Resolução CGI.br/RES/2011/003/P
O COMITÊ GESTOR DA INTERNET NO BRASIL – CGI.br, em sua 5ª. Reunião Ordinária de 2010, realizada em 11 de junho de 2010, na sede do NIC.br, e no uso das atribuições que lhe confere o Decreto nº 4.829/2003, resolve aprovar esta Resolução, da seguinte forma:
Resolução CGI.br/RES/2010/004/P - RECOMENDAÇÃO PARA OPERAÇÃO DE SERVIÇOS DNS
Considerando que:
- o serviço de resolução de nomes de domínios (DNS - Domain Name System) tem papel crítico no acesso aos serviços de Internet, quase sempre identificados por endereços que não são numéricos, permitindo memorização simplificada de endereços de serviços e configuração automatizada de aplicações e sistemas;
- os serviços de Internet não se constituem apenas de serviços WWW (World Wide Web) e nem apenas de aplicações para usuários humanos, mas de um conjunto mais amplo de aplicações que envolvem outras arquiteturas, além de comunicações autônomas máquina-máquina.
- a capacidade dos serviços DNS de lidar com demandas altas e crescentes foi alcançada graças a um sistema hierárquico, o qual se baseia em confiança;
- violações da neutralidade do serviço DNS ocorreram muitas vezes sob argumentos de monetarização ou de “apoio à experiência” do usuário, e já houve claro posicionamento contrário a essas violações partindo de organismos internacionais como ICANN (Internet Corporation for Assigned Names and Numbers) e IAB (Internet Architeture Board);
- em sua resolução 2009/003/P o CGI.br estabeleceu princípios de neutralidade, funcionalidade, segurança, estabilidade, padronização e interoperabilidade, que práticas como descritas no item anterior acabam por não seguir, no todo ou em parte;
- no ano de 2008 foi divulgada uma vulnerabilidade (CVE-2008-1447) nas implementações de DNS que permitia, com boa possibilidade de sucesso, um redirecionamento indevido, e que por esse motivo houve modificações rapidamente implementadas em versões posteriores à descoberta da vulnerabilidade;
- após anos de desenvolvimento da família de protocolos DNSSEC, que agrega segurança algorítmica à resolução DNS, está acontecendo a efetiva adoção global desse padrão, como comprovado pela implementação em diversos países, com o “.br” sendo um dos pioneiros, e com a assinatura da raiz da hierarquia mundial do DNS em junho/julho de 2010;
Resolve:
- Recomendar que empresas fornecedoras de conectividade Internet implementem as seguintes medidas visando a manutenção da estabilidade e segurança na prestação de serviços para os usuários de Internet no Brasil:
- permitir tráfego DNS de forma não discriminatória nos serviços de acesso à Internet, não limitando as consultas de DNS aos servidores da empresa prestadora, permitindo assim que usuários operem seus próprios serviços;
- respeitar, ao disponibilizar serviços de resolução DNS, as seguintes práticas:
- Não reescrever resposta DNS recebida, mantendo fielmente a informação fornecida pelo servidor com autoridade e, em especial, respeitar e repassar a informação de um nome não existente, em seu formato original padrão;
- respeitar estritamente o tempo de vida contido nas respostas DNS;
- observar variabilidade aleatória no tempo para a porta de origem utilizada para o transporte das consultas DNS;
- envidar os melhores esforços para implementar, nos serviços de resolução DNS providos aos usuários, o protocolo DNSSEC [*] utilizando a âncora da cadeia de confiança da raiz.
Esta resolução entra em vigor a partir de sua publicação no site http://www.cgi.br, observado porém que o item (c) entra em vigor a partir da publicação pela ICANN da âncora da cadeia de confiança da raiz.
[*] RFCs 4033, 4034, 4035, 5011, 5155 (disponíveis em http://www.rfc-editor.org)