Existem várias maneiras de proteger suas consultas de DNS, mas cada abordagem vem com seus próprios pontos fortes e fracos.
O Domain Name System (DNS) é amplamente considerado como a lista telefônica da Internet, convertendo nomes de domínio em informações que podem ser lidas por computadores, como endereços IP.
Sempre que você escreve um nome de domínio na barra de endereço, o DNS o converte automaticamente em seu endereço IP correspondente. Seu navegador usa essas informações para recuperar os dados do servidor de origem e carregar o site.
Mas os cibercriminosos geralmente podem espionar o tráfego DNS, tornando a criptografia necessária para manter sua navegação na web privada e segura.
O que são protocolos de criptografia de DNS?
Os protocolos de criptografia de DNS são projetados para aumentar a privacidade e a segurança de sua rede ou site, criptografando consultas e respostas de DNS. As consultas e respostas de DNS são enviadas regularmente em texto simples, o que torna mais fácil para os cibercriminosos interceptar e adulterar a comunicação.
Os protocolos de criptografia DNS tornam cada vez mais difícil para esses hackers visualizar e modificar seus dados confidenciais ou interromper sua rede. Existem vários provedores de DNS criptografados que podem proteger suas consultas de olhares indiscretos.
Os protocolos de criptografia de DNS mais comuns
Existem vários protocolos de criptografia de DNS em uso hoje. Esses protocolos de criptografia podem ser usados para impedir a espionagem em uma rede, criptografando o tráfego dentro do protocolo HTTPS em uma conexão de segurança da camada de transporte (TLS).
1. DNSCrypt
DNSCrypt é um protocolo de rede que criptografa todo o tráfego DNS entre o computador do usuário e os servidores de nomes gerais. O protocolo usa infraestrutura de chave pública (PKI) para verificar a autenticidade do servidor DNS e de seus clientes.
Ele utiliza duas chaves, uma chave pública e uma chave privada para autenticar a comunicação entre o cliente e o servidor. Quando uma consulta DNS é iniciada, o cliente a criptografa usando a chave pública do servidor.
A consulta criptografada é então enviada ao servidor, que descriptografa a consulta usando sua chave privada. Desta forma, o DNSCrypt garante que a comunicação entre o cliente e o servidor seja sempre autenticada e criptografada.
DNSCrypt é um protocolo de rede relativamente antigo. Ele foi amplamente substituído por DNS sobre TLS (DoT) e DNS sobre HTTPS (DoH) devido ao suporte mais amplo e garantias de segurança mais fortes fornecidas por esses protocolos mais recentes.
2. DNS sobre TLS
O DNS sobre TLS criptografa sua consulta de DNS usando o Transport Layer Security (TLS). O TLS garante que sua consulta de DNS seja criptografada de ponta a ponta, prevenção de ataques man-in-the-middle (MITM).
Quando você usa DNS sobre TLS (DoT), sua consulta DNS é enviada para um resolvedor DNS sobre TLS em vez de um resolvedor não criptografado. O resolvedor de DNS sobre TLS descriptografa sua consulta DNS e a envia para o servidor DNS autorizado em seu nome.
A porta padrão para DoT é a porta TCP 853. Quando você se conecta usando DoT, tanto o cliente quanto o resolvedor executam um handshake digital. Em seguida, o cliente envia sua consulta DNS por meio do canal TLS criptografado para o resolvedor.
O resolvedor de DNS processa a consulta, localiza o endereço IP correspondente e envia a resposta de volta ao cliente por meio do canal criptografado. A resposta criptografada é recebida pelo cliente, onde é descriptografada e o cliente usa o endereço IP para se conectar ao site ou serviço desejado.
3. DNS sobre HTTPS
HTTPS é a versão segura do HTTP que agora é usada para acessar sites. Assim como o DNS sobre TLS, o DNS sobre HTTPS (DoH) também criptografa todas as informações antes de serem enviadas pela rede.
Embora o objetivo seja o mesmo, existem algumas diferenças fundamentais entre DoH e DoT. Para começar, o DoH envia todas as consultas criptografadas por HTTPS em vez de criar diretamente uma conexão TLS para criptografar seu tráfego.
Em segundo lugar, ele usa a porta 403 para comunicação geral, dificultando a diferenciação do tráfego geral da web. O DoT usa a porta 853, tornando muito mais fácil identificar o tráfego dessa porta e bloqueá-lo.
O DoH teve uma adoção mais ampla em navegadores da Web como Mozilla Firefox e Google Chrome, pois aproveita a infraestrutura HTTPS existente. O DoT é mais comumente usado por sistemas operacionais e resolvedores de DNS dedicados, em vez de ser diretamente integrado a navegadores da web.
Duas razões principais pelas quais o DoH teve uma adoção mais ampla é porque é muito mais fácil integrá-lo à web existente navegadores e, mais importante, combina perfeitamente com o tráfego regular da web, tornando muito mais difícil bloquear.
4. DNS sobre QUIC
Comparado com os outros protocolos de criptografia DNS nesta lista, DNS-over-QUIC (DoQ) é relativamente novo. É um protocolo de segurança emergente que envia consultas e respostas DNS através do protocolo de transporte QUIC (Quick UDP Internet Connections).
Atualmente, a maior parte do tráfego da Internet depende do Protocolo de Controle de Transmissão (TCP) ou do Protocolo de Datagrama do Usuário (UDP), com consultas de DNS geralmente enviadas por UDP. No entanto, o protocolo QUIC foi introduzido para superar algumas desvantagens do TCP/UDP e ajudar a reduzir a latência e melhorar a segurança.
QUIC é um protocolo de transporte relativamente novo desenvolvido pelo Google, projetado para fornecer melhor desempenho, segurança e confiabilidade em comparação com protocolos tradicionais como TCP e TLS. QUIC combina recursos de TCP e UDP, além de integrar criptografia integrada semelhante ao TLS.
Por ser mais recente, o DoQ oferece várias vantagens sobre os protocolos mencionados acima. Para iniciantes, o DoQ oferece desempenho mais rápido, reduzindo a latência geral e melhorando os tempos de conectividade. Isso resulta em resolução de DNS mais rápida (o tempo que leva para o DNS resolver o endereço IP). Em última análise, isso significa que os sites são servidos a você mais rapidamente.
Mais importante, o DoQ é mais resiliente à perda de pacotes quando comparado com TCP e UDP, pois pode se recuperar de pacotes perdidos sem exigir uma retransmissão completa, ao contrário dos protocolos baseados em TCP.
Além disso, é muito mais fácil migrar conexões usando o QUIC também. O QUIC encapsula vários fluxos em uma única conexão, reduzindo o número de viagens de ida e volta necessárias para uma conexão e, assim, melhorando o desempenho. Isso também pode ser útil ao alternar entre Wi-Fi e redes celulares.
O QUIC ainda não foi amplamente adotado em comparação com outros protocolos. Mas empresas como Apple, Google e Meta já estão usando o QUIC, muitas vezes criando sua própria versão (a Microsoft usa o MsQUIC para todo o tráfego SMB), o que é um bom presságio para o futuro.
Espere mais mudanças no DNS no futuro
Espera-se que as tecnologias emergentes mudem fundamentalmente a forma como acessamos a web. Por exemplo, muitas empresas agora estão aproveitando as tecnologias blockchain para criar protocolos de nomeação de domínio mais seguros, como HNS e Unstoppable Domains.