DNS público versus privado: qual é a diferença?

Ambos trabalham no mesmo negócio: decodificar nomes e endereços. Um servidor de nomes existe na internet e funciona de forma muito parecida com um tipo de lista telefônica, trocando nomes de domínio legíveis por humanos (por exemplo, ibm.com) em endereços IP numéricos, que as máquinas podem, então, interpretar. É um processo essencial de combinação que permite que os navegadores da web encontrem exatamente os destinos certos que os usuários procuram.

Aqui estão as etapas para fazer o DNS público operar: 

1. As atividades de resolução de nomes começam quando um usuário solicita um nome de domínio. Os usuários inserem solicitações de DNS digitando o endereço de um site em seu navegador preferido.
2. O dispositivo do usuário (também conhecido como um endpoint) executa uma verificação de DNS local para saber se o cache do dispositivo ou os servidores DNS locais já têm um endereço IP que corresponde a esse domínio.
3. Quando a verificação do DNS local não consegue encontrar uma correspondência, a solicitação é encaminhada para um resolvedor DNS recursivo. O resolvedor geralmente é fornecido por um provedor de serviços de Internet (ISP) ou um serviço de DNS público, como por meio de provedores de DNS, como Google ou Cloudflare.
4. O resolvedor contata um servidor de nomes-raiz, que direciona as consultas de DNS, guiando-as para um servidor de domínio de nível superior (TLD) capaz de lidar com a solicitação.
5. Na próxima etapa, o resolvedor envia uma consulta ao servidor TLD, que, por sua vez, se refere ao servidor de nomes autoritativo para esse domínio específico.
6. O servidor de nomes autoritativo em questão reserva esse IP para o site e o entrega de volta ao resolvedor recursivo.
7. O resolvedor carrega os dados do DNS no cache do DNS para uso posterior enquanto envia o endereço IP aprovado de volta ao dispositivo que emitiu a solicitação original.
8. O processo de resolução de DNS agora está concluído. O navegador no dispositivo agora está habilitado para se conectar ao servidor da web por meio desse endereço IP e baixar o conteúdo do site.

Agora, isso é uma boa quantidade de roteamento de ida e volta apenas para lidar com um URL utilizável. O incrível é a rapidez com que todas essas respostas de DNS são executadas.

Com que rapidez? Depende um pouco de problemas relacionados ao desempenho, como conectividade e latência de transmissão, mas, em sua forma mais lenta, o processo de DNS público pode exigir alguns segundos. No entanto, em velocidade máxima, esse mesmo processo pode levar milissegundos.

Depois que o endereço IP tiver sido devidamente negociado e liquidado, o usuário acessará o endereço IP. Antes de o conteúdo começar a ser baixado como um registro DNS, ele recebe uma designação de tempo de vida (TTL), uma configuração que controla quantas vezes os mesmos registros DNS podem ser baixados.

Os TTLs são instalados para impedir que o conteúdo exista online por períodos excessivamente longos. Os TTLs funcionam como um contador, que diminui cada vez que o conteúdo online é acessado. Quando o contador chega a zero, esse conteúdo fica indisponível para o usuário.

Quando uma organização ou indivíduo opta pela privacidade máxima operando seu próprio DNS, o processo que rege seu funcionamento exige menos etapas incrementais. O processo também tende a migrar consideravelmente mais rápido do que a velocidade operacional dos DNS services. Ele alcança esse feito em grande parte por meio do isolamento imposto.

O termo "DNS privado" tem dois significados específicos, dependendo de onde e como o DNS privado é implementado. Pode se referir a zonas de DNS privadas sendo operadas dentro de um ambiente de computação em nuvem para que possam acessar recursos internos. Ou então, também pode significar um DNS service interno privado sendo operado no dispositivo de um usuário para proteger contra conteúdos específicos e ajudar na criptografia de consultas.

