Há mais de três décadas que o bloqueio de sites baseado em DNS tem sido utilizado para impedir que os utilizadores acedam a determinados sites na Internet. Decisões judiciais podem obrigar os Fornecedores de Serviços de Internet a bloquear os clientes de aceder a certos sites.
Estes sites podem ser chamados de sites piratas, sites para adultos ou qualquer outro site contra o qual o tribunal tenha decidido. O bloqueio baseado em DNS é uma forma simples de bloquear o acesso a um site.
O DNS é usado para traduzir o nome de domínio de um site, por exemplo, homeserver.pt, para o seu endereço IP. Os computadores utilizam endereços IP para comunicar. O bloqueio impede que a pesquisa seja concluída. O resultado é que o site em questão não pode ser aberto no dispositivo do utilizador. Por vezes, é exibida outra página que informa o utilizador sobre o bloqueio.
O bloqueio baseado em DNS nunca foi eficaz. Os utilizadores podem utilizar diferentes fornecedores de DNS nos seus dispositivos para aceder aos sites em questão. Em todos os sistemas operativos modernos, bastam alguns cliques para mudar para um novo fornecedor. Isso pode ser feito em qualquer navegador da web ou também em todo o sistema. Programas de terceiros como o QuickSet DNS também podem ser úteis neste sentido. As VPNs e servidores proxy também podem ser utilizados.
Existem razões válidas para mudar de fornecedor de DNS. Uma delas é o desempenho, e uma ferramenta como o Namebench pode ajudar os utilizadores a encontrar o fornecedor com melhor desempenho através da realização de testes. Outra é a segurança. Alguns fornecedores de DNS podem suportar recursos de segurança que o fornecedor padrão, muitas vezes o ISP do utilizador, não suporta.
A criptografia do DNS tem sido promovida nos últimos anos. O DNS-over-HTTPS desempenha um papel importante, mas ainda permitia a fuga do nome de domínio. Isso significava que os fornecedores ainda podiam bloquear o acesso a sites no nível do DNS ou vender as informações recolhidas.
A introdução do Encrypted Client Hello nos navegadores muda isso. Ele oculta o nome de domínio durante as pesquisas, para que os Fornecedores de Serviços de Internet ou operadores de rede não saibam o que um utilizador acede na Internet. Isso é um grande impulso para a privacidade, pois impede que os ISPs registem e vendam dados do utilizador ou interajam com determinados pedidos.
A Mozilla introduziu o suporte para o Encrypted Client Hello no Firefox 118, e o Chromium também adicionou suporte para esse recurso de segurança recentemente. Pode verificar no seu navegador se suporta o recurso.
Um efeito colateral da melhoria da privacidade do utilizador é que o bloqueio baseado em DNS se torna inutilizável. O ISP ou operador de rede já não tem conhecimento do nome de domínio a que o utilizador tenta aceder, uma vez que este já não é fornecido de forma clara. Assim, os sites que são bloqueados no nível do DNS já não são bloqueados, desde que o site em questão suporte o Encrypted Client Hello.
A Cloudflare ativou o suporte para o Encrypted Client Hello para todos os seus sites geridos este mês. Milhões de sites já suportam o Encrypted Client Hello como consequência, e muitos mais seguirão no futuro.
Os resultados são atualmente mistos, conforme relatado pelo Torrentfreak. Sites que usam a Cloudflare para proteção ou que ativaram o Encrypted Client Hello nos seus servidores já não são bloqueados no nível do DNS nos países em que são bloqueados. Nada muda para os sites bloqueados que não utilizam o Encrypted Client Hello, mas é provável que estes o venham a utilizar no futuro.
É demasiado cedo para dizer como isso afetará a legislação local e as decisões de bloquear o acesso a sites. Os tribunais podem exigir que os ISPs utilizem técnicas de bloqueio diferentes, como a Inspeção Profunda de Pacotes.
