O Problema do “Meio do Caminho” no DNS que Quase Ninguém Cita

Quando falamos de segurança no DNS, o foco costuma ficar na validação via DNSSEC ou na criptografia entre navegador e resolvedor. O que quase não entra na conversa é o trajeto que fica entre o resolvedor e os servidores autoritativos. Esse trecho ainda trafega em texto puro e representa uma brecha que só agora começa a ganhar atenção.

Reuniões recentes do OARC trouxeram à tona um ponto simples: a consulta que o resolvedor faz ao servidor autoritativo costuma percorrer a internet sem qualquer proteção. Mesmo que o usuário esteja usando DoH ou DoT, a requisição que realmente busca os registros do domínio continua exposta.

Por que isso afeta sua infraestrutura

Um atacante que consiga interceptar esse fluxo consegue injetar respostas falsas. Os riscos são diretos:

• Redirecionamento de tráfego antes mesmo de chegar ao resolvedor
• Vazamento de informações sobre a estrutura do domínio e padrões de consulta
• Envenenamento de cache que afeta vários usuários ao mesmo tempo
• Reconhecimento para ataques DDoS baseado no comportamento das consultas

Para quem hospeda sites e serviços, o DNS é literalmente o catálogo de endereços da empresa. Se ele for adulterado, o visitante cai em um domínio falso ou perde o acesso ao serviço.

Tentativas de criptografar esse trecho

A indústria está testando algumas abordagens:

• DoT entre resolvedor e autoritativo: TLS aplicado especificamente nesse link, ajustado ao volume e ao padrão de tráfego dos servidores autoritativos.
• DoH para resolução autoritativa: uso de HTTP/2 ou HTTP/3, aproveitando infraestrutura já existente e ganhando desempenho.
• Custo de desempenho: toda criptografia adiciona latência e carga. O debate gira em torno de saber se o ganho de segurança compensa o impacto em resolvedores que processam milhões de consultas por segundo.

A dificuldade real está na coordenação

Diferente da criptografia no lado do cliente, que navegadores e sistemas operacionais já adotaram, criptografar o caminho autoritativo exige alinhamento entre vários atores:

• Operadores de servidores autoritativos
• Operadores de resolvedores recursivos
• Registrars e provedores de hospedagem
• Toda a infraestrutura de DNS

Não é uma mudança que você implementa sozinho. O nameserver do seu registrar precisa oferecer suporte, a infraestrutura de DNS da hospedagem precisa estar pronta e os grandes resolvedores precisam decidir usar o recurso.

O que fazer com seus domínios agora

Se você registra domínios conosco, o conselho prático é:

1. Acompanhar o avanço dos transportes criptografados — eles virão e acabarão virando padrão.
2. Observar os logs de DNS em busca de padrões estranhos (disponível no painel de análise).
3. Manter o DNSSEC ativo enquanto as soluções de transporte criptografado amadurecem.
4. Ativar o registro de consultas para identificar anomalias.

O que esperar nos próximos meses

As discussões no OARC mostram que a comunidade entende o problema e está construindo soluções. A questão não é “se”, mas “quando” e “como” a criptografia entre resolvedor e autoritativo se tornará comum. O caminho mais provável é uma adoção gradual: provedores grandes implementam primeiro, otimizações de hardware e software reduzem o custo e, só então, o recurso se espalha.

Na NameOcean acompanhamos de perto essas mudanças. Nossa plataforma Vibe Hosting, com recursos de IA, foi feita para absorver esse tipo de evolução sem que você precise ajustar nada manualmente.

Resumo

Criptografar o tráfego entre resolvedores e servidores autoritativos é a próxima etapa da segurança no DNS. Não aparece para o usuário final, mas protege a integridade de todo o seu catálogo de domínios. Quando a tecnologia estiver madura, escolher um registrar e uma hospedagem que suportem esses padrões será tão importante quanto qualquer outra medida de segurança.