stringtranslate.com

DNS sobre HTTPS

DNS over HTTPS ( DoH ) es un protocolo para realizar la resolución remota del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS . Un objetivo del método es aumentar la privacidad y la seguridad del usuario al evitar el espionaje y la manipulación de los datos DNS por parte de ataques de intermediarios [1] mediante el uso del protocolo HTTPS para cifrar los datos entre el cliente DoH y el solucionador DNS basado en DoH . [2] En marzo de 2018, Google y la Fundación Mozilla habían comenzado a probar versiones de DNS over HTTPS. [3] [4] En febrero de 2020, Firefox cambió a DNS over HTTPS de forma predeterminada para los usuarios de los Estados Unidos. [5] En mayo de 2020, Chrome cambió a DNS over HTTPS de forma predeterminada. [6]

Una alternativa a DoH es el protocolo DNS over TLS (DoT), un estándar similar para cifrar consultas DNS , que difiere solo en los métodos utilizados para el cifrado y la entrega. En términos de privacidad y seguridad, si uno u otro protocolo es superior es un tema de debate controvertido, mientras que otros sostienen que los méritos de cada uno dependen del caso de uso específico. [7]

Detalles técnicos

DoH es un estándar propuesto, publicado como RFC  8484 (octubre de 2018) por el IETF . Utiliza HTTPS y admite los datos de respuesta DNS en formato de cable , tal como se devuelven en las respuestas UDP existentes, en una carga útil HTTPS con el tipo MIME application/dns-message . [1] [8] : §4.1  La capa HTTP subyacente puede ser cualquier versión de HTTP, aunque HTTP/2 es el mínimo recomendado . [8] : §5.2  Si se utiliza HTTP/2, el servidor también puede utilizar HTTP/2 server push para enviar valores que anticipa que el cliente puede encontrar útiles de antemano. [8] : §5.3 

DoH es un proyecto en proceso. Aunque el IETF ha publicado el RFC 8484 como propuesta de estándar y las empresas están experimentando con él, [9] [10] el IETF aún tiene que determinar cuál es la mejor manera de implementarlo. El IETF está evaluando una serie de enfoques para la mejor manera de implementar DoH y está [ ¿cuándo? ] buscando establecer un grupo de trabajo, Adaptive DNS Discovery (ADD), para realizar este trabajo y desarrollar un consenso. Además, se han formado otros grupos de trabajo de la industria, como la Iniciativa de Implementación de DNS Encriptado, para "definir y adoptar tecnologías de encriptación DNS de una manera que garantice el alto rendimiento, la resiliencia, la estabilidad y la seguridad continuos de los servicios críticos de resolución de nombres y espacios de nombres de Internet, así como garantizar la funcionalidad continua sin impedimentos de las protecciones de seguridad, los controles parentales y otros servicios que dependen del DNS". [11]

Dado que DoH no se puede utilizar en algunas circunstancias, como en los portales cautivos , los navegadores web como Firefox se pueden configurar para recurrir a DNS inseguros. [12]

DNS ajeno a HTTPS

Oblivious DNS over HTTPS (ODoH) es un borrador de Internet que propone una extensión del protocolo para garantizar que ningún servidor DoH conozca tanto la dirección IP del cliente como el contenido de sus consultas y respuestas DNS. Oblivious DoH fue desarrollado originalmente como Oblivious DNS (ODNS) [13] por investigadores de la Universidad de Princeton y la Universidad de Chicago como una extensión del DNS sin cifrar, antes de que DoH se estandarizara y se implementara ampliamente. Apple y Cloudflare posteriormente implementaron la tecnología en el contexto de DoH, como Oblivious DoH (ODoH). [14]

