DNS sobre HTTPS (abreviado «DoH») es un protocolo estándar libre para la transmisión de consultas DNS (y resoluciones) a través del Protocolo de Transferencia de Hipertexto Seguro (HTTPS). DoH cifra los datos y, por tanto, se considera una alternativa segura a la transmisión de información DNS en texto plano. Con ello se pretende proteger el contenido de accesos no autorizados o manipulaciones y proteger la privacidad de los internautas. Aquí puede averiguar cómo funciona DNS sobre HTTPS y qué ventajas y desventajas trae consigo el estándar.
DoT utiliza TLS (Transport Layer Security) en lugar de HTTPS para la transmisión de solicitudes y requiere que el puerto 853 esté desbloqueado, lo que facilita la identificación e impide la comunicación.
Lamentablemente, ni siquiera DoH ofrece una protección completa de su privacidad. Aún es posible que el proveedor de servicios de Internet (ISP) registre partes no cifradas de la comunicación.
DoH es una norma del IETF o un borrador de RFC. El IETF («Internet Engineering Task Force») es una organización sin ánimo de lucro responsable de la adopción de estándares públicos de Internet.
Índice de contenidos
1. ¿cómo funciona el DNS sobre HTTPS?
El DNS («Domain Name System» o Sistema de Nombres de Dominio) es responsable de la resolución de nombres en las redes, de las cuales Internet es probablemente uno de los representantes más conocidos. Cuando usted llama a una URL (por ejemplo, www.wintotal.de) en su navegador, se envía automáticamente una petición al DNS para determinar la dirección IP del servidor web (en nuestro ejemplo, sería 91.210.227.76). El navegador utiliza esta información para acceder al sitio web. Sin DNS, tendrías que introducir la dirección IP en el navegador cada vez que quisieras visitar un sitio web.
.
Sin embargo, hay una pega: la consulta al servidor DNS se transmite en texto plano. Esto significa que, en principio, en el camino entre tu dispositivo y el servidor de nombres, éste puede ver a qué sitio web quieres llamar. Se trata de un objetivo perfecto para hackers y ciberdelincuentes, ya que las manipulaciones (por ejemplo, redireccionamiento a otra página o ataques DDoS) son comparativamente fáciles de llevar a cabo.
1.1 Los datos se ocultan en el tráfico HTTPS
Aquí es donde DNS sobre HTTPS entra en juego. Como su nombre indica, utiliza el protocolo HTTPS, que se ejecuta a través del puerto 443 por defecto. Como este puerto está abierto en la mayoría de las redes, no hay problemas debidos a bloqueos de cortafuegos o similares.
Por lo tanto, el tráfico DNS se ejecuta a través de una conexión HTTPS cifrada a los servidores DNS no censurados (aptos para DoH), los llamados DoH resolvers. Para ello, DoH utiliza la comunicación orientada a la conexión y envía paquetes HTTPS una vez establecidos, que a su vez contienen la consulta DNS real. De este modo, los datos quedan ocultos en el propio tráfico HTTPS. El resolver, por su parte, también responde de forma cifrada.
Gracias a HTTPS, prácticamente todos los servidores web pueden responder a consultas DNS (siempre que admitan DoH, claro). Además, en el futuro debería proporcionar por sí mismo información sobre todas las páginas enlazadas y utilizadas en el sitio web solicitado. De este modo, no será necesario realizar más consultas DNS cuando se pase a la página en cuestión.
Es bueno saberlo: Incluso los servidores DNS «clásicos» pueden ser ampliados por DoH y, por tanto, pueden ser consultados a través de HTTPS. Sin embargo, dado que los servidores DNS actuales aún no admiten consultas DoH, las aplicaciones en cuestión contienen listas con servidores DoH fijos. De este modo, se separa el DNS sobre HTTPS de la configuración DNS del sistema operativo.
2 DNS sobre HTTPS también tiene puntos débiles
Es probable que la mayoría de los usuarios «normales» de Internet ni siquiera sepan cómo funciona el DNS y para qué se necesita exactamente. Para todos ellos, DoH supone sin duda una enorme ganancia en seguridad. Es probable que los administradores y usuarios privados con experiencia técnica vean todo esto con sentimientos encontrados.
Especialmente en las empresas, la influencia de DoH puede a veces incluso provocar serias dificultades. Por regla general, los administradores de sistemas utilizan servidores DNS locales y software basado en DNS para filtrar y controlar el tráfico de datos local. Esto se hace principalmente para evitar que los empleados accedan a contenidos no autorizados o peligrosos. Sin embargo, con DoH, los empleados pueden saltarse los filtros y acceder también a los contenidos bloqueados.
Y con DoH, la seguridad de tu privacidad tampoco está garantizada al cien por cien. Aunque los datos se cifran en ambas direcciones en su camino entre el cliente y el resolver, los proveedores tienen otras opciones a su disposición (palabra clave «TLS handshake» y «SNI») con las que pueden rastrear el historial de tus sitios web visitados.
Es bueno saberlo: En EE.UU., sobre todo los grandes proveedores (como Comcast) se oponen ferozmente al DoH porque, entre otras cosas, dificulta enormemente la publicidad dirigida. Por este motivo, un grupo de ISP ha creado una presentación con afirmaciones engañosas e incluso falsas sobre la DoH, con la esperanza de crear una actitud negativa por parte de los legisladores y el Congreso.
¿Qué navegadores soportan ya DoH?
3.1 Mozilla Firefox
Mozilla y el proveedor de servicios de Internet estadounidense Cloudflare son los impulsores de DNS sobre HTTPS, por lo que Firefox fue también el primer navegador con DoH integrado. En la versión actual, puede activar la función a través de«Configuración -> Configuración de la conexión«.
.
Consejo: Firefox gestiona todas las peticiones de DoH a través de un resolver de Cloudflare por defecto. Los ajustes personales relativos a la gestión de DNS simplemente se omiten. Sin embargo, también es posible configurar un servidor DoH diferente.
3.2 Google Chrome
Después de Firefox, Google Chrome es el segundo navegador equipado con DoH. Sin embargo, primero hay que activarlo aquí a través del enlace«chrome://flags/#dns-over-https«. Actualmente, esto ya funciona para Windows, Mac, Android y Chrome OS, pero los usuarios de Linux lamentablemente quedan fuera por el momento.
Tras activar la función, Chrome envía las peticiones DNS al mismo servidor que antes, pero cifra el tráfico si dispone de una interfaz compatible con DoH. En caso contrario, las peticiones se envían sin cifrar.
3.3 Navegadores basados en Chromium
Muchos otros navegadores conocidos (como Microsoft Edge, Opera o Vivaldi, por ejemplo) se basan en Chromium y su motor Blink. Por tanto, DNS sobre HTTPS también está presente en ellos y puede activarse en los ajustes respectivos.
Es bueno saberlo: Apple mantiene actualmente un perfil muy bajo con respecto a las preguntas sobre una implementación de DoH en Safari. Sin embargo, dado que las nuevas versiones del navegador ya contienen un número cada vez mayor de funciones individuales de protección de datos, existe una alta probabilidad de que también se tome una decisión con respecto al protocolo DoH en un futuro próximo.