DNS sobre HTTPS

Protocol to run DNS queries over HTTPS

DNS sobre HTTPS ( DoH ) es un protocolo para realizar la resolución remota del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS . Un objetivo del método es aumentar la privacidad y seguridad del usuario evitando la escucha y manipulación de datos DNS mediante ataques de intermediario ^[1] mediante el uso del protocolo HTTPS para cifrar los datos entre el cliente DoH y el basado en DoH. Resolutor DNS . ^[2] En marzo de 2018, Google y la Fundación Mozilla habían comenzado a probar versiones de DNS sobre HTTPS. ^{[3] [4]} En febrero de 2020, Firefox cambió a DNS sobre HTTPS de forma predeterminada para los usuarios de Estados Unidos. ^[5] En mayo de 2020, Chrome cambió a DNS sobre HTTPS de forma predeterminada. ^[6]

Una alternativa a DoH es el protocolo DNS sobre TLS (DoT), un estándar similar para cifrar consultas DNS , que se diferencia únicamente en los métodos utilizados para el cifrado y la entrega. Con base en la privacidad y la seguridad, si alguno de los protocolos es superior es un tema de debate controvertido, mientras que otros argumentan que los méritos de cualquiera de ellos dependen del caso de uso específico. ^[7]

Detalles técnicos

DoH es un estándar propuesto, publicado como RFC  8484 (octubre de 2018) por el IETF . Utiliza HTTPS y admite los datos de respuesta DNS en formato de cable , tal como se devuelven en las respuestas UDP existentes, en una carga útil HTTPS con el tipo MIME application/dns-message . ^{[1] [8] : §4.1} La capa HTTP subyacente puede ser cualquier versión de HTTP, aunque HTTP/2 es el mínimo recomendado . ^{[8] : §5.2} Si se utiliza HTTP/2, el servidor también puede utilizar la inserción del servidor HTTP/2 para enviar valores que anticipa que el cliente puede encontrar útiles de antemano. ^{[8] : §5.3}

El Departamento de Salud es un trabajo en progreso. Aunque el IETF ha publicado el RFC 8484 como estándar propuesto y las empresas están experimentando con él, ^{[9] [10]} el IETF aún tiene que determinar cuál es la mejor manera de implementarlo. El IETF está evaluando una serie de enfoques sobre la mejor manera de implementar DoH y ^{[ ¿ cuándo? ]} busca establecer un grupo de trabajo, Descubrimiento de DNS adaptativo (ADD), para hacer este trabajo y desarrollar un consenso. Además, se han formado otros grupos de trabajo de la industria, como la Iniciativa de implementación de DNS cifrado, para "definir y adoptar tecnologías de cifrado DNS de una manera que garantice el alto rendimiento, la resiliencia, la estabilidad y la seguridad continuos de los servicios de resolución de nombres y espacios de nombres críticos de Internet". , además de garantizar la funcionalidad continua e intacta de las protecciones de seguridad, los controles parentales y otros servicios que dependen del DNS". ^[11]

Dado que DoH no se puede utilizar en algunas circunstancias, como portales cautivos , los navegadores web como Firefox se pueden configurar para recurrir a DNS inseguros. ^[12]

DNS ajeno a HTTPS

DNS ajeno a través de HTTPS (ODoH) es un borrador de Internet que propone una extensión de protocolo para garantizar que ningún servidor DoH conozca tanto la dirección IP del cliente como el contenido de sus consultas y respuestas de DNS. Oblivious DoH fue desarrollado originalmente como Oblivious DNS (ODNS) ^[13] por investigadores de la Universidad de Princeton y la Universidad de Chicago como una extensión de DNS no cifrado, antes de que DoH se estandarizara y se implementara ampliamente. Posteriormente, Apple y Cloudflare implementaron la tecnología en el contexto de DoH, como Oblivious DoH (ODoH). ^[14]

En ODoH y ODNS, todas las solicitudes y respuestas de DNS se enrutan a través de un proxy, ocultando la dirección del cliente al solucionador. Las solicitudes y respuestas se cifran para ocultar su contenido al proxy, y solo el solucionador puede descifrar las solicitudes y el cliente las respuestas. Por lo tanto, el proxy conoce la dirección del cliente pero no la solicitud, y el solucionador conoce la solicitud pero no la dirección del cliente, lo que evita que la dirección del cliente se vincule a la consulta, a menos que ambos servidores colaboren. ^{[15] [16] [17] [18]}