En ODoH y ODNS, todas las solicitudes y respuestas DNS se enrutan a través de un proxy, ocultando la dirección del cliente al solucionador. Las solicitudes y respuestas se cifran para ocultar su contenido al proxy, y solo el solucionador puede descifrar las solicitudes y el cliente las respuestas. De este modo, el proxy conoce la dirección del cliente pero no la solicitud, y el solucionador conoce la solicitud pero no la dirección del cliente, lo que impide que la dirección del cliente se vincule con la consulta, a menos que ambos servidores coludan. [15] [16] [17] [18]

Escenarios de implementación

DoH se utiliza para la resolución recursiva de DNS por parte de los resolutores de DNS . Los resolutores ( clientes DoH ) deben tener acceso a un servidor DoH que aloje un punto final de consulta. [19]

Son comunes tres escenarios de uso:

Soporte de software

Sistemas operativos

Manzana

iOS 14 y macOS 11 de Apple lanzados a fines de 2020 admiten los protocolos DoH y DoT . [20] [21] En iOS, los protocolos se pueden usar a través de perfiles de configuración.

Ventanas

En noviembre de 2019, Microsoft anunció planes para implementar soporte para protocolos DNS encriptados en Microsoft Windows , comenzando con DoH. [22] En mayo de 2020, Microsoft lanzó Windows 10 Insider Preview Build 19628 que incluía soporte inicial para DoH [23] junto con instrucciones sobre cómo habilitarlo a través del registro y la interfaz de línea de comandos . [24] Windows 10 Insider Preview Build 20185 agregó una interfaz gráfica de usuario para especificar un solucionador DoH. [25] El soporte para DoH no está incluido en Windows 10 21H2. [26]

Windows 11 tiene soporte para DoH. [27]

Androide

A partir de Android 11, es posible utilizar DNS sobre HTTP/3 (DoH3) si se instala una actualización del sistema de julio de 2022. [28]

Resolvedores de DNS recursivos

UNIR

BIND 9 , un solucionador de DNS de código abierto de Internet Systems Consortium, agregó soporte nativo para DoH en la versión 9.17.10. [29]

DNS de potencia

DNSdist, un equilibrador de carga/proxy DNS de código abierto de PowerDNS , agregó soporte nativo para DoH en la versión 1.4.0 en abril de 2019. [30]

Sin límites

Unbound, un solucionador de DNS de código abierto creado por NLnet Labs , ha admitido DoH desde la versión 1.12.0, lanzada en octubre de 2020. [31] [32] Implementó por primera vez el soporte para el cifrado DNS utilizando el protocolo alternativo DoT mucho antes, comenzando con la versión 1.4.14, lanzada en diciembre de 2011. [33] [34] Unbound se ejecuta en la mayoría de los sistemas operativos , incluidas las distribuciones de Linux , BSD , MacOS y Windows .

Navegadores web

Google Chrome

DNS over HTTPS está disponible en Google Chrome 83 o posterior para Windows, Linux y macOS, y se puede configurar a través de la página de configuración. Cuando está habilitado y el sistema operativo está configurado con un servidor DNS compatible, Chrome actualizará las consultas DNS para que se encripten. [35] También es posible especificar manualmente un servidor DoH preestablecido o personalizado para usar dentro de la interfaz de usuario. [36]

En septiembre de 2020, Google Chrome para Android comenzó a implementar por etapas DNS over HTTPS. Los usuarios pueden configurar un solucionador personalizado o deshabilitar DNS over HTTPS en la configuración. [37]

Google Chrome tiene cinco proveedores de DNS sobre HTTPS preconfigurados que son Google Public DNS , 1.1.1.1 de Cloudflare, 9.9.9.9 de Quad9 , NextDNS y CleanBrowsing . [38]

Microsoft Edge

Microsoft Edge admite DNS sobre HTTPS, que se puede configurar a través de la página de configuración. Cuando está habilitado y el sistema operativo está configurado con un servidor DNS compatible, Edge actualizará las consultas DNS para que se encripten. También es posible especificar manualmente un servidor DoH preestablecido o personalizado para usar dentro de la interfaz de usuario. [39]

