¿Cómo activar DNS sobre HTTPS y para qué sirve?

DNS sobre HTTPS (DoH) se perfila como una precaución adicional para la protección de los hábitos de navegación frente grandes empresas, atacantes y otros terceros, con promesas de capacidades para evadir incluso el radar de los proveedores de Internet.

Otra propuesta para el problema de la privacidad en línea, defendida por unos y criticada por otros.

Pero DoH no se presenta a sí misma como la solución integral al problema de la privacidad. El protocolo busca ser una capa más de defensa en el campo de Internet, aunque para algunos no tan omnipotente como atribuyen sus defensores.

Mozilla se convirtió en la primera en implementar DoH a un navegador: Firefox.

¿Qué es DNS sobre HTTPS?

DoH (DNS-over-HTTPS) consiste en un protocolo creado para mejorar la privacidad y proteger la seguridad de los usuarios, al cifrar las solicitudes DNS que realizan desde sus navegadores o sistemas operativos.

Presentado en 2017, este protocolo de seguridad es un proyecto impulsado por la IETF (Internet Engineering Task Force), colectivo internacional dedicado a la ingeniería de Internet.

Diseñado para proteger las consultas DNS de los usuarios, DNS mediante HTTPS también busca contribuir a construir la deseada neutralidad de la red, ya que quiere dejar por fuera los ojos intrusos, incluyendo la vista poderosa de los ISP (Internet service provider), proveedores de las conexiones a Internet.

Mark Nottingham, desarrollador de infraestructura web, comentó que uno de los propósitos del protocolo es derrotar a las redes y los gobiernos que utilizan DNS para establecer políticas y restricciones sobre el “tráfico neto”.

DNS sobre HTTPS permite enviar la solicitud DNS a través de HTTPS, conexiones con cifrado de extremo a extremo, en vez de hacerlo como un paquete de DNS.

Ver: ¿Qué es el cifrado de extremo a extremo? – Concepto, utilidad y límites

¿Qué es DNS?

DNS (Sistema de nombres de dominio – Domain Name System) es una base de datos que vincula un dominio de nombre amigable, por ejemplo coca.com, con una dirección IP, una serie de números, como ser 112.2.3.1.

Este sistema hace posible que el usuario pueda entrar a un sitio web, al convertir sus solicitudes en una dirección IP que coincida con la computadora / dispositivo que entregará la página web en cuestión solicitada.

Las consultas DNS se realizan en texto sin formato, viajando sin cifrar desde una aplicación a un servidor DNS, usando la configuración DNS del sistema operativo local recibido de su proveedor de red.

Con el protocolo DoH, en cambio, las solicitudes DNS se cifran y envían a servidores DNS especiales compatibles con DoH.

El primer servidor DNS data de 1984, creado por un grupo de estudiantes de UC Berkeley, en tiempos de la Arpanet. Desarrollado hace ya décadas, para algunos el DNS hoy resulta un modelo obsoleto, que puede comprometer la privacidad del usuario.

Dado que el DNS no está cifrado, existe el riesgo de que terceros puedan ver, modificar, recopilar o bloquear los datos que viajan.

Las solicitudes DNS se envían a servidores que, si quieren, tienen las capacidades de espiar el historial de navegación sin uno saber qué se hace con esa información. Al enviar las solicitudes sin cifrar, los proveedores de Internet podrían saber más fácilmente qué dominios se buscan visitar.

Tal como apunta IETF:

“El DNS es un vector muy común para que las redes o los gobiernos interfieran con el tráfico”.

¿Qué es HTTPS?

HTTPS (HyperText Transfer Protocol Secure) es un protocolo de comunicación que protege la confidencialidad e integridad de los datos de los usuarios entre sus dispositivos y el sitio web.

Proporciona conexiones encriptadas, siendo a menudo catalogado como la versión segura de HTTP.

¿Para qué sirve activar DNS sobre HTTPS?

El protocolo DNS over HTTPS envía el nombre de dominio que escribió el usuario a un servidor DNS compatible con DoH, utilizando una conexión HTTPS encriptada, dificultando que otros vean a qué sitios web se quiere acceder.

Los defensores del protocolo sostienen que, al activar DNS sobre HTTPS, se mantiene a salvo el historial de navegación de posibles atacantes e intrusos, además de prevenir la recopilación de datos por parte de terceros que asocian los dispositivos con los sitios web que visita.

