DNS sobre HTTPS ( DoH ) es un protocolo para realizar la resolución remota del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS . Un objetivo del método es aumentar la privacidad y seguridad del usuario evitando la interceptación y la manipulación de datos DNS por ataques de intermediario [1] mediante el uso del protocolo HTTPS para cifrar los datos entre el cliente DoH y el DoH. Resolución de DNS . En marzo de 2018, Google y la Fundación Mozilla habían comenzado a probar versiones de DNS sobre HTTPS. [2] [3] En febrero de 2020, Firefoxcambió a DNS a través de HTTPS de forma predeterminada para los usuarios de los Estados Unidos. [4]
Protocolo de comunicación | |
Propósito | encapsular DNS en HTTPS para mayor privacidad y seguridad |
---|---|
Introducido | Octubre de 2018 |
Capa OSI | Capa de aplicación |
RFC (s) | RFC 8484 |
Una alternativa a DoH es el protocolo DNS sobre TLS (DoT), un estándar similar para cifrar consultas de DNS , que se diferencia solo en los métodos utilizados para el cifrado y la entrega. Sobre la base de la privacidad y la seguridad, si existe o no un protocolo superior entre los dos es un tema de debate controvertido, mientras que otros argumentan que los méritos de cualquiera de ellos dependen del caso de uso específico. [5]
Detalles técnicos
DoH es un estándar propuesto, publicado como RFC 8484 (octubre de 2018) por el IETF . Utiliza HTTP / 2 y HTTPS , y admite los datos de respuesta DNS en formato de cable , como se devuelven en las respuestas UDP existentes, en una carga útil HTTPS con el mensaje application / dns-message de tipo MIME . [1] [6] Si se usa HTTP / 2, el servidor también puede usar HTTP / 2 server push para enviar valores que anticipa que el cliente puede encontrar útiles de antemano. [7]
DoH es un trabajo en progreso. A pesar de que el IETF ha publicado el RFC 8484 como estándar propuesto y las empresas están experimentando con él, [8] [9] el IETF aún tiene que determinar la mejor manera de implementarlo. El IETF está evaluando una serie de enfoques sobre la mejor manera de implementar DoH y está buscando establecer un grupo de trabajo, Adaptive DNS Discovery (ADD) , para hacer este trabajo y desarrollar un consenso. Además, se han formado otros grupos de trabajo de la industria, como la Iniciativa de implementación de DNS cifrado , para "definir y adoptar tecnologías de cifrado de DNS de manera que se garantice el alto rendimiento, la resistencia, la estabilidad y la seguridad continuos del espacio de nombres crítico y los servicios de resolución de nombres de Internet. , además de garantizar la funcionalidad continua e intacta de las protecciones de seguridad, los controles parentales y otros servicios que dependen del DNS ". [10]
Dado que DoH no se puede usar en algunas circunstancias, como los portales cautivos , los navegadores web como Firefox se pueden configurar para recurrir a DNS inseguros. [11]
DNS a través de HTTPS ajeno
Oblivious DoH es un borrador de Internet que propone una extensión de protocolo para garantizar que ningún servidor de DoH conozca tanto la dirección IP del cliente como el contenido de sus mensajes. Todas las solicitudes se pasan a través de un proxy, ocultando las direcciones de los clientes al resolutor y se cifran para ocultar su contenido al proxy. [12] [13] [14] [15]
Escenarios de implementación
DoH se utiliza para la resolución de DNS recursiva por los resolutores de DNS . Los solucionadores ( clientes DoH ) deben tener acceso a un servidor DoH que aloje un punto final de consulta. [7]
Son comunes tres escenarios de uso:
- Uso de una implementación de DoH dentro de una aplicación: algunos navegadores tienen una implementación de DoH incorporada y, por lo tanto, pueden realizar consultas omitiendo la funcionalidad DNS del sistema operativo. Un inconveniente es que una aplicación puede no informar al usuario si se salta la consulta de DoH, ya sea por una configuración incorrecta o por falta de soporte para DoH.