Mozilla Firefox

Un ejemplo de uso de DNS sobre HTTPS en Firefox 89

En 2018, Mozilla se asoció con Cloudflare para ofrecer DoH a los usuarios de Firefox que lo habilitan (conocido como Trusted Recursive Resolver). [40] El 25 de febrero de 2020, Firefox comenzó a habilitar DNS sobre HTTPS para todos los usuarios con sede en EE. UU., confiando en el solucionador de Cloudflare de forma predeterminada. [41]

Ópera

Opera admite DoH, que se puede configurar a través de la página de configuración del navegador. [42] De forma predeterminada, las consultas DNS se envían a los servidores de Cloudflare. [43]

Servidores DNS públicos

Las implementaciones de servidores DNS sobre HTTPS ya están disponibles de forma gratuita por parte de algunos proveedores de DNS públicos.

Consideraciones de implementación

La comunidad de Internet aún está resolviendo muchos problemas sobre cómo implementar DoH de manera adecuada, incluidos, entre otros:

Análisis del tráfico DNS con fines de seguridad

DoH puede impedir el análisis y monitoreo del tráfico DNS con fines de ciberseguridad; el gusano DDoS de 2019 Godlua utilizó DoH para enmascarar las conexiones a su servidor de comando y control. [44] [45]

En enero de 2021, la NSA advirtió a las empresas contra el uso de solucionadores DoH externos porque impiden el filtrado, la inspección y la auditoría de consultas DNS. En su lugar, la NSA recomienda configurar solucionadores DoH de propiedad de la empresa y bloquear todos los solucionadores DoH externos conocidos. [46]

Interrupción de los filtros de contenido

DoH se ha utilizado para eludir los controles parentales que funcionan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas DNS para comprobar los dominios en una lista de bloqueo, bloquea DoH de forma predeterminada debido a esto. [47] Sin embargo, hay proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte para DoH al operar servidores DoH. [48] [49]

La Asociación de Proveedores de Servicios de Internet (ISPA), una asociación comercial que representa a los ISP británicos, y el organismo también británico Internet Watch Foundation han criticado a Mozilla , desarrollador del navegador web Firefox , por apoyar al DoH, ya que creen que socavará los programas de bloqueo web en el país, incluido el filtrado predeterminado de contenido para adultos por parte de los ISP y el filtrado obligatorio ordenado por los tribunales de las violaciones de derechos de autor. La ISPA nominó a Mozilla para su premio "Villano de Internet" para 2019 (junto con la Directiva de la UE sobre derechos de autor en el mercado único digital y Donald Trump ), "por su enfoque propuesto para introducir DNS sobre HTTPS de tal manera que se eludan las obligaciones de filtrado y los controles parentales del Reino Unido, socavando los estándares de seguridad de Internet en el Reino Unido". Mozilla respondió a las acusaciones de la ISPA, argumentando que no evitaría el filtrado, y que estaban "sorprendidos y decepcionados de que una asociación industrial de ISP decidiera tergiversar una mejora de la infraestructura de Internet de décadas de antigüedad". [50] [51] En respuesta a las críticas, la ISPA se disculpó y retiró la nominación. [52] [53] Mozilla declaró posteriormente que DoH no se utilizaría de forma predeterminada en el mercado británico hasta que se discutiera más con las partes interesadas pertinentes, pero afirmó que "ofrecería beneficios de seguridad reales a los ciudadanos del Reino Unido". [54]