Resultado de imagen para security internet

A su vez, se subraya que puede servir para garantizar la integridad y la confidencialidad de las solicitudes de DNS, así como para mejorar el rendimiento de estas operaciones remotas y diarias.

Joseph Lorenzo Hall, vicepresidente senior de la organización sin ánimo de lucro Internet Society, calificó el DNS encriptado como

“un movimiento importante de protección del usuario que reduce la cantidad de escape digital de nuestros dispositivos, hogares y vehículos”.

Pero NO tengo nada que esconder…

El ejercicio de la privacidad no debe pensarse como el abrigo de delincuentes.

Por el contrario, se trata de un derecho elemental y legítimo, que cualquier usuario debería poder conservar durante sus comunicaciones diarias. Algo que resulta cada vez más complejo y aún más para usuarios normales como uno, sin conocimientos técnicos.

Si el ISP ve qué productos compras en ebay no parece ser muy importante. Pero tal vez otros accesos podrían exponerte, dependiendo dónde te encuentres, en qué momento político, quién seas, qué visitas en Internet, etc.

¿Debes explicar que tus búsquedas relacionadas con explosivos responde a un proyecto de investigación académico? ¿Qué pasa si entro a sitios prohibidos en mi país? ¿Por qué otro debe saber qué visito y por qué en Internet?

Ver: ¿Criptografía e ilegalidad?

¿Cómo activar DNS sobre HTTPS?

La opción DNS sobre HTTPS no aparece por defecto en la mayoría de los navegadores. Se trata de una función que debe específicamente habilitarse.

DNS sobre HTTPS – Firefox

La Fundación Mozilla anunció en febrero de 2020 que el navegador Firefox comenzó a implementar DoH de forma predeterminada para usuarios de EE.UU.

Los usuarios que no viven en los Estados Unidos pueden habilitar DNS sobre HTTPS en Firefox, entrando a ‘Opciones’ / ‘Configuración de red’ / ‘Configuración’ y clic en el botón ‘Activar DNS sobre HTTPS‘.

Al activar esa casilla, las solicitudes DNS se enviarán cifradas en modo automático a Cloudflare, compañía de seguridad de red que proporciona servicios de DNS cifrado desde 2018. Sí, como en tantos otros servicios, se debe confiar en las buenas intenciones de un tercero.

En EE.UU. también puede elegirse el proveedor NextDNS.

Activar DNS sobre HTTPS – Chrome

Las últimas versiones del navegador Google Chrome también permiten habilitar conexiones DoH. Para activar DNS sobre HTTPS en el navegador Chrome, se accede mediante una “flag de Chrome“, sitio donde se alojan variados experimentos para testear.

La flag es «Secure DNS lookups«, la buscas en la barra de direcciones del navegador, copiando y pegando: chrome://flags/#dns-over-https

Una vez habilitada la flag, reiniciar el navegador.

Activar DNS sobre HTTPS en los navegadores…

Para habilitar DNS mediante HTTPS, copiar y pegar los siguientes enlaces en las barras de direcciones de cada navegador. Luego, activa esta opción y reinicia para comenzar a usar conexiones DNS más privadas.

Opera

opera://flags/opera-doh

Brave

brave://flags/#dns-over-https

Microsoft Edge

edge://flags/#dns-over-https

Vivaldi

vivaldi://flags/#dns-over-https

DNS mediante TLS

Críticas a DoH

Tal como sucede con otros programas y servicios de privacidad, se plantea un problema inesperado: confiar en que el proveedor de DNS externo sea honesto y no cometa abusos.

La desarrolladora Maya Posch publicó en Hackaday un artículo titulado ‘DNS-over-HTTPS is The Wrong Partial Solution‘, donde cuestiona los alcances de este protocolo y el peligro de depender de servicios centralizados, entre otros aspectos.

Posh critica el hecho de que la solución recaiga en manos de un servicio DNS “confiable”, que para Mozilla sería Cloudflare, empresa que asegura eliminar los registros de búsqueda de DNS tras 24 horas.

Para la autora, mejor sería centrarse en la implementación de DNSSEC (Domain Name System Security), otra capa de seguridad adicional propuesta por la Internet Engineering Task Force, además de advertir que si se busca “esquivar el seguimiento, entonces debería estar buscando VPN, especialmente si es un disidente atrapado en algún régimen autoritario”.

Ver: Riesgos de usar VPN – ¿Es seguro?