O processo de pesquisa e resolução de nomes para zonas de DNS privadas se resume às seguintes etapas:

1. O usuário insere um endereço da web (por exemplo, www.exemplo.com) no navegador da web.
2. O dispositivo em operação emite uma consulta de DNS, procurando o IP que corresponde a esse site.
3. Esse ponto é onde os caminhos do DNS público e do DNS privado divergem completamente. O dispositivo usa um túnel criptografado para entrar em contato com um servidor DNS privado (em oposição ao DNS público, onde uma consulta criptografada seria usada em seu lugar). Protocolos internos seguros, como DNS sobre TLS (DoT) ou DNS sobre HTTPS (DoH), fornecem os canais seguros necessários. As redes virtuais privadas (VPNs) cumprem a mesma funcionalidade de criptografia com a ajuda de um provedor de VPN.
4. O servidor DNS privado recebe a solicitação criptografada e a processa, lidando com o endereço IP correto e transmitindo-o de volta ao dispositivo original usando a mesma conexão criptografada de forma segura.
5. Com o endereço IP correto enviado de volta ao dispositivo, o dispositivo se conecta de forma segura ao servidor do site.

Seis áreas de comparação direta transmitem com precisão as principais diferenças (e semelhanças sutis) entre o DNS público e o DNS privado.

A finalidade geral do DNS público e do DNS privado é surpreendentemente semelhante. Ambos traduzem nomes de domínio.

Um DNS público decodifica nomes de domínios públicos em endereços IP públicos adequados para que os usuários possam acessar esses sites na internet.

Enquanto isso, um DNS privado traduz nomes DNS usados internamente em endereços IP internos, permitindo que diferentes entidades dentro desse grupo ou organização interajam de forma eficaz.

A segurança é um fator importante nessa comparação. Afinal, a segurança é a principal razão pela qual temos a tecnologia de DNS privado. As organizações que exigem segurança máxima geralmente optam por usar DNS privado, que oculta os detalhes da rede da internet pública.

A segurança do DNS público oferece significativamente menos medidas de proteção, mas compensa esse desequilíbrio com outras funcionalidades projetadas para proteger contra tentativas de phishing e malware.

Os desenvolvedores usam rotineiramente as extensões de segurança do sistema de nomes de domínio (DNSSEC) para fortalecer os protocolos de segurança DNS adicionando assinaturas digitais. Medidas tradicionais de segurança da internet, como firewalls, podem ser implementadas com DNS público e DNS privado. 

Quando se trata de quem pode acessar um DNS específico, tudo depende de que tipo de DNS estamos falando. Se for um DNS público, ele poderá ser acessado por qualquer pessoa com um dispositivo que tenha acesso à internet.

Por outro lado, dentro de um DNS privado, o acesso normalmente é rigorosamente controlado e enraizado no acesso local. Além disso, o acesso é limitado a usuários específicos de uma rede interna, como os trabalhadores que atendem em um local da empresa ou por meio de uma nuvem privada virtual.

Para acesso aos bastidores, os administradores de rede usam uma ferramenta de consulta como o nslookup (consulta de servidor de nomes) para buscar endereços IP e executar atividades gerais de solução de problemas por meio de prompts de linha de comando.

Quem controla e opera o servidor que será usado? É uma resposta simples para DSNs privados: é a empresa ou grupo que opera essa rede interna. Ele mantêm todos os servidores DNS privados e os controla.

Para DNS público, um provedor de serviços de internet (ISP) ou algum provedor terceirizado, como Cloudflare ou Google, opera o servidor. Em ambos os casos, uma entidade externa mantém controle direto sobre o servidor.

O desempenho não é o problema trivial que era antes. Costumava ser uma conclusão precipitada de que o DNS privado oferecia um desempenho mais rápido do que o DNS público. Afinal, as informações buscadas por meio de consultas internas teriam uma distância menor para percorrer se estivessem contidas em uma rede privada. Isso tornava a latência um problema menor.

No entanto, agora o nível de desempenho necessário para alcançar velocidades ultrarrápidas no DNS público costuma ser mais viável, dependendo do provedor de serviço. Esse impulso se deve às redes globais que oferecem maior velocidade de rede e transmissão mais estável. Decidir se o DNS público ou o DNS privado oferece melhor desempenho geralmente depende em muito da rede em questão.

