, assim, a segurança e a privacidade online. Contudo, a sua implementação não está isenta de controvérsia, com empresas como a Comcast a fazerem lobby contra esta tecnologia. Entenda os pontos cruciais deste avanço tecnológico.
O que significa DNS sobre HTTPS?
A tendência da web é encriptar todo o tráfego por padrão. Atualmente, grande parte dos sites que visitamos utilizam encriptação HTTPS. Os navegadores contemporâneos, como o Chrome, sinalizam todos os sites que ainda utilizam o protocolo HTTP padrão como “não seguros”. O HTTP/3, a versão mais recente do protocolo HTTP, já integra a encriptação como característica nativa.
A encriptação assegura que as páginas web não sejam adulteradas durante a navegação, nem que a atividade online seja passível de espionagem. Por exemplo, ao aceder ao Wikipedia.org, o operador de rede – seja um hotspot Wi-Fi público ou o seu próprio ISP – consegue apenas identificar a sua ligação ao site wikipedia.org. O conteúdo do artigo que está a ler e qualquer alteração que possa ocorrer nesse mesmo artigo permanecem protegidos.
No entanto, o sistema DNS tem sido tradicionalmente negligenciado no que diz respeito à encriptação. O sistema de nomes de domínio (DNS) permite que nos conectemos a websites através de nomes de domínio, em vez de endereços IP numéricos complexos. Quando digitamos um nome de domínio como google.com, o nosso sistema contacta o servidor DNS pré-configurado para obter o endereço IP correspondente a google.com, para posteriormente se ligar a esse endereço IP.
Até agora, estas pesquisas DNS não eram encriptadas. Ao conectarmo-nos a um site, o sistema emite uma solicitação indicando a procura pelo endereço IP correspondente a esse domínio. Qualquer entidade intermediária – potencialmente o ISP, mas também um hotspot Wi-Fi público que monitorize o tráfego – pode registar os domínios que estão a ser acedidos.
O DNS sobre HTTPS soluciona este problema. Ao utilizar o DoH, o seu sistema estabelece uma ligação segura e encriptada com o servidor DNS, transmitindo a solicitação e a resposta através dessa ligação. Desta forma, ninguém consegue ver os nomes de domínio procurados, nem consegue manipular a resposta.
Atualmente, a maioria dos utilizadores recorre aos servidores DNS fornecidos pelo seu provedor de internet. No entanto, existem diversos servidores DNS de terceiros, como o 1.1.1.1 da Cloudflare, o DNS público do Google e o OpenDNS. Estes provedores de terceiros estão entre os pioneiros a implementar o suporte para DNS sobre HTTPS. Para usufruir do DNS sobre HTTPS, necessita de um servidor DNS e um cliente (navegador web ou sistema operativo) que ofereça suporte a esta tecnologia.
Quem está a apoiar esta iniciativa?
O Google e a Mozilla já estão a testar o DNS sobre HTTPS no Google Chrome e no Mozilla Firefox. A 17 de novembro de 2019, a Microsoft anunciou que iria implementar o DoH na estrutura de rede do Windows. Esta decisão assegura que todas as aplicações do Windows beneficiem do DNS sobre HTTPS, sem a necessidade de programação específica para suportá-lo.
Segundo o Google, o DoH será ativado por padrão para 1% dos utilizadores a partir do Chrome 79, com lançamento previsto para 10 de dezembro de 2019. Nessa versão, poderá aceder a chrome://flags/#dns-over-https para habilitar esta função.
A Mozilla indica que irá ativar o DNS sobre HTTPS para todos em 2019. Na versão estável atual do Firefox, esta opção pode ser encontrada em Menu > Opções > Geral, e em “Definições” nas Definições de rede. Basta ativar “Habilitar DNS sobre HTTPS”.
A Apple ainda não divulgou informações sobre os seus planos relativamente ao DNS sobre HTTPS, mas espera-se que a empresa acompanhe a tendência e implemente suporte no iOS e macOS, tal como o resto da indústria.
Embora ainda não esteja ativado por padrão para todos os utilizadores, o DNS sobre HTTPS tem o potencial de tornar a utilização da Internet mais privada e segura, assim que a sua implementação estiver concluída.
