Com ajuda da Apple, Cloudflare cria padrão mais seguro para resolvedores de DNS

A Cloudflare anunciou, recentemente, um novo padrão para sistemas de nomes de domínio (DNS) que promete trazer mais privacidade para os internautas, garantindo que ninguém — nem mesmo a sua provedora — consiga bisbilhotar em quais sites você está visitando. A arquitetura, chamada de Oblivious DNS over HTTPS (ODoH ou DNS Absorta sobre HTTPS, em uma tradução livre) também conta com o apoio da PCCW Global, da Surf e da Equinix.

• Servidor DNS: Veja como escolher o melhor para acelerar sua navegação
• 1.1.1.1 | Empresa lança serviço de DNS gratuito, seguro e veloz
• DNS da Cloudflare promete VPN simples e rápida para usuários mobile

O sistema DNS, vale lembrar, é responsável por “traduzir” os domínios que usamos para visitar websites (exemplo: canaltech.com.br) em endereços IP que são compreendidos pelas máquinas. Ao digitar o endereço de um site na barra de seu navegador, o browser faz uma requisição para um resolvedor DNS, que nada mais é do que uma espécie de “catálogo” que vai entender, na linguagem das máquinas, qual é a página requisitada.

Uma vez que o resolvedor tenha encontrado a página (na forma de uma sequência numérica), ele “devolve” essa informação para seu navegador, que saberá exatamente onde ele deve ir no vasto universo que é a world wide web para encontrar o conteúdo que você procura e exibi-lo na tela do seu computador. Todo esse processo ocorre em questão de microssegundos, sendo que, quanto mais ágil for o resolvedor, mais rápido será o processo.

O problema é…

Esse sistema não foi projetado para ser seguro. O resolvedor DNS recebe, junto com a requisição, o seu endereço IP, o que lhe permite saber exatamente quem está acessando qual website. Ademais, eventuais agentes posicionados “no meio do caminho”, como sua operadora de internet, também são capazes de bisbilhotar essa informação — algo um tanto desconfortável, especialmente para quem acessa materiais sensíveis.

Para tentar resolver esse problema, foi criado o DNS over HTTPS (DoH), que criptografa as requisições, permitindo que elas sejam lidas apenas pelo resolvedor. A invenção ajudou um pouco — pelo menos a sua operadora se tornou incapaz de te rastrear, mas você ainda precisa confiar muito em seu resolvedor, que continuará tendo acesso às mesmas informações ao descriptografar as requisições para atendê-las.

A Cloudflare criou, há poucos anos, seu próprio resolvedor seguro para tranquilizar os internautas mais paranoicos com segurança — o 1.1.1.1, que chegou a ter uma ótima adesão. Ainda assim, mesmo sendo um produto próprio, a companhia continuou incomodada com a ideia de só existir um único resolvedor que se preocupa com a privacidade dos usuários. E foi por isso que ela criou o ODoH.

Um ponto extra no sistema

O que o ODoH propõe é adicionar mais um elemento entre a comunicação de seu computador (que aqui chamaremos de cliente) e o resolvedor DNS: um servidor proxy, administrado por uma empresa sem quaisquer ligações com este último ponto do sistema, e que ficará responsável por esconder parte das informações. A criptografia via HTTPS continua sendo empregada.

O proxy será o intermediário — ele receberá a requisição do cliente (de forma criptografada; ou seja, sem saber que você digitou canaltech.com.br) e encaminhará ao resolvedor, mas emprestará seu próprio endereço IP para esconder o IP do cliente. Em seguida, o resolvedor faz seu trabalho e envia o IP do servidor de destino para o proxy; novamente, de maneira criptografada, de forma que o proxy não saiba qual é a página em questão.

Por fim, o proxy só repassará o IP do servidor de destino para seu navegador. Pronto! O acesso ao website foi feito de forma privada: o proxy sabe quem você é, mas não o que você está acessando; por outro lado, o resolvedor sabe o que você está acessando, mas jamais saberá quem você é. Em suma, as informações sensíveis (sua identidade e o conteúdo requisitado) foram separados em duas camadas de segurança diferentes.

Fazendo um paralelo, se você pedir um livro a um bibliotecário, ele saberá que você lerá aquele livro. Agora, se você tiver alguém para ir à biblioteca por você, pegar o livro dentro de um pacote fechado e entregá-lo... O bibliotecário nunca saberá quem realmente lerá o livro e o mensageiro jamais saberá qual livro foi transportado.

Quando teremos?

Infelizmente, o anúncio do ODoH não significa que o sistema passará a funcionar amanhã. Ele ainda está sendo aprimorado e revisado por entidades responsáveis por controlar padrões web. Ademais, a proposta precisa ser adotada pelos navegadores (o Firefox mostrou demasiado interesse na ideia), e tanto os proxies quanto os resolvedores precisam ser configurados para trabalhar da maneira descrita anteriormente.

Isso levará algum tempo, mas, ainda assim, é um passo importante para uma web mais segura e que respeite melhor a privacidade do internauta.

Fonte: Cloudflare