[GTER] DNS over HTTPS (DoH): fim dos recursivos locais e a Internet andando para trás?

[Rubens Kuhl]

2018-04-02 9:44 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Um dos principais problemas decorrente dessas técnicas está na verdade na
> inteligência de uso de conteúdos distribuídos na Internet.
> A base da inteligência das CDNs está no DNS. Usar NameServers distantes
> fatídicamente vai fazer os usuários buscarem conteúdos em Caches Distantes.
>
> É inegável que exista uma vulnerabilidade sistêmica no mecanismo de DNS do
> mundo.
> Qualquer um pode interceptar e reescrever as respostas DNS.
>  - A operadora Oi-BrT pratica/praticava essa interceptação há muito tempo.
>  - Existem provedores MEQUETREFES que sobrem os IPs dos top responsivos
> públicos(8.8.8.8/4.4.4.4/etc) nas loopbacks de seus NameServers recursivos
>
> O mundo já está ciente disso há MUITOS ANOS, e a solução para isso foi
> proposta também há muitos anos.
> O problema é que a adesão ao DNSSEC ainda é muito baixa!
>

DNSSEC não resolve hijacking de recursivo, resolve apenas adulteração de
zona DNS. Se eu faço uma pergunta para o 8.8.8.8 que não é do Google, e a
resposta vier com os RRSIGs apropriados, não vou saber que não foi o Google
que buscou eles para mim.

DNSCrypt, DNS sobre TLS e DNS sobre HTTPS permitem eventual validação do
recursivo, mas não são todas as implementações que fazem isso.


>
>
> A forma mais efetiva de popularizar o DNSSEC seria deixar o usuário ficar
> sabendo que ele não está tendo uma resposta segura.
>  - Lembram da história "Se aparecer o cadeadinho fechado no cantinho do
> Browser, você está seguro!".
> Alguma coisa assim.
>


O pessoal de browsers não ficou muito empolgado com o tempo de lookup
adicional para fazer isso.
Tanto que a possibilidade atual sendo desenvolvida para isso é de stapling.


>
> Mas para isso existem limitações:
> O Browser recebe do Sistema operacional a resposta mastigada.
> Não sabe se aquela resposta veio em DNSSEC ou não.
> Me lembro de haver proposta de mudança nisso, mas que foi enfaticamente
> rejeitada.
>

Ainda há propostas de APIs com controle mais granular do que simplesmente
gethostbyname();.



>
>
> Uma ideia que na minha opinião é MUITO BOA é a de domínios específicos como
> o "b.br" que só responderiam em DNSSEC.
>

jus.br também tem essa propriedade.


> Já imaginou a água batendo na bunda dos provedores que fazem Safadeza?
>    "Estou tentando acessar o meu banco e quando eu uso o 4G funciona!"
> O problema é que essa ideia do "b.br" não teve a adesão esperada...
>
>
O jus.br teve boa adesão, e nem por isso as pessoas notaram hijacking de
recursivo... porque DNSSEC não trata isso.


Rubens