Por que a Comcast se opõe a esta iniciativa?
Até ao momento, tudo parece pacífico, mas existe controvérsia. Aparentemente, a Comcast tem estado a fazer lobby junto do Congresso para impedir o lançamento do DNS sobre HTTPS pelo Google.
Numa apresentação feita aos legisladores e obtida pela Motherboard, a Comcast argumenta que o Google está a implementar “planos unilaterais” (juntamente com a Mozilla) para ativar o DoH e “centralizar a maior parte dos dados DNS mundiais no Google”, o que “representaria uma mudança drástica na arquitetura descentralizada da Internet”.
Grande parte destas alegações são, francamente, falsas. Marshell Erwin, da Mozilla, afirmou à Motherboard que “os slides em geral são extremamente enganosos e imprecisos”. Numa publicação de blog, Kenji Beaheux, gestor de produto do Chrome, reforça que o Google Chrome não obriga ninguém a mudar o seu provedor de DNS. O Chrome irá respeitar o provedor de DNS atual do sistema – e caso este não suporte DNS sobre HTTPS, o Chrome não irá utilizar esta funcionalidade.
Desde então, a Microsoft anunciou planos para implementar o DoH ao nível do sistema operativo Windows. Com a adesão da Microsoft, Google e Mozilla, esta iniciativa está longe de ser um esquema “unilateral” do Google.
Alguns sugerem que a Comcast se opõe ao DoH porque deixaria de conseguir recolher dados de pesquisa DNS. No entanto, a Comcast prometeu não espionar as pesquisas DNS dos seus clientes. A empresa insiste que apoia o DNS encriptado, mas prefere uma “solução colaborativa para todo o setor” em vez de uma “ação unilateral”. As mensagens da Comcast são contraditórias – os seus argumentos contra o DNS sobre HTTPS foram claramente dirigidos aos legisladores e não ao público.
Como irá funcionar o DNS sobre HTTPS?
Apesar das estranhas objeções da Comcast, vamos analisar o funcionamento do DNS sobre HTTPS. Quando o suporte DoH estiver ativado no Chrome, este utilizará o DNS sobre HTTPS apenas se o servidor DNS atual do sistema for compatível com esta funcionalidade.
Por outras palavras, se o seu provedor de internet for a Comcast, e esta se recusar a suportar o DoH, o Chrome irá funcionar como atualmente, sem encriptar as pesquisas DNS. Caso utilize outro servidor DNS – como o Cloudflare DNS, o Google Public DNS ou o OpenDNS, ou se o seu ISP suportar o DoH – o Chrome irá utilizar a encriptação para comunicar com o seu servidor DNS atual, “atualizando” automaticamente a ligação. Os utilizadores podem optar por deixar de utilizar provedores de DNS que não oferecem DoH – como a Comcast – mas o Chrome não fará isso automaticamente.
Isto também significa que quaisquer soluções de filtragem de conteúdo que utilizem DNS não serão interrompidas. Caso utilize o OpenDNS e tenha configurado determinados sites para serem bloqueados, o Chrome manterá o OpenDNS como o servidor DNS padrão e nada se alterará.
O Firefox funciona de forma um pouco diferente. A Mozilla optou por usar o Cloudflare como provedor de DNS encriptado do Firefox nos EUA. Mesmo que tenha configurado um servidor DNS diferente, o Firefox irá enviar as suas solicitações DNS para o servidor DNS 1.1.1.1 da Cloudflare. O Firefox permite desativar esta função ou utilizar um provedor DNS encriptado personalizado, mas o Cloudflare será o padrão.
A Microsoft afirma que o DNS sobre HTTPS no Windows 10 funcionará de forma semelhante ao Chrome. O Windows 10 irá respeitar o servidor DNS padrão e só irá ativar o DoH caso o servidor DNS escolhido o suporte. No entanto, a Microsoft afirma que irá guiar “utilizadores e administradores do Windows preocupados com a privacidade” nas definições do servidor DNS.
O Windows 10 pode sugerir a alteração do servidor DNS para um que seja protegido com DoH, mas a Microsoft garante que o Windows não irá realizar essa alteração por si.