Escenarios de implementación

Los solucionadores de DNS utilizan DoH para la resolución recursiva de DNS . Los solucionadores ( clientes DoH ) deben tener acceso a un servidor DoH que aloje un punto final de consulta. ^[19]

Son comunes tres escenarios de uso:

• Uso de una implementación DoH dentro de una aplicación: algunos navegadores tienen una implementación DoH incorporada y, por lo tanto, pueden realizar consultas sin pasar por la funcionalidad DNS del sistema operativo. Un inconveniente es que es posible que una aplicación no informe al usuario si omite las consultas de DoH, ya sea por una mala configuración o por falta de soporte para DoH.
• Instalación de un proxy DoH en el servidor de nombres en la red local: en este escenario, los sistemas cliente continúan usando DNS tradicional (puerto 53 u 853) para consultar el servidor de nombres en la red local, que luego recopilará las respuestas necesarias a través de DoH al comunicarse con Servidores DoH en Internet. Este método es transparente para el usuario final.
• Instalación de un proxy DoH en un sistema local: en este escenario, los sistemas operativos están configurados para consultar un proxy DoH que se ejecuta localmente. A diferencia del método mencionado anteriormente, el proxy debe instalarse en cada sistema que desee utilizar DoH, lo que puede requerir mucho esfuerzo en entornos más grandes.

Soporte de software

Sistemas operativos

Manzana

iOS 14 y macOS 11 de Apple lanzados a finales de 2020 son compatibles con los protocolos DoH y DoT . ^{[20] [21]} En iOS, los protocolos se pueden utilizar a través de perfiles de configuración.

ventanas

En noviembre de 2019, Microsoft anunció planes para implementar soporte para protocolos DNS cifrados en Microsoft Windows , comenzando con DoH. ^[22] En mayo de 2020, Microsoft lanzó Windows 10 Insider Preview Build 19628 que incluía soporte inicial para DoH ^[23] junto con instrucciones sobre cómo habilitarlo a través del registro y la interfaz de línea de comandos . ^[24] Windows 10 Insider Preview Build 20185 agregó una interfaz gráfica de usuario para especificar un solucionador DoH. ^[25] La compatibilidad con DoH no está incluida en Windows 10 21H2. ^[26]

Windows 11 tiene soporte DoH. ^[27]

Androide

Android 11 en adelante admite DNS sobre HTTP/3 (DoH3) si se instala una actualización del sistema de julio de 2022. ^[28]

Resolvedores de DNS recursivos

UNIR

BIND 9 , un solucionador de DNS de código abierto de Internet Systems Consortium, agregó soporte nativo para DoH en la versión 9.17.10. ^[29]

PowerDNS

DNSdist, un balanceador de carga/proxy DNS de código abierto de PowerDNS , agregó soporte nativo para DoH en la versión 1.4.0 en abril de 2019. ^[30]

Sin consolidar

Unbound, un solucionador de DNS de código abierto creado por NLnet Labs , admite DoH desde la versión 1.12.0, lanzada en octubre de 2020. ^{[31] [32]} Primero implementó soporte para el cifrado DNS utilizando el protocolo DoT alternativo mucho antes, comenzando con la versión 1.4.14, lanzado en diciembre de 2011. ^{[33] [34]} Unbound se ejecuta en la mayoría de los sistemas operativos , incluidas las distribuciones de Linux , BSD , MacOS y Windows .

navegadores web

Google Chrome

DNS sobre HTTPS está disponible en Google Chrome 83 o posterior para Windows, Linux y macOS, y se puede configurar a través de la página de configuración. Cuando está habilitado y el sistema operativo está configurado con un servidor DNS compatible, Chrome actualizará las consultas DNS para cifrarlas. ^[35] También es posible especificar manualmente un servidor DoH preestablecido o personalizado para usar dentro de la interfaz de usuario. ^[36]

En septiembre de 2020, Google Chrome para Android comenzó la implementación por etapas de DNS sobre HTTPS. Los usuarios pueden configurar un solucionador personalizado o desactivar DNS sobre HTTPS en la configuración. ^[37]

