DNS over TLS ( DoT ) es un protocolo de seguridad de red para cifrar y encapsular consultas y respuestas del Sistema de nombres de dominio (DNS) a través del protocolo Transport Layer Security (TLS). El objetivo del método es aumentar la privacidad y la seguridad del usuario evitando la escucha y la manipulación de los datos DNS a través de ataques de intermediario . El número de puerto conocido para DoT es 853.
Si bien el DNS sobre TLS es aplicable a cualquier transacción DNS, se estandarizó por primera vez para su uso entre resolutores de reenvío o stub y resolutores recursivos en RFC 7858 en mayo de 2016. Los esfuerzos posteriores de IETF especifican el uso de DoT entre servidores recursivos y autorizados ("DNS autorizado sobre TLS" o "ADoT") [1] y una implementación relacionada entre servidores autorizados (Zone Transfer-over-TLS o "xfr-over-TLS"). [2]
BIND admite conexiones DoT a partir de la versión 9.17. [3] Las versiones anteriores ofrecían capacidad DoT mediante proxy a través de stunnel . [4] Unbound admite DNS sobre TLS desde el 22 de enero de 2023. [5] [6] Unwind admite DoT desde el 29 de enero de 2023. [7] [8] Con el soporte de Android Pie para DNS sobre TLS, algunos bloqueadores de anuncios ahora admiten el uso del protocolo cifrado como una forma relativamente fácil de acceder a sus servicios en comparación con cualquiera de los diversos métodos alternativos que se usan normalmente, como VPN y servidores proxy. [9] [10] [11] [12]
Los clientes de Android que ejecutan Android Pie o versiones más nuevas admiten DNS sobre TLS y lo usarán de forma predeterminada si la infraestructura de red, por ejemplo, el ISP , lo admite. [13] [14]
En abril de 2018, Google anunció que Android Pie incluirá soporte para DNS sobre TLS, [15] lo que permitirá a los usuarios configurar un servidor DNS para todo el teléfono tanto en conexiones Wi-Fi como móviles, una opción que históricamente solo era posible en dispositivos rooteados . DNSDist, de PowerDNS , también anunció soporte para DNS sobre TLS en la versión 1.3.0. [16]
Los usuarios de Linux y Windows pueden usar DNS sobre TLS como cliente a través del demonio Stubby de NLnet Labs o Knot Resolver. [17] Alternativamente, pueden instalar getdns-utils [18] para usar DoT directamente con la herramienta getdns_query. El solucionador de DNS no vinculado de NLnet Labs también admite DNS sobre TLS. [19]
El iOS 14 de Apple introdujo soporte a nivel de sistema operativo para DNS sobre TLS (y DNS sobre HTTPS). iOS no permite la configuración manual de servidores DoT y requiere el uso de una aplicación de terceros para realizar cambios de configuración. [20]
systemd-resolved es una implementación exclusiva de Linux que se puede configurar para usar DNS sobre TLS, editando /etc/systemd/resolved.conf
y habilitando la configuración DNSOverTLS
. [21] [22] La mayoría de las distribuciones principales de Linux tienen systemd instalado de manera predeterminada. [23] [ referencia circular ]
Quad9 implementó por primera vez DNS over TLS en un solucionador recursivo público en 2017. [24] [25] Otros operadores de solucionadores recursivos como Google y Cloudflare siguieron su ejemplo en los años siguientes, y ahora es una característica ampliamente compatible y generalmente disponible en la mayoría de los solucionadores recursivos grandes. [26] [27] [28] [29] [30] [31] [32] [33] [12]
DoT puede impedir el análisis y la monitorización del tráfico DNS con fines de ciberseguridad. DoT se ha utilizado para eludir los controles parentales que funcionan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas DNS para comprobar los dominios en una lista de bloqueo, bloquea DoT de forma predeterminada debido a esto. [34] Sin embargo, hay proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte tanto para DoT como para DoH. [35] [36] [37] [38] [39] [12] En ese escenario, las consultas DNS se comprueban en las listas de bloqueo una vez que las recibe el proveedor en lugar de antes de salir del enrutador del usuario.
Al igual que con cualquier comunicación, el cifrado de las solicitudes DNS por sí solo no protege la privacidad. Protege contra observadores externos, pero no garantiza lo que los puntos finales hacen con los datos (luego descifrados).
Los clientes DoT no necesariamente consultan directamente a ningún servidor de nombres autorizado . El cliente puede confiar en que el servidor DoT utilice consultas tradicionales (puerto 53 u 853) para llegar finalmente a los servidores autorizados. Por lo tanto, DoT no califica como un protocolo cifrado de extremo a extremo , solo cifrado de salto a salto y solo si se utiliza DNS sobre TLS de manera consistente.
DNS over HTTPS (DoH) es un protocolo estándar similar para cifrar consultas DNS , que difiere únicamente en los métodos utilizados para el cifrado y la entrega de DoT. En términos de privacidad y seguridad, si existe o no un protocolo superior entre los dos es un tema de debate controvertido, mientras que otros sostienen que los méritos de cada uno dependen del caso de uso específico. [40]
DNSCrypt es otro protocolo de red que autentica y encripta el tráfico DNS, aunque nunca fue propuesto al Grupo de Trabajo de Ingeniería de Internet (IETF) con una Solicitud de Comentarios (RFC).
Recientemente se lanzó el servicio DNS Quad9. Quad9 se diferencia de servicios similares al centrarse en la seguridad y la privacidad. Una característica interesante es el hecho de que puede comunicarse con el servicio mediante DNS sobre TLS. Esto encripta la comunicación entre su cliente y el servidor DNS, salvaguardando su privacidad.
La semana pasada se anunció el nuevo solucionador de DNS Quad9. Es un solucionador de DNS público con el beneficio adicional de que es accesible de forma segura a través de TLS (RFC 7858). Hay muchos solucionadores de DNS públicos, pero el enlace a ellos no es seguro. Esto permite secuestros, como se vio en Turquía, así como la monitorización de terceros. El nuevo servicio Quad9, por otro lado, es operado por la organización sin fines de lucro Packet Clearing House (PCH), que administra grandes partes de la infraestructura de DNS, y permite el acceso al DNS sobre TLS. Esto hace que sea muy difícil para terceros escuchar. Y hace posible autenticar el solucionador.
El sistema bloquea los dominios asociados con botnets, ataques de phishing y otros hosts de Internet maliciosos.