Véase también

Referencias

  1. ^ ab Chirgwin, Richard (14 de diciembre de 2017). «IETF protege la privacidad y ayuda a la neutralidad de la red con DNS sobre HTTPS». The Register . Archivado desde el original el 14 de diciembre de 2017. Consultado el 21 de marzo de 2018 .
  2. ^ "DNS sobre HTTPS · Documentación de Cloudflare 1.1.1.1". Documentación de Cloudflare . 2024-01-17 . Consultado el 2024-02-21 .
  3. ^ "DNS sobre HTTPS | DNS público | Google Developers". Google Developers . Archivado desde el original el 20 de marzo de 2018. Consultado el 21 de marzo de 2018 .– Google proporciona dos puntos finales: uno para su API JSON 2018 y otro para una API RFC 8484.
  4. ^ Cimpanu, Catalin (20 de marzo de 2018). «Mozilla está probando la compatibilidad con «DNS sobre HTTPS» en Firefox». BleepingComputer . Archivado desde el original el 20 de marzo de 2018 . Consultado el 21 de marzo de 2018 .
  5. ^ ""Un cambio tecnológico largamente esperado hacia la privacidad en línea": Firefox encripta los nombres de dominio. Google seguirá su ejemplo". Novedades en el sector editorial | Noticias de publicación digital . 2020-02-26. Archivado desde el original el 2020-02-26 . Consultado el 2020-02-26 .
  6. ^ "Google establece que DNS sobre HTTPS sea el valor predeterminado en Chrome". Descifrar . 2020-05-20 . Consultado el 2024-03-29 .
  7. ^ Claburn, Thomas (20 de mayo de 2020). "Google lanza compatibilidad con DNS sobre HTTPS en Chrome 83... con un práctico interruptor de seguridad para el departamento de TI corporativo". The Register . Consultado el 3 de febrero de 2021 .
  8. ^ abc Hoffman, P; McManus, P. "RFC 8484 - Consultas DNS sobre HTTPS". datatracker.ietf.org . Archivado desde el original el 2018-12-12 . Consultado el 20 de mayo de 2018 .
  9. ^ "Experimentando con la actualización de DNS sobre HTTPS del mismo proveedor". Blog de Chromium . Archivado desde el original el 2019-09-12 . Consultado el 2019-09-13 .
  10. ^ Deckelmann, Selena (6 de septiembre de 2019). "Qué es lo próximo en hacer que el DNS cifrado sobre HTTPS sea el predeterminado". Futuros lanzamientos . Archivado desde el original el 2019-09-14 . Consultado el 2019-09-13 .
  11. ^ "Acerca de". Iniciativa de implementación de DNS cifrado . Archivado desde el original el 4 de diciembre de 2019. Consultado el 13 de septiembre de 2019 .
  12. ^ Mejorar la privacidad del DNS en Firefox
  13. ^ Schmitt, Paul; Edmundson, Anne; Feamster, Nick (2019). "DNS ajeno: privacidad práctica para consultas DNS" (PDF) . Tecnologías para mejorar la privacidad . 2019 (2): 228–244. arXiv : 1806.00276 . doi :10.2478/popets-2019-0028. S2CID  44126163.
  14. ^ "DNS ajeno implementado por Cloudflare y Apple". 9 de diciembre de 2020. Consultado el 27 de julio de 2022 .
  15. ^ McManus, Patrick; Wood, Christopher; Kinnear, Eric; Pauly, Tommy. "DNS ajeno a HTTPS". Ietf Datatracker . Consultado el 17 de marzo de 2021 .
  16. ^ Singanamalla, Sudheesh; Chunhapanya, Suphanat; Vavruša, Marek; Verma, Tanya; Wu, Pedro; Fayed, Marwan; Heimerl, Kurtis; Sullivan, Nick; Madera, Christopher (2020). "DNS ajeno a HTTPS (ODoH): una mejora práctica de la privacidad del DNS". arXiv : 2011.10121 [cs.CR].
  17. ^ Goodin, Dan (8 de diciembre de 2020). "Cloudflare, Apple y otros respaldan una nueva forma de hacer que Internet sea más privada". Ars Technica . Consultado el 14 de marzo de 2021 .