En la misma línea, otros expertos han criticado este nuevo protocolo, alertando que no es una alternativa recomendable para la seguridad de disidentes.

Varios apuntan que, en rigor, DoH no evita el seguimiento de usuarios por parte de los ISPs, además de crear problemas de implementación en el ámbito empresarial y centralizar el tráfico DNS en algunos pocos servidores con capacidades DoH.

Si bien DNS sobre HTTPS impide que el ISP vea las solicitudes de DNS de un usuario, dificultando por tanto el acceso a sus hábitos de navegación, DNS no es el único protocolo en juego en la negación web, sino que hay otras fuentes de datos que los proveedores podrían rastrear.

DoH encrypts precisely zero data that is not already present in unencrypted form. As it stands, using DoH only provides *additional* leaks of data. SNI, IP addresses, OCSP and remaining HTTP connections still provide the rest. It is fake privacy in 2019.
— Bert Hubert 🇺🇦 (@bert_hu_bert) September 22, 2019

Además, se advierte que incluso el protocolo HTTPS no es imbatible. Algunas partes de estas conexiones no se encuentran encriptadas, con lo cual los ISP podrían ver esas porciones sin cifrar, como ser los campos SNI (Server Name Indication).

Por otra parte, plantea retos en entornos corporativos, no solo en términos de configuraciones y compatibilidades. También se advierte que DoH podría habilitar a los empleados a evitar los filtros empresariales para acceder al contenido bloqueado en lugares de trabajo.

DoH is an over the top bypass of enterprise and other private networks. But DNS is part of the control plane, and network operators must be able to monitor and filter it. Use DoT, never DoH.
— Paul Vixie (@paulvixie) October 21, 2018

Asimismo, se cuestiona la capacidad de DoH para deludir las listas de bloqueo basadas en DNS por razones legítimas, como aquellas que buscan evitar el acceso a sitios web de abuso infantil.

DNS over HTTPS #DoH is definitely a thing. I think it will affect network security monitoring and detection in a non trivial way. #dailypcap

Pretty straight forward, but some good readings:

1) https://t.co/RnSito66aK
2) https://t.co/vDOWEHbBog
3) https://t.co/hNnvLYGKdn pic.twitter.com/AEgM5H9wui
— Steve Miller (@stvemillertime) October 24, 2018

Expertos en seguridad citados por el sitio de tecnología Zdnet alertan que DNS sobre HTTPS en realidad no protege a los disidentes en sistemas políticos opresivos, ya que DoH oculta el tráfico DNS, pero no todos los componentes del tráfico web.

“Es fundamental ver a DoH como una ‘VPN muy parcial’ que solo cifra los paquetes DNS, pero deja todos los demás paquetes sin modificar“, advirtió un experto de PowerDNS, proveedor de software, servicios y soporte DNS de código abierto.

It is instructive to see DoH as a "very partial VPN that only encrypts port 53". And in fact, this is how the mobile DOH apps are implemented, as VPNs. And seen like that it is a devastatingly bad VPN that neglects to encrypt 99% of packets.
— Bert Hubert 🇺🇦 (@bert_hu_bert) September 22, 2019

PowerDNS sugiere que en países opresivos donde usuarios realmente necesitan ocultar su tráfico web, se usen aplicaciones compatibles con DoH en combinación con Tor o VPN y no solo DoH.

DoH is an unfortunate answer to a complicated problem. I personally prefer DoT (DNS over TLS). Putting an OS-level function like name resolution in the hands of an application via DoH is a bad idea. See what @paulvixie has been writing for the most informed commentary.
— Richard Bejtlich 💾 🇺🇦 (@taosecurity) September 10, 2019

APNIC (Asia-Pacific Network Information Centre) ha sido uno de los más críticos con el nuevo modelo DNS over HTTPS, cuestionando las implicancias de enviar tráfico DoH a unos pocos servidores DoH, en vez de usar el ecosistema hoy disponible de servidores DNS.

La organización asiática alerta, en definitiva, por el efecto centralizador de DoH:

“El DoH centralizado es actualmente una red negativa de privacidad, ya que cualquiera que pueda ver sus metadatos aún puede ver sus metadatos cuando el DNS se traslada a un tercero. Además, ese tercero obtiene un registro completo por dispositivo de todas las consultas DNS, de una manera que incluso se puede rastrear a través de direcciones IP. Cifrar DNS es bueno, pero si esto se pudiera hacer sin involucrar a otras partes, sería mejor”.