Google Chrome tiene 5 proveedores de DNS sobre HTTPS preconfigurados: Google Public DNS , Cloudflare 1.1.1.1 , Quad9 9.9.9.9 , NextDNS y CleanBrowsing . ^[38]

Borde de Microsoft

Microsoft Edge admite DNS sobre HTTPS, configurable a través de la página de configuración. Cuando está habilitado y el sistema operativo está configurado con un servidor DNS compatible, Edge actualizará las consultas DNS para cifrarlas. También es posible especificar manualmente un servidor DoH preestablecido o personalizado para usar dentro de la interfaz de usuario. ^[39]

Mozilla Firefox

Un ejemplo de uso de DNS sobre HTTPS en Firefox 89

En 2018, Mozilla se asoció con Cloudflare para ofrecer DoH a los usuarios de Firefox que lo habilitan (conocido como Trusted Recursive Resolver). ^[40] El 25 de febrero de 2020, Firefox comenzó a habilitar DNS sobre HTTPS para todos los usuarios de EE. UU., confiando en el solucionador de Cloudflare de forma predeterminada. ^[41]

Ópera

Opera admite DoH, configurable a través de la página de configuración del navegador. ^[42] De forma predeterminada, las consultas DNS se envían a los servidores de Cloudflare. ^[43]

Servidores DNS públicos

Algunos proveedores públicos de DNS ya ofrecen implementaciones de servidores DNS sobre HTTPS de forma gratuita.

Consideraciones de implementación

La comunidad de Internet aún está resolviendo muchos problemas sobre cómo implementar correctamente DoH, incluidos, entre otros:

• Evitar que terceros analicen el tráfico DNS por motivos de seguridad
• Interrupción de los controles parentales y filtros de contenido a nivel de DNS
• Dividir DNS en redes empresariales ^{[ cita necesaria ]}
• Localización de CDN ^{[ cita necesaria ]}

Análisis del tráfico DNS por motivos de seguridad.

El Departamento de Salud puede impedir el análisis y el seguimiento del tráfico DNS con fines de ciberseguridad; El gusano DDoS de 2019 , Godlua, utilizó DoH para enmascarar las conexiones a su servidor de comando y control. ^{[44] [45]}

En enero de 2021, la NSA advirtió a las empresas que no utilizaran solucionadores DoH externos porque impiden el filtrado, la inspección y la auditoría de consultas de DNS. En su lugar, la NSA recomienda configurar solucionadores DoH de propiedad empresarial y bloquear todos los solucionadores DoH externos conocidos. ^[46]

Interrupción de los filtros de contenido.

DoH se ha utilizado para eludir los controles parentales que operan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas DNS para comparar dominios con una lista de bloqueo, bloquea DoH de forma predeterminada debido a esto. ^[47] Sin embargo, existen proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte para DoH mediante la operación de servidores DoH. ^{[48] ​​[49]}

La Asociación de Proveedores de Servicios de Internet (ISPA), una asociación comercial que representa a los ISP británicos, y el también organismo británico Internet Watch Foundation han criticado a Mozilla , desarrollador del navegador web Firefox , por apoyar al DoH, ya que creen que socavará los programas de bloqueo web en en todo el país, incluido el filtrado predeterminado por parte de los ISP de contenido para adultos y el filtrado obligatorio por orden judicial de violaciones de derechos de autor. La ISPA nominó a Mozilla para su premio "Villano de Internet" para 2019 (junto con la Directiva de la UE sobre derechos de autor en el mercado único digital y Donald Trump ), "por su enfoque propuesto para introducir DNS sobre HTTPS de tal manera que evite Obligaciones de filtrado y controles parentales del Reino Unido, lo que socava los estándares de seguridad de Internet en el Reino Unido". Mozilla respondió a las acusaciones de ISPA, argumentando que no impediría el filtrado y que estaban "sorprendidos y decepcionados de que una asociación industrial de ISP decidiera tergiversar una mejora de la infraestructura de Internet con décadas de antigüedad". ^{[50] [51]} En respuesta a las críticas, la ISPA se disculpó y retiró la nominación. ^{[52] [53]} Mozilla declaró posteriormente que DoH no se utilizará de forma predeterminada en el mercado británico hasta que se realice una discusión adicional con las partes interesadas relevantes, pero afirmó que "ofrecería beneficios reales de seguridad a los ciudadanos del Reino Unido". ^[54]