  18. ^ "Cloudflare y Apple diseñan un nuevo protocolo de Internet respetuoso con la privacidad". TechCrunch . 8 de diciembre de 2020 . Consultado el 17 de marzo de 2021 .
  19. ^ Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - Consultas DNS sobre HTTPS". datatracker.ietf.org . Archivado desde el original el 2018-04-25 . Consultado el 2018-05-20 .
  20. ^ 29 de junio de 2020, Anthony Spadafora 29 (29 de junio de 2020). "Los dispositivos Apple tendrán DNS encriptado en iOS 14 y macOS 11". TechRadar . Archivado desde el original el 2020-07-01 . Consultado el 2020-07-01 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
  21. ^ Cimpanu, Catalin. «Apple añade compatibilidad con DNS cifrado (DoH y DoT)». ZDNet . Archivado desde el original el 27 de junio de 2020. Consultado el 2 de julio de 2020 .
  22. ^ Gallagher, Sean (19 de noviembre de 2019). «Microsoft dice sí a futuras solicitudes DNS cifradas en Windows». Ars Technica . Archivado desde el original el 19 de noviembre de 2019. Consultado el 20 de noviembre de 2019 .
  23. ^ "Anuncio de la versión preliminar de Windows 10 Insider Build 19628". 13 de mayo de 2020. Archivado desde el original el 18 de mayo de 2020. Consultado el 13 de mayo de 2020 .
  24. ^ "Los usuarios de Windows Insider ahora pueden probar DNS a través de HTTPS". 13 de mayo de 2020. Archivado desde el original el 15 de mayo de 2020 . Consultado el 7 de julio de 2020 .
  25. ^ Brinkmann, Martin (6 de agosto de 2020). "Windows 10 build 20185 viene con configuraciones de DNS cifradas - gHacks Tech News". gHacks Tech News . Archivado desde el original el 2020-08-15 . Consultado el 2020-08-06 .
  26. ^ MandiOhlinger. "Novedades de Windows 10, versión 21H2 para profesionales de TI: novedades de Windows". docs.microsoft.com . Consultado el 9 de febrero de 2022 .
  27. ^ "Cómo configurar y usar DNS-Over-HTTPS (DoH) en Windows 11". Appuals.com . 2021-07-28 . Consultado el 2021-10-20 .
  28. ^ "DNS sobre HTTP/3 en Android". Blog de seguridad en línea de Google .
  29. ^ Boldariev, Artem (17 de febrero de 2021). "BIND implementa DoH". Sitio web de ISC . Internet Systems Consortium . Consultado el 17 de febrero de 2021 .
  30. ^ "dnsdist 1.4.0-alpha2 con compatibilidad con DNS sobre HTTPS". Blog de PowerDNS . 26 de abril de 2019 . Consultado el 10 de mayo de 2021 .
  31. ^ Wijngaards, Wouter (8 de octubre de 2020). "Lanzamiento de Unbound 1.12.0". Laboratorios NLnet . Consultado el 24 de octubre de 2020 .
  32. ^ Dolmans, Ralph (9 de octubre de 2020). "DNS-over-HTTPS en Unbound". El blog de NLnet Labs . Consultado el 24 de octubre de 2020 .
  33. ^ Wijngaards, Wouter (19 de diciembre de 2011). «Lanzamiento de Unbound 1.4.14». Lista de correo Unbound-users . Consultado el 24 de octubre de 2020 .
  34. ^ Wijngaards, Wouter. "Soporte DNS sobre SSL". GitHub . Consultado el 24 de octubre de 2020 .
  35. ^ "DNS sobre HTTPS (también conocido como DoH)". Archivado desde el original el 27 de mayo de 2020. Consultado el 23 de mayo de 2020 .
  36. ^ "Chrome 83: comienza la implementación de DNS sobre HTTPS (Secure DNS)". 20 de mayo de 2020. Archivado desde el original el 1 de junio de 2020 . Consultado el 20 de julio de 2020 .