Para evitar esta centralización, la EFF (Electronic Frontier Foundation), organización referente de la privacidad y libertad en el mundo digital, propone un razonable ideal: la necesidad de “una implementación generalizada de DNS sobre HTTPS por parte de los propios proveedores de servicios de Internet”.

ISP Faelix, proveedor de Internet comprometido con la privacidad, ha implementado el soporte para DNS sobre HTTPS, no tanto por temores de vigilancias gubernamentales, sino que para combatir “la monetización de nuestros datos personales”.

La EFF también resalta que los navegadores deben ser transparentes sobre quién tendrá acceso a la información asociada a solicitudes de DNS, además de darles a los usuarios la oportunidad de elegir su propio resolutor / servidor.

Tor y VPN para obtener más privacidad en línea

VPN

Las VPN, virtual private network (redes privadas virtuales), sirven para ocultar la dirección IP, al asociarla con un punto geográfico ajeno a la ubicación física del usuario, además de cifrar los datos y -algunas de ellas- también solicitudes DNS.

Hay VPNs que cuentan con sus propios servidores DNS privados y encriptan las solicitudes DNS. Al mantener las solicitudes DNS dentro de la red, estas pueden permanecer cifradas cuando se envían desde / hacia el servidor DNS.

Entre otros proveedores VPN que encriptan las solicitudes DNS podrían señalarse VPN.ac y ExpressVPN.

A menudo, las redes privadas virtuales se usan en entornos corporativos para el intercambio remoto de información entre empleados de empresas.

Pero su uso de mayor importancia es como protector de la identidad en línea de quienes realmente lo necesitan. Las VPNs han servido como una herramienta vital para los disidentes de gobiernos autoritarios y para evitar la censura en Internet.

Los servicios pagos de VPN sin límites en sus funcionalidades son provistos por terceros, con lo cual también debe confiarse en que un proveedor no almacenará ni compartirá los datos de sus clientes.

Ver: WireGuard, la VPN que se testea en el núcleo de Linux

TOR

Red y navegador, Tor es una defensora indiscutida de la libertad y privacidad en línea, que también proporciona un mayor anonimato y un mecanismo adicional para prevenir el seguimiento de tu tráfico.

Tor es una implementación de “onion routing” (enrutamiento de cebolla), un sistema que cifra las comunicaciones y las rebota a través de una red de voluntarios de todo el mundo.

Ver: ¿Qué es el navegador Tor? ¿Para qué sirve?

¿TOR usa DNS sobre HTTPS?

No es el usuario, sino que el nodo de salida de Tor (‘exit node / exist relay’) quien hace la resolución de DNS.

Para navegar por la web a través de Tor, también debe hacerse una resolución DNS, ya que Tor usa direcciones IP. La red Tor transporta la solicitud del usuario como un paquete, luego resuelto por el nodo de salida como una solicitud DNS.

Pero el usuario, como cliente de Tor, no realiza ninguna solicitud.

Por esta razón, como explica Liquid_Hate_Train, un usuario avanzado de Reddit, cualquier configuración de DNS del usuario no hace la diferencia:

“La forma en que se realiza la solicitud de DNS final está determinada por la configuración del nodo de salida”.

1.1.1.1 – Servidor DNS para Tor

Cloudfare lanzó a mediados de 2018 1.1.1.1, un servidor DNS (DNS resolver) alojado a través de un servicio oculto / servicio .onion (‘hidden services / onion services‘) de Tor, accesible en:

Hidden service: https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/ (pegar esta dirección en el navegador Tor)
Enlace desde la web: tor.cloudflare-dns.com.

Consiste en un servicio de resolución de dominios basado en .onion, que reenvía toda comunicación en los puertos DNS a los puertos correspondientes en 1.1.1.1. La IP del cliente aparece como una IP interna, no la suya.

Según Cloudfare, su servicio elimina la necesidad de nodos de salida al usar servicios .onion, evitando intentos de manipulación y vigilancia del tráfico por parte de nodos de salida eventualmente maliciosos.

La compañía de seguridad compartió una guía para desarrolladores que quieran configurar Cloudflared e iniciar un cliente DNS compatible con DNS a través de HTTPS, enrutado a través de la red Tor:

Introducing DNS Resolver for Tor

Fuentes: