No último dia 25 de Fevereiro de 2020, a Mozilla anunciou que habilitou o protocolo DoH, ou seja, protocolo DNS sobre HTTPS para todos os usuários residentes nos Estados Unidos. A Mozilla trabalha neste protocolo desde 2017 visando aumentar a privacidade dos usuários que usam suas ferramentas tal como o Firefox.

O que é o DoH?

DoH - Fonte: https://blog.mozilla.org/blog/2020/02/25/firefox-continues-push-to-bring-dns-over-https-by-default-for-us-users/
DNS over HTTPS - Fonte: Mozilla.org

O DoH ou DNS over HTTPS é como o próprio nome sugere a utilização do protocolo HTTPS para carregar o protocolo DNS. Este protocolo permite que o protocolo DNS que não possui qualquer tipo de criptografia seja transportado por um meio seguro utilizando protocolo HTTP encriptado pelo protocolo SSL.

Essa combinação permite que o usuário consulte os domínios da internet de modo privado, o que hoje não ocorre. O protocolo foi específicado através da RFC 8484 em outubro de 2018. Como meio de transporte, o protocolo DoH pode utilizar HTTP/2 ou HTTPS.

Para quem não sabe o que é o protocolo DNS e como ele funciona, aqui vai uma pequena introdução.

Protocolo DNS

O protocolo DNS ou Domain Name System é o protocolo utilizado para converter nomes como google.com em endereços IPv4 como 172.217.29.46 e endereços IPv6 como 2800:3f0:4004:808::200e.

O protocolo é uma maneira inteligente de lidar com um problema nosso, dos seres humanos, péssimos em lembrar de números, mas ótimos em lembrar nomes.

Além disso, a natureza do protocolo permite que utilizemos diversos servidores com IPs diferentes servindo uma mesmo domínio, tal como globo.com.

Portanto, toda vez que você abre seu navegador e digita um determinado endereço da internet, tal qual netflix.com, o seu navegador, seja ele o Firefox, Chrome ou Microsoft Edge realiza uma consulta DNS para descobrir para qual servidor (endereço IP) o mesmo irá enviar a requisição HTTP.

O protocolo DNS não possui qualquer tipo de criptografia, logo a sua operadora de internet possui acesso aos endereços da internet acessado.

Como o DoH funciona na prática?

Ilustração do DoH
DNS sobre HTTPS

O DoH criptografará o tráfego DNS dos clientes (navegadores) para os resolvedores através de HTTPS, para que a navegação na Web dos usuários não possa ser interceptada ou violada por alguém que esteja espionando a rede.

Os resolvedores escolhidos pela Mozilla são NextDNS e Cloudflare, como a própria menciona em seu comunicado.

Os resolvedores que escolhemos trabalhar até agora - Cloudflare e NextDNS - concordaram em fazer parte do nosso programa Trusted Recursive Resolver. O programa impõe fortes requisitos de política aos resolvedores e como eles lidam com os dados. Isso inclui a imposição de limites estritos à retenção de dados para que os provedores - incluindo os provedores de serviços de Internet - não possam mais acessar um fluxo desprotegido do histórico de navegação de um usuário para criar um perfil que possa ser vendido ou usado de outras maneiras pelas quais as pessoas não tenham consentido significativamente. Esperamos trazer mais parceiros para o programa TRR.

Quais são os riscos de privacidade que motivam a implantação do DoH?

Como explicamos, atualmente o protocolo DNS não é criptogrado, portanto as operadoras de internet possuem acesso aos endereços de internet acessados pelos seus assinantes. Embora a operadora de internet não possua acesso ao conteúdo navegado na maioria das vezes, pois hoje temos uma adoção de HTTPS em mais de 70% da internet, ainda é possível criar um perfil dos assinantes baseados nos endereços visitados.

Uso de HTTPS por sistema operacional
Uso de HTTPS por sistema operacional. Fonte: Google Transparency Report

Por exemplo, um assinante que faz requisições constantes para o domínio netvasco.com e globoesporte.com tem uma grande possibilidade de ser um fã de futebol e torcer para o clube Vasco da Gama.

Este tipo de perfil pode ser vendido para empresas de anúncios a fim de realizarem vendas utilizando a estratégia de targeted marketing, ou seja, a operadora de internet pode monetizar este tipo de informação sem qualquer conhecimento do usuário.

Entendendo que os usuários do Firefox devem ter escolha sobre suas informações e privacidade, a Mozilla está pressionando seus concorrentes com a adoção do DoH. Uma vez disponível, cabe ao usuário optar ou não por utilizar o protocolo que garante maior privacidade, porém não se engane, nem tudo é só vantagem.

Marketing Direcionado
Marketing Direcionado

Impacto para as Operadoras de Redes Móveis

O pacote de dados de redes móveis ainda é muito caro no Brasil, portanto para se diferenciarem no mercado, as operadoras fazem uso de uma técnica chamada de Service Awareness. Esta técnica utiliza a tecnologia de inspeção de pacotes, ou seja, cada pacote que passa pelo gateway da operadora é inspecionado para que o serviço acessado pelo cliente seja identificado.

Anúncio TIM Black
Anúncio TIM Black

Essa identificação de serviço possui alguns propósitos, entre eles a tarifação diferenciada. Por exemplo, muitas operadoras brasileiras já oferecem a navegação em aplicativos como Youtube, Facebook e Netflix de forma gratuita. Para que elas possam realizar esta diferenciação de tarifação, é necessário utilizar a técnica de Service Awareness.

Muitas vezes, estes serviços se valem de milhares de servidores para atender a demanda de usuários que o utilizam, portanto é muito complicado para as operadoras fazerem uso de endereçamento IP para realizarem a isenção de tarifação. A solução? Uma técnica chamada de DNS Sniffing.

DNS Sniffing

Técnica de DNS Sniffing
Técnica de DNS Sniffing

A técnica de DNS Sniffing consiste em inspecionar o pacote de DNS de resposta à uma query do assinante e criar, através deste sniffing, filtros de IPs dinâmicos, livrando a operadora do fardo de controlar os IPs utilizados por seus parceiros de forma manual.

Portanto, em vez da operadora cadastrar todos os IPs dos servidores do Youtube por exemplo, a mesma cadastra apenas os domínios do Youtube que podem ser isentos de tarifação.

Essa técnica, no entanto, só é possível pois o protocolo DNS não é criptografado, permitindo assim que a operadora possa inspecioná-lo e retirar informações do mesmo.

Impacto

Ao utilizar o protocolo DoH, o cliente estará impedindo que a operadora faça uso da técnica de DNS Sniffing, portanto impedindo que haja diferenciação do uso de aplicativos. Isso é ruim para os clientes e para as operadoras.

Por um lado a operadora perde seu poder de diferenciação no mercado através da parceria com aplicativos do grande público, enquanto que por outro, o cliente que hoje já possui um pacote isentando o uso destes aplicativos, ao optar por usar o DoH, passa a ser cobrado.

Sem Pânico, por enquanto...

Por enquanto, o protocolo DoH está sendo implementado apenas a nível de navegador como o Firefox ou o Chrome, logo ao utilizar os aplicativos de cada OTT tal como Whatsapp, o protocolo de DNS utilizado caberá ao aplicativo e não ao navegador, reduzindo o impacto na diferenciação de tarifação.

Uma vez que o protocolo DoH se torne um padrão da indústria, será preciso inventar outras maneiras de diferenciar a tarifação de certos conteúdos, sem depender do uso da técnica de DNS Sniffing.