Ver también

• DNS sobre TLS
• DNSCrypt
• Curva DNS
• Subred del cliente EDNS

Referencias

1. Chirgwin, Richard (14 de diciembre de 2017). "IETF protege la privacidad y ayuda a la neutralidad de la red con DNS sobre HTTPS". El registro . Archivado desde el original el 14 de diciembre de 2017 . Consultado el 21 de marzo de 2018 .
2. "DNS sobre HTTPS · Documentos de Cloudflare 1.1.1.1". Documentos de Cloudflare . 2024-01-17 . Consultado el 21 de febrero de 2024 .
3. "DNS sobre HTTPS | DNS público | Desarrolladores de Google". Desarrolladores de Google . Archivado desde el original el 2018-03-20 . Consultado el 21 de marzo de 2018 .– Google proporciona dos puntos finales: uno para su API JSON 2018 y otro para una API RFC 8484.
4. Cimpanu, Catalin (20 de marzo de 2018). "Mozilla está probando la compatibilidad con" DNS sobre HTTPS "en Firefox". Computadora que suena . Archivado desde el original el 2018-03-20 . Consultado el 21 de marzo de 2018 .
5. ""Un cambio tecnológico muy esperado hacia la privacidad en línea ": Firefox cifra los nombres de dominio. Google lo seguirá". Novedades en publicaciones | Noticias de publicaciones digitales . 2020-02-26. Archivado desde el original el 26 de febrero de 2020 . Consultado el 26 de febrero de 2020 .
6. "Google hace que DNS sobre HTTPS sea el predeterminado en Chrome". Descifrar . 2020-05-20 . Consultado el 29 de marzo de 2024 .
7. Claburn, Thomas (20 de mayo de 2020). "Google implementa compatibilidad con DNS sobre HTTPS a favor de la privacidad en Chrome 83... con un práctico interruptor de apagado para TI corporativa". El registro . Consultado el 3 de febrero de 2021 .
8. Hoffman, P; McManus, P. "RFC 8484: consultas DNS a través de HTTPS". datatracker.ietf.org . Archivado desde el original el 12 de diciembre de 2018 . Consultado el 20 de mayo de 2018 .
9. "Experimentando con la actualización de DNS sobre HTTPS del mismo proveedor". Blog de cromo . Archivado desde el original el 12 de septiembre de 2019 . Consultado el 13 de septiembre de 2019 .
10. Deckelmann, Selena (6 de septiembre de 2019). "¿Qué sigue para hacer que el DNS cifrado sobre HTTPS sea el predeterminado?". Lanzamientos futuros . Archivado desde el original el 14 de septiembre de 2019 . Consultado el 13 de septiembre de 2019 .
11. "Acerca de". Iniciativa de implementación de DNS cifrado . Archivado desde el original el 4 de diciembre de 2019 . Consultado el 13 de septiembre de 2019 .
12. Mejora de la privacidad de DNS en Firefox
13. Schmitt, Pablo; Edmundson, Ana; Feamster, Nick (2019). "DNS ajeno: privacidad práctica para consultas de DNS" (PDF) . Tecnologías que mejoran la privacidad . 2019 (2): 228–244. arXiv : 1806.00276 . doi :10.2478/popets-2019-0028. S2CID  44126163.
14. "DNS ajeno implementado por Cloudflare y Apple". 9 de diciembre de 2020 . Consultado el 27 de julio de 2022 .
15. McManus, Patricio; Madera, Cristóbal; Kinnear, Eric; Pauly, Tommy. "DNS ajeno a HTTPS". Rastreador de datos del IETF . Consultado el 17 de marzo de 2021 .
16. Singanamalla, Sudheesh; Chunhapanya, Suphanat; Vavruša, Marek; Verma, Tanya; Wu, Pedro; Fayed, Marwan; Heimerl, Kurtis; Sullivan, Nick; Madera, Christopher (2020). "DNS ajeno a HTTPS (ODoH): una mejora práctica de la privacidad del DNS". arXiv : 2011.10121 [cs.CR].
17. Goodin, Dan (8 de diciembre de 2020). "Cloudflare, Apple y otros respaldan una nueva forma de hacer que Internet sea más privada". Ars Técnica . Consultado el 14 de marzo de 2021 .