  37. ^ Catalin Cimpanu. "Compatibilidad con DNS sobre HTTPS (DoH) añadida a Chrome en Android". ZDNet . Consultado el 3 de febrero de 2021 .
  38. ^ "DNS sobre HTTPS (también conocido como DoH)". www.chromium.org . Consultado el 5 de mayo de 2022 .
  39. ^ "Cómo habilitar DNS sobre HTTPS (DoH) en Windows 10". BleepingComputer . Consultado el 23 de enero de 2021 .
  40. ^ Solucionador recursivo confiable
  41. ^ Deckelmann, Selena. "Firefox sigue trabajando para que los usuarios estadounidenses utilicen DNS sobre HTTPS de forma predeterminada". El blog de Mozilla . Archivado desde el original el 27 de mayo de 2020. Consultado el 28 de mayo de 2020 .
  42. ^ "Registro de cambios de la versión 67". 3 de diciembre de 2019. Consultado el 23 de agosto de 2020 .
  43. ^ "Aquí se explica cómo habilitar DoH en cada navegador, al diablo con los ISP". ZDNet . Archivado desde el original el 9 de junio de 2020 . Consultado el 28 de mayo de 2020 .
  44. ^ Cimpanu, Catalin. "Los expertos afirman que DNS-over-HTTPS causa más problemas de los que resuelve". ZDNet . Archivado desde el original el 8 de noviembre de 2019. Consultado el 19 de noviembre de 2019 .
  45. ^ Cimpanu, Catalin. "Se detectó la primera cepa de malware que abusa del nuevo protocolo DoH (DNS sobre HTTPS)". ZDNet . Archivado desde el original el 27 de octubre de 2019. Consultado el 19 de noviembre de 2019 .
  46. ^ Goodin, Dan (15 de enero de 2021). "La NSA advierte a las empresas que tengan cuidado con los solucionadores de DNS de terceros". Ars Technica . Consultado el 17 de marzo de 2021 .
  47. ^ "Gestión de conexiones DNS cifradas (DNS sobre TLS, DNS sobre HTTPS) con Circle". Centro de soporte de Circle . Archivado desde el original el 2020-08-03 . Consultado el 2020-07-07 .
  48. ^ Gallagher, Sean (16 de noviembre de 2017). "El nuevo servicio DNS Quad9 bloquea los dominios maliciosos para todos". Ars Technica . Consultado el 14 de noviembre de 2021 . El sistema bloquea los dominios asociados con botnets, ataques de phishing y otros hosts de Internet maliciosos.
  49. ^ "NextDNS". NextDNS . Consultado el 16 de diciembre de 2023 .
  50. ^ Cimpanu, Catalin. «Un grupo de proveedores de servicios de Internet del Reino Unido califica a Mozilla de «villano de Internet» por admitir «DNS sobre HTTPS»». ZDNet . Archivado desde el original el 5 de julio de 2019. Consultado el 5 de julio de 2019 .
  51. ^ "Grupo de Internet califica a Mozilla de 'villano de Internet' por apoyar la función de privacidad DNS". TechCrunch . 5 de julio de 2019 . Consultado el 19 de julio de 2019 .
  52. ^ "Los ISP británicos luchan por hacer que la web sea MENOS segura". IT PRO . 14 de septiembre de 2019 . Consultado el 14 de septiembre de 2019 .
  53. ^ Patrawala, Fatema (11 de julio de 2019). «ISPA nominó a Mozilla en la categoría de «villano de Internet» por su campaña DNS over HTTPS, retiró las nominaciones y la categoría tras la reacción negativa de la comunidad». Packt Hub . Archivado desde el original el 4 de diciembre de 2019 . Consultado el 14 de septiembre de 2019 .
  54. ^ Hern, Alex (24 de septiembre de 2019). «Firefox: 'no hay planes en el Reino Unido' de convertir la herramienta de navegación cifrada en su navegador predeterminado». The Guardian . ISSN  0261-3077. Archivado desde el original el 28 de septiembre de 2019. Consultado el 29 de septiembre de 2019 .

Enlaces externos