Ir para o conteúdo

Resolução CGI.br/RES/2011/003/P

O COMITÊ GESTOR DA INTERNET NO BRASIL – CGI.br, em sua 5ª. Reunião Ordinária de 2010, realizada em 11 de junho de 2010,  na sede do NIC.br,  e no uso das atribuições que lhe confere o Decreto nº 4.829/2003, resolve aprovar esta Resolução, da seguinte forma:

Resolução CGI.br/RES/2010/004/P - RECOMENDAÇÃO PARA OPERAÇÃO DE SERVIÇOS DNS

Considerando que:

  1. o serviço de resolução de nomes de domínios (DNS - Domain Name System) tem papel crítico no acesso aos serviços de Internet, quase sempre identificados por endereços que não são numéricos, permitindo memorização simplificada de endereços de serviços e configuração automatizada de aplicações e sistemas;
  2. os serviços de Internet não se constituem apenas de serviços WWW (World Wide Web) e nem apenas de aplicações para usuários humanos, mas de um conjunto mais amplo de aplicações que envolvem outras arquiteturas, além de comunicações autônomas máquina-máquina.
  3. a capacidade dos serviços DNS de lidar com demandas altas e crescentes foi alcançada graças a um sistema hierárquico,  o qual se baseia em confiança;
  4. violações da neutralidade do serviço DNS ocorreram muitas vezes sob argumentos de monetarização ou de “apoio à experiência” do usuário, e já houve claro posicionamento contrário a essas violações partindo de organismos internacionais como ICANN (Internet Corporation for Assigned Names and Numbers) e IAB (Internet Architeture Board);
  5. em sua resolução 2009/003/P o CGI.br estabeleceu princípios de neutralidade, funcionalidade, segurança, estabilidade, padronização e interoperabilidade, que práticas como descritas no item anterior acabam por não seguir, no todo ou em parte;
  6. no ano de 2008 foi divulgada uma vulnerabilidade (CVE-2008-1447) nas implementações de DNS que permitia, com boa possibilidade de sucesso, um redirecionamento indevido, e que por esse motivo houve modificações rapidamente implementadas em versões posteriores à descoberta da vulnerabilidade;
  7. após anos de desenvolvimento da família de protocolos DNSSEC, que agrega segurança algorítmica à resolução DNS, está acontecendo a efetiva adoção global desse padrão, como comprovado pela implementação em diversos países, com o “.br” sendo um dos pioneiros, e com a assinatura da raiz da hierarquia mundial do DNS em junho/julho de 2010;

Resolve:

- Recomendar que empresas fornecedoras de conectividade Internet implementem as seguintes medidas visando a manutenção da estabilidade e segurança na prestação de serviços para os usuários de Internet no Brasil:

  1. permitir tráfego DNS de forma não discriminatória nos serviços de acesso à Internet, não limitando as consultas de DNS aos servidores da empresa prestadora, permitindo assim que usuários operem seus próprios serviços;
  2. respeitar, ao disponibilizar serviços de resolução DNS, as seguintes práticas:

    1. Não reescrever resposta DNS recebida, mantendo fielmente a informação fornecida pelo servidor com autoridade e, em especial, respeitar e repassar a informação de um nome não existente, em seu formato original padrão;
    2. respeitar estritamente o tempo de vida contido nas respostas DNS;
    3. observar variabilidade aleatória no tempo para a porta de origem utilizada para o transporte das consultas DNS;
  3. envidar os melhores esforços para implementar, nos serviços de resolução DNS providos aos usuários, o protocolo DNSSEC [*] utilizando a âncora da cadeia de  confiança da raiz.

Esta resolução entra em vigor a partir de sua publicação no site http://www.cgi.br, observado porém que o item (c) entra em vigor a partir da publicação pela ICANN da âncora da cadeia de confiança da raiz.

 [*] RFCs 4033, 4034, 4035, 5011, 5155 (disponíveis em http://www.rfc-editor.org)