18. "Cloudflare y Apple diseñan un nuevo protocolo de Internet respetuoso con la privacidad". TechCrunch . 8 de diciembre de 2020 . Consultado el 17 de marzo de 2021 .
19. Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - Consultas DNS a través de HTTPS". datatracker.ietf.org . Archivado desde el original el 25 de abril de 2018 . Consultado el 20 de mayo de 2018 .
20. Junio ​​de 2020, Anthony Spadafora 29 (29 de junio de 2020). "Los dispositivos Apple obtendrán DNS cifrado en iOS 14 y macOS 11". TecnologíaRadar . Archivado desde el original el 1 de julio de 2020 . Consultado el 1 de julio de 2020 .{{cite web}}: CS1 maint: numeric names: authors list (link)
21. Cimpanu, Catalín. "Apple agrega soporte para DNS cifrado (DoH y DoT)". ZDNet . Archivado desde el original el 27 de junio de 2020 . Consultado el 2 de julio de 2020 .
22. Gallagher, Sean (19 de noviembre de 2019). "Microsoft dice sí a futuras solicitudes de DNS cifrados en Windows". Ars Técnica . Archivado desde el original el 19 de noviembre de 2019 . Consultado el 20 de noviembre de 2019 .
23. "Anuncio de Windows 10 Insider Preview Build 19628". 13 de mayo de 2020. Archivado desde el original el 18 de mayo de 2020 . Consultado el 13 de mayo de 2020 .
24. "Windows Insiders ahora puede probar DNS a través de HTTPS". 13 de mayo de 2020. Archivado desde el original el 15 de mayo de 2020 . Consultado el 7 de julio de 2020 .
25. Brinkmann, Martin (6 de agosto de 2020). "Windows 10 build 20185 viene con configuraciones de DNS cifradas - gHacks Tech News". Noticias tecnológicas de gHacks . Archivado desde el original el 15 de agosto de 2020 . Consultado el 6 de agosto de 2020 .
26. MandiOhlinger. "Novedades de Windows 10, versión 21H2 para profesionales de TI: novedades de Windows". docs.microsoft.com . Consultado el 9 de febrero de 2022 .
27. "Cómo configurar y utilizar DNS sobre HTTPS (DoH) en Windows 11". Appuals.com . 2021-07-28 . Consultado el 20 de octubre de 2021 .
28. "DNS sobre HTTP/3 en Android". Blog de seguridad en línea de Google .
29. Boldariev, Artem (17 de febrero de 2021). "BIND implementa DoH". Sitio web del ISC . Consorcio de Sistemas de Internet . Consultado el 17 de febrero de 2021 .
30. "dnsdist 1.4.0-alpha2 con soporte DNS sobre HTTPS". Blog de PowerDNS . 2019-04-26 . Consultado el 10 de mayo de 2021 .
31. Wijngaards, Wouter (8 de octubre de 2020). "Lanzamiento de Unbound 1.12.0". Laboratorios NLnet . Consultado el 24 de octubre de 2020 .
32. Dolmans, Ralph (9 de octubre de 2020). "DNS sobre HTTPS en Unbound". El blog de NLnet Labs . Consultado el 24 de octubre de 2020 .
33. Wijngaards, Wouter (19 de diciembre de 2011). "Lanzamiento 1.4.14 sin consolidar". Lista de correo de usuarios independientes . Consultado el 24 de octubre de 2020 .
34. Wijngaards, Wouter. "Soporte DNS sobre SSL". GitHub . Consultado el 24 de octubre de 2020 .
35. "DNS sobre HTTPS (también conocido como DoH)". Archivado desde el original el 27 de mayo de 2020 . Consultado el 23 de mayo de 2020 .
36. "Chrome 83: comienza la implementación de DNS sobre HTTPS (DNS seguro)". 20 de mayo de 2020. Archivado desde el original el 1 de junio de 2020 . Consultado el 20 de julio de 2020 .
37. Catalín Cimpanu. "Se agregó compatibilidad con DNS sobre HTTPS (DoH) a Chrome en Android | ZDNet". ZDNet . Consultado el 3 de febrero de 2021 .