Essa é uma área em que o DNS privado oferece consideravelmente mais opções do que o DNS público. Um DNS privado permite que um grupo ou empresa crie configurações personalizadas com base em suas necessidades desse equipamento. O DNS personalizado pode incluir a capacidade de executar esquemas de nomenclatura de domínio personalizados ou até mesmo realizar filtragem de conteúdo.

Como alternativa, o DNS público é limitado nas opções de personalização que oferece. Os desenvolvedores criam configurações para ele em um formulário padrão para todos os usuários de DNS público.

Mudanças significativas ocorreram no DNS e continuarão acontecendo à medida que a tecnologia relacionada continua avançando e tenta acompanhar o ritmo da expansão global contínua de usuários.

Por exemplo, considere o protocolo de roteamento da internet IPv4. O IPv4 (Internet Protocol versão 4) foi desenvolvido durante a década de 1970 e formalmente lançado no início da década de 1980, antes da Revolução da Internet. Os endereços IPv4 são rótulos numéricos de 32 bits que podem ser atribuídos a qualquer dispositivo que se conecte a uma rede de computadores e são essenciais para fins de comunicação e roteamento. Os endereços IPv4 são expressos como longas sequências de números, separadas em vários intervalos por meio de pontos.

Com base nas leis da probabilidade, podemos calcular que, com o número de números inteiros contidos em cada endereço IPv4, são possíveis aproximadamente 4,3 bilhões de endereços. E, mesmo esse enorme número, acabou sendo insuficiente para acompanhar o conjunto cada vez maior de dispositivos de tecnologia que precisam ser conectados às redes.

A solução do IPv6 (Internet Protocol versão 6) foi lançada em 1995 para mitigar essa situação de "superlotação". A primeira coisa que se percebe ao comparar os dois protocolos é o quanto o IPv6 é maior, oferecendo endereços de 128 bits, que são exatamente quatro vezes maiores do que suas contrapartes de IPv4.

Esse aumento leva a um conjunto de possíveis endereços tão profundo que é difícil de imaginar. Esse número é 340 undecilhões, que é calculado como 3,4 x 10 elevado à 38ª potência e expresso numericamente como 3,4 seguido de 38 zeros. É difícil imaginar que uma piscina com tanta água possa ser totalmente esvaziada. Mas o estado do uso de computadores em todo o mundo é tão grande que seu crescimento sem precedentes provocaria uma resposta tão enorme.

Além de lidar com quatro vezes o espaço de endereços do IPv4, o IPv6 inclui a configuração automática de endereços sem estado (SLAAC). Essa funcionalidade permite que os dispositivos configurem seus próprios endereços IP sem depender de um servidor DHCP externo, o que também reduz o tráfego de rede.

O IPv6 também usa um tipo aprimorado de registro DNS que corresponde a um nome de domínio com um endereço IPv6 adequado. Esse registro DNS é chamado de "AAAA" e representa uma etapa significativa do "registro A", que é o registro DNS que contém um endereço IPv4 apropriado. A diferença entre um registro AAAA (às vezes chamado de Quad-A-Record) e um registro A é em grande parte uma capacidade aumentada para que os AAAAs possam acomodar o robusto identificador de 128 bits que está sendo usado.

Uma maneira pela qual os registros A e os registros AAAA podem ser efetivamente superados é criando um CNAME (que significa nome canônico). Um CNAME é um tipo de registro DNS que opera como um alias para determinados domínios ou subdomínios. Uma pequena restrição que deve ser observada é que um nome de host com um CNAME não pode habilitar registros A ou AAAA que já tenham esse nome.

O IPv6 não é o único protocolo fundamental que foi atualizado ao longo do tempo. O Transport Layer Security (TLS) é um protocolo altamente criptografado que protege as comunicações de rede e baseadas na web. O TLS é uma atualização de 1999 de um protocolo anterior chamado Secure Sockets Layer (SSL). Assim como o SSL, o TLS oferece um meio de autenticação de usuários, impedindo o acesso não autorizado e mantendo e verificando a integridade dos dados.