- Instalación de un proxy DoH en el servidor de nombres en la red local: en este escenario, los sistemas cliente continúan usando DNS tradicional (puerto 53 u 853) para consultar el servidor de nombres en la red local, que luego recopilará las respuestas necesarias a través de DoH al llegar Servidores DoH en Internet. Este método es transparente para el usuario final.
- Instalación de un proxy DoH en un sistema local: en este escenario, los sistemas operativos están configurados para consultar un proxy DoH que se ejecuta localmente. A diferencia del método mencionado anteriormente, el proxy debe instalarse en cada sistema que desee utilizar DoH, lo que puede requerir mucho esfuerzo en entornos más grandes.
Soporte de software
Sistemas operativos
manzana
IOS 14 y macOS 11 de Apple lanzados a finales de 2020 son compatibles con los protocolos DoH y DoT . [16] [17]
Ventanas
En noviembre de 2019, Microsoft anunció planes para implementar soporte para protocolos DNS cifrados en Microsoft Windows , comenzando con DoH. [18] En mayo de 2020, Microsoft lanzó Windows 10 Insider Preview Build 19628 que incluía soporte inicial para DoH [19] junto con instrucciones sobre cómo habilitarlo a través del registro y la interfaz de línea de comandos . [20] Windows 10 Insider Preview Build 20185 agregó una interfaz gráfica de usuario para especificar un solucionador de DoH. [21]
Solucionadores de DNS recursivos
UNIR
BIND 9 , un solucionador de DNS de código abierto de Internet Systems Consortium, agregó soporte nativo para DoH en la versión 9.17.10. [22]
PowerDNS
DNSdist, un equilibrador de carga / proxy DNS de código abierto de PowerDNS , agregó soporte nativo para DoH en la versión 1.4.0 en abril de 2019. [23]
Sin consolidar
Unbound , un solucionador de DNS de código abierto creado por NLnet Labs , ha admitido DoH desde la versión 1.12.0, lanzada en octubre de 2020. [24] [25] Primero implementó el soporte para el cifrado de DNS utilizando el protocolo DoT alternativo mucho antes, comenzando con la versión 1.4.14, lanzado en diciembre de 2011. [26] [27] Unbound se ejecuta en la mayoría de los sistemas operativos , incluidas las distribuciones de Linux , MacOS y Windows .
navegadores web
Google Chrome
DNS sobre HTTPS está disponible en Google Chrome 83 para Windows y macOS, configurable a través de la página de configuración. Cuando está habilitado y el sistema operativo está configurado con un servidor DNS compatible, Chrome actualizará las consultas DNS para que estén encriptadas. [28] También es posible especificar manualmente un servidor DoH preestablecido o personalizado para usar dentro de la interfaz de usuario. [29]
En septiembre de 2020, Google Chrome para Android comenzó la implementación por etapas de DNS a través de HTTPS. Los usuarios pueden configurar un solucionador personalizado o deshabilitar DNS sobre HTTPS en la configuración. [30]
Microsoft Edge
Microsoft Edge admite DNS sobre HTTPS, configurable a través de la página de configuración. Cuando está habilitado y el sistema operativo está configurado con un servidor DNS compatible, Edge actualizará las consultas DNS para que estén encriptadas. También es posible especificar manualmente un servidor DoH preestablecido o personalizado para usar dentro de la interfaz de usuario. [31]
Mozilla Firefox
En 2018, Mozilla se asoció con Cloudflare para ofrecer DoH para los usuarios de Firefox que lo habilita (conocido como Trusted Recursive Resolver). [32] Firefox 73 agregó otro solucionador en las opciones, NextDNS. [33] El 25 de febrero de 2020, Firefox comenzó a habilitar DNS sobre HTTPS para todos los usuarios de EE. UU., Confiando en el sistema de resolución de Cloudflare de forma predeterminada. [34] El 3 de junio de 2020, Firefox 77.0.1 deshabilitó NextDNS de forma predeterminada porque la alta carga en los servidores NextDNS causada por los usuarios de Firefox estaba "efectivamente haciendo DDoS en NextDNS". [35] En junio de 2020, Mozilla anunció planes para agregar Comcast a la lista de solucionadores de DoH confiables. [36]
Ópera
Opera es compatible con DoH, configurable a través de la página de configuración del navegador. [37] De forma predeterminada, las consultas de DNS se envían a los servidores de Cloudflare. [38]
Servidores DNS públicos
Algunas implementaciones de servidores DNS sobre HTTPS ya están disponibles de forma gratuita por parte de algunos proveedores de DNS públicos. [39]
Consideraciones de implementación
La comunidad de Internet todavía está resolviendo muchos problemas sobre cómo implementar correctamente DoH, incluidos, entre otros:
- Impedir que terceros analicen el tráfico DNS por motivos de seguridad
- Interrupción de los filtros de contenido y los controles parentales a nivel de DNS
- Dividir DNS en redes empresariales [ cita requerida ]
- Localización de CDN [ cita requerida ]
Análisis del tráfico de DNS por motivos de seguridad
DoH puede impedir el análisis y la supervisión del tráfico de DNS con fines de ciberseguridad; El gusano DDoS de 2019 Godlua usó DoH para enmascarar las conexiones a su servidor de comando y control. [40] [41]
En enero de 2021, la NSA advirtió a las empresas contra el uso de solucionadores DoH externos porque impiden el filtrado, la inspección y la auditoría de consultas de DNS. En cambio, la NSA recomienda configurar resolutores de DoH propiedad de la empresa y bloquear todos los resolutores de DoH externos conocidos. [42]
Interrupción de filtros de contenido
DoH se ha utilizado para eludir los controles parentales que operan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas de DNS para comparar dominios con una lista de bloqueo, bloquea DoH de forma predeterminada debido a esto. [43] Sin embargo, hay proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte para DoH mediante la operación de servidores DoH. [44] [45] [46] [47]
La Asociación de Proveedores de Servicios de Internet (ISPA), una asociación comercial que representa a los ISP británicos, y el organismo también británico Internet Watch Foundation han criticado a Mozilla , desarrollador del navegador web Firefox , por admitir DoH, ya que creen que socavará los programas de bloqueo web en el país, incluido el filtrado predeterminado del ISP de contenido para adultos y el filtrado obligatorio por orden judicial de las violaciones de derechos de autor. La ISPA nominó a Mozilla para su premio "Villano de Internet" para 2019 (junto con la Directiva de la UE sobre derechos de autor en el mercado único digital y Donald Trump ), "por su enfoque propuesto para introducir DNS sobre HTTPS de tal manera que evite Obligaciones de filtrado y controles parentales del Reino Unido, socavando los estándares de seguridad de Internet en el Reino Unido ". Mozilla respondió a las acusaciones de ISPA, argumentando que no evitaría el filtrado, y que estaban "sorprendidos y decepcionados de que una asociación industrial de ISP decidiera tergiversar una mejora de la infraestructura de Internet de hace décadas". [48] [49] En respuesta a las críticas, la ISPA se disculpó y retiró la nominación. [50] [51] Mozilla declaró posteriormente que DoH no se utilizará de forma predeterminada en el mercado británico hasta que se debata más con las partes interesadas pertinentes, pero afirmó que "ofrecería beneficios de seguridad reales a los ciudadanos del Reino Unido". [52]
Implementación inconsistente de DoH
Algunas implementaciones de DoH no están encriptadas de un extremo a otro , sino que solo están encriptadas de salto a salto porque DoH se implementa solo en un subconjunto de conexiones. Existen los siguientes tipos de conexiones:
- desde el dispositivo cliente (computadora o tableta) al reenviador de DNS local (enrutador doméstico o de oficina)
- desde el reenviador de DNS a la resolución de DNS recursiva (normalmente en el ISP)
- de resolución de DNS recursiva a resolución de DNS autorizada (generalmente ubicada en un centro de datos)
Todas las conexiones de la cadena deben ser compatibles con DoH para obtener la máxima seguridad.
Ver también
- DNS sobre TLS
- DNSCrypt
- DNSCurve
- Subred del cliente EDNS
Referencias
- ↑ a b Chirgwin, Richard (14 de diciembre de 2017). "IETF protege la privacidad y ayuda a la neutralidad de la red con DNS sobre HTTPS" . El registro . Archivado desde el original el 14 de diciembre de 2017 . Consultado el 21 de marzo de 2018 .
- ^ "DNS sobre HTTPS | DNS público | Desarrolladores de Google" . Desarrolladores de Google . Archivado desde el original el 20 de marzo de 2018 . Consultado el 21 de marzo de 2018 .
- ^ Cimpanu, Catalin (20 de marzo de 2018). "Mozilla está probando" DNS sobre HTTPS "Soporte en Firefox" . BleepingComputer . Archivado desde el original el 20 de marzo de 2018 . Consultado el 21 de marzo de 2018 .
- ^ " " Un cambio tecnológico muy esperado hacia la privacidad en línea ": Firefox cifra los nombres de dominio. Google lo seguirá" . Novedades de la publicación | Noticias de publicación digital . 2020-02-26. Archivado desde el original el 26 de febrero de 2020 . Consultado el 26 de febrero de 2020 .
- ^ Francisco, Thomas Claburn en San. "Google implementa el soporte de DNS a través de HTTPS pro-privacidad en Chrome 83 ... con un práctico interruptor automático para TI corporativa" . www.theregister.com . Consultado el 3 de febrero de 2021 .
- ^ Hoffman, P; McManus, P. "RFC 8484 - Consultas DNS sobre HTTPS" . datatracker.ietf.org . Archivado desde el original el 12 de diciembre de 2018 . Consultado el 20 de mayo de 2018 .
- ^ a b Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - Consultas DNS sobre HTTPS" . datatracker.ietf.org . Archivado desde el original el 25 de abril de 2018 . Consultado el 20 de mayo de 2018 .
- ^ "Experimentando con la actualización de DNS sobre HTTPS del mismo proveedor" . Blog de Chromium . Archivado desde el original el 12 de septiembre de 2019 . Consultado el 13 de septiembre de 2019 .
- ^ Deckelmann, Selena. "¿Qué sigue para hacer que el DNS cifrado sobre HTTPS sea el predeterminado?" . Versiones futuras . Archivado desde el original el 14 de septiembre de 2019 . Consultado el 13 de septiembre de 2019 .
- ^ "Acerca de" . Iniciativa de implementación de DNS cifrado . Archivado desde el original el 4 de diciembre de 2019 . Consultado el 13 de septiembre de 2019 .
- ^ Mejora de la privacidad de DNS en Firefox
- ^ McManus, Patrick; Wood, Christopher; Kinnear, Eric; Pauly, Tommy. "DNS ajeno a HTTPS" . tools.ietf.org . Consultado el 17 de marzo de 2021 .
- ^ Singanamalla, Sudheesh; Chunhapanya, Suphanat; Vavruša, Marek; Verma, Tanya; Wu, Peter; Fayed, Marwan; Heimerl, Kurtis; Sullivan, Nick; Madera, Christopher (2020). "DNS ajeno a HTTPS (ODoH): una mejora práctica de la privacidad de DNS". arXiv : 2011.10121 [ cs.CR ].
- ^ Goodin, Dan (8 de diciembre de 2020). "Cloudflare, Apple y otros respaldan una nueva forma de hacer que Internet sea más privado" . Ars Technica . Consultado el 14 de marzo de 2021 .
- ^ "Cloudflare y Apple diseñan un nuevo protocolo de Internet amigable con la privacidad" . TechCrunch . Consultado el 17 de marzo de 2021 .
- ^ Junio de 2020, Anthony Spadafora 29. "Los dispositivos Apple obtendrán DNS cifrados en iOS 14 y macOS 11" . TechRadar . Archivado desde el original el 1 de julio de 2020 . Consultado el 1 de julio de 2020 .
- ^ Cimpanu, Catalin. "Apple agrega soporte para DNS encriptados (DoH y DoT)" . ZDNet . Archivado desde el original el 27 de junio de 2020 . Consultado el 2 de julio de 2020 .
- ^ Gallagher, Sean (19 de noviembre de 2019). "Microsoft dice que sí a futuras solicitudes de DNS cifradas en Windows" . Ars Technica . Archivado desde el original el 19 de noviembre de 2019 . Consultado el 20 de noviembre de 2019 .
- ^ "Anuncio de Windows 10 Insider Preview Build 19628" . 13 de mayo de 2020. Archivado desde el original el 18 de mayo de 2020 . Consultado el 13 de mayo de 2020 .
- ^ "Windows Insiders ahora puede probar DNS sobre HTTPS" . Archivado desde el original el 15 de mayo de 2020 . Consultado el 7 de julio de 2020 .
- ^ Brinkmann, Martin (6 de agosto de 2020). "Windows 10 build 20185 viene con configuraciones de DNS encriptadas - gHacks Tech News" . gHacks Tech News . Consultado el 6 de agosto de 2020 .
- ^ Boldariev, Artem. "BIND Implementa DoH" . Sitio web de ISC . Consorcio de Sistemas de Internet . Consultado el 17 de febrero de 2021 .
- ^ "dnsdist 1.4.0-alpha2 con soporte DNS sobre HTTPS" . Blog de PowerDNS . 2019-04-26 . Consultado el 10 de mayo de 2021 .
- ^ Wijngaards, Wouter. "Liberado 1.12.0 sin consolidar" . NLnet Labs . Consultado el 24 de octubre de 2020 .
- ^ Dolmans, Ralph. "DNS sobre HTTPS en Unbound" . El blog de NLnet Labs . Consultado el 24 de octubre de 2020 .
- ^ Wijngaards, Wouter. "Comunicado 1.4.14 sin consolidar" . Lista de correo de usuarios independientes . Consultado el 24 de octubre de 2020 .
- ^ Wijngaards, Wouter. "dns sobre soporte ssl" . GitHub . Consultado el 24 de octubre de 2020 .
- ^ "DNS sobre HTTPS (también conocido como DoH)" . Archivado desde el original el 27 de mayo de 2020 . Consultado el 23 de mayo de 2020 .
- ^ "Chrome 83: comienza la implementación de DNS sobre HTTPS (DNS seguro)" . Archivado desde el original el 1 de junio de 2020 . Consultado el 20 de julio de 2020 .
- ^ Catalin Cimpanu. "Se agregó compatibilidad con DNS sobre HTTPS (DoH) a Chrome en Android | ZDNet" . ZDNet . Consultado el 3 de febrero de 2021 .
- ^ "Cómo habilitar DNS sobre HTTPS (DoH) en Windows 10" . BleepingComputer . Consultado el 23 de enero de 2021 .
- ^ Resolver recursivo de confianza
- ^ Mozilla. "Firefox anuncia un nuevo socio en la prestación de servicios DNS privados y seguros a los usuarios" . El blog de Mozilla . Archivado desde el original el 25 de febrero de 2020 . Consultado el 25 de febrero de 2020 .
- ^ Deckelmann, Selena. "Firefox continúa presionando para llevar DNS a través de HTTPS de forma predeterminada para los usuarios de EE . UU . " . El blog de Mozilla . Archivado desde el original el 27 de mayo de 2020 . Consultado el 28 de mayo de 2020 .
- ^ "Firefox 77.0.1 se lanzará hoy para solucionar un problema: gHacks Tech News" . www.ghacks.net . Archivado desde el original el 9 de junio de 2020 . Consultado el 9 de junio de 2020 .
- ^ Brodkin, Jon (25 de junio de 2020). "Comcast, Mozilla firma un acuerdo de privacidad para cifrar las búsquedas de DNS en Firefox" . Ars Technica . Archivado desde el original el 26 de junio de 2020 . Consultado el 26 de junio de 2020 .
- ^ "Registro de cambios para 67" . Consultado el 23 de agosto de 2020 .
- ^ "Aquí se explica cómo habilitar DoH en cada navegador, al diablo con los ISP" . Archivado desde el original el 9 de junio de 2020 . Consultado el 28 de mayo de 2020 .
- ^ "Implementaciones DNS sobre HTTPS" . 2018-04-27. Archivado desde el original el 2 de abril de 2018 . Consultado el 27 de abril de 2018 .
- ^ Cimpanu, Catalin. "DNS-over-HTTPS causa más problemas de los que resuelve, dicen los expertos" . ZDNet . Archivado desde el original el 8 de noviembre de 2019 . Consultado el 19 de noviembre de 2019 .
- ^ Cimpanu, Catalin. "Primera cepa de malware detectada abusando del nuevo protocolo DoH (DNS sobre HTTPS)" . ZDNet . Archivado desde el original el 27 de octubre de 2019 . Consultado el 19 de noviembre de 2019 .
- ^ Goodin, Dan (15 de enero de 2021). "La NSA advierte a las empresas que tengan cuidado con los solucionadores de DNS de terceros" . Ars Technica . Consultado el 17 de marzo de 2021 .
- ^ "Gestión de conexiones DNS cifradas (DNS sobre TLS, DNS sobre HTTPS) con Circle" . Centro de soporte de Circle . Consultado el 7 de julio de 2020 .
- ^ Inc, CleanBrowsing. "Control parental con DNS sobre soporte TLS" . CleanBrowsing . Consultado el 20 de agosto de 2020 .
- ^ Inc, CleanBrowsing. "Control parental con soporte DNS sobre HTTPS (DoH)" . CleanBrowsing . Consultado el 20 de agosto de 2020 .
- ^ blockerDNS. "blockerDNS - Productos" . blockerdns.com . Consultado el 20 de agosto de 2020 .
- ^ "Proteja su privacidad con DNS sobre TLS en SafeDNS" . SafeDNS . Consultado el 20 de agosto de 2020 .
- ^ Cimpanu, Catalin. "El grupo de ISP del Reino Unido nombra a Mozilla 'Internet Villain' por admitir 'DNS-over-HTTPS ' " . ZDNet . Archivado desde el original el 5 de julio de 2019 . Consultado el 5 de julio de 2019 .
- ^ "El grupo de Internet marca a Mozilla como 'villano de Internet' por admitir la función de privacidad de DNS" . TechCrunch . Consultado el 19 de julio de 2019 .
- ^ "Los ISP británicos luchan para que la web sea MENOS segura" . ES PRO . Consultado el 14 de septiembre de 2019 .
- ^ Patrawala, Fatema (11 de julio de 2019). "ISPA nominó a Mozilla en la categoría de" Villano de Internet "por el empuje de DNS sobre HTTP, retiró las nominaciones y la categoría después de la reacción de la comunidad" . Packt Hub . Archivado desde el original el 4 de diciembre de 2019 . Consultado el 14 de septiembre de 2019 .
- ^ Hern, Alex (24 de septiembre de 2019). "Firefox: 'no hay planes en el Reino Unido' para convertir la herramienta de navegador encriptada en su valor predeterminado" . The Guardian . ISSN 0261-3077 . Archivado desde el original el 28 de septiembre de 2019 . Consultado el 29 de septiembre de 2019 .
enlaces externos
- Proyecto de privacidad de DNS: dnsprivacy.org
- Implementaciones de DNS sobre HTTPS
- Una introducción de dibujos animados a DNS a través de HTTPS
- Consideraciones de DNS sobre HTTPS (DoH) para redes de operadores (borrador, venció el 12 de marzo de 2020)