38. "DNS sobre HTTPS (también conocido como DoH)". www.cromo.org . Consultado el 5 de mayo de 2022 .
39. "Cómo habilitar DNS sobre HTTPS (DoH) en Windows 10". Computadora que suena . Consultado el 23 de enero de 2021 .
40. Resolución recursiva confiable
41. Deckelmann, Selena. "Firefox continúa presionando para que DNS sobre HTTPS sea predeterminado para los usuarios de EE. UU.". El blog de Mozilla . Archivado desde el original el 27 de mayo de 2020 . Consultado el 28 de mayo de 2020 .
42. "Registro de cambios de 67". 3 de diciembre de 2019 . Consultado el 23 de agosto de 2020 .
43. "Aquí se explica cómo habilitar DoH en cada navegador, al diablo con los ISP". ZDNet . Archivado desde el original el 9 de junio de 2020 . Consultado el 28 de mayo de 2020 .
44. Cimpanu, Catalín. "DNS sobre HTTPS causa más problemas de los que resuelve, dicen los expertos". ZDNet . Archivado desde el original el 8 de noviembre de 2019 . Consultado el 19 de noviembre de 2019 .
45. Cimpanu, Catalín. "Se detecta la primera cepa de malware que abusa del nuevo protocolo DoH (DNS sobre HTTPS)". ZDNet . Archivado desde el original el 27 de octubre de 2019 . Consultado el 19 de noviembre de 2019 .
46. Goodin, Dan (15 de enero de 2021). "La NSA advierte a las empresas que tengan cuidado con los solucionadores de DNS de terceros". Ars Técnica . Consultado el 17 de marzo de 2021 .
47. "Administración de conexiones DNS cifradas (DNS sobre TLS, DNS sobre HTTPS) con Circle". Centro de soporte circular . Archivado desde el original el 3 de agosto de 2020 . Consultado el 7 de julio de 2020 .
48. Gallagher, Sean (16 de noviembre de 2017). "El nuevo servicio DNS Quad9 bloquea dominios maliciosos para todos". Ars Técnica . Consultado el 14 de noviembre de 2021 . El sistema bloquea dominios asociados con botnets, ataques de phishing y otros hosts de Internet maliciosos.
49. "SiguienteDNS". SiguienteDNS . Consultado el 16 de diciembre de 2023 .
50. Cimpanu, Catalín. "El grupo ISP del Reino Unido nombra a Mozilla 'villano de Internet' por admitir 'DNS sobre HTTPS'". ZDNet . Archivado desde el original el 5 de julio de 2019 . Consultado el 5 de julio de 2019 .
51. "Un grupo de Internet califica a Mozilla como 'villano de Internet' por admitir la función de privacidad de DNS". TechCrunch . 5 de julio de 2019 . Consultado el 19 de julio de 2019 .
52. "Los ISP británicos luchan para hacer que la Web sea MENOS segura". TI PRO . 14 de septiembre de 2019 . Consultado el 14 de septiembre de 2019 .
53. Patrawala, Fatema (11 de julio de 2019). "ISPA nominó a Mozilla en la categoría" Villano de Internet "por el impulso de DNS sobre HTTP, retiró las nominaciones y la categoría después de la reacción de la comunidad". Centro de paquetes . Archivado desde el original el 4 de diciembre de 2019 . Consultado el 14 de septiembre de 2019 .
54. Hern, Alex (24 de septiembre de 2019). "Firefox: 'no hay planes en el Reino Unido' para hacer que la herramienta de navegador cifrada sea la predeterminada". El guardián . ISSN  0261-3077. Archivado desde el original el 28 de septiembre de 2019 . Consultado el 29 de septiembre de 2019 .

enlaces externos

• Proyecto de privacidad de DNS: dnsprivacy.org
• Una introducción en dibujos animados a DNS sobre HTTPS
• Consideraciones de DNS sobre HTTPS (DoH) para redes de operadores] (borrador, vencido el 12 de marzo de 2020)