DNS sobre TLS ( DoT ) es un protocolo de seguridad de red para cifrar y envolver consultas y respuestas del Sistema de nombres de dominio (DNS) a través del protocolo Transport Layer Security (TLS). El objetivo del método es aumentar la privacidad y la seguridad del usuario al evitar las escuchas y la manipulación de los datos del DNS a través de ataques de intermediarios .
Estado | Norma propuesta |
---|---|
Ultima versión | RFC 7858 , RFC 8310 mayo de 2016 y marzo de 2018 |
Organización | IETF |
Autores |
|
Abreviatura | Punto |
A partir de 2020 [actualizar], Cloudflare , Quad9 , Google , Cuadrante Seguridad de la Información, CleanBrowsing , LibreOps, DNSlify [1] Telsy , [2] AdGuard y Digitalcourage están proporcionando resolución de DNS públicos de servicios a través de DNS a través de TLS. [3] [4] [5] [6] [7] [8] Los usuarios de BIND también pueden proporcionar DNS a través de TLS mediante el proxy a través de stunnel . [9] Unbound ha admitido DNS sobre TLS desde el 22 de enero de 2018. [10] [11] Unwind ha admitido DoT desde el 29 de enero de 2019. [12] [13] Con el soporte de Android Pie para DNS sobre TLS, algunos bloqueadores de anuncios ahora admiten el uso de el protocolo cifrado como una forma relativamente fácil de acceder a sus servicios en comparación con cualquiera de los diversos métodos alternativos que se utilizan normalmente, como las VPN y los servidores proxy. [14] [15] [16]
Implementaciones
Muchos servidores públicos recursivos admiten DoT, pero a menudo se requiere que los sistemas cliente se inscriban. [ Cita requerida ]
Los clientes de Android que ejecutan Android 9 (Pie) o versiones más recientes admiten DNS sobre TLS y, de forma predeterminada, se actualizarán si la infraestructura de red, por ejemplo , el ISP , lo admite. [17] [18]
Los usuarios de Linux y Windows pueden usar DNS sobre TLS como cliente a través del demonio stubby de NLnet Labs o Knot Resolver. [19] Alternativamente, pueden instalar getdns-utils [20] para usar DoT directamente con la herramienta getdns_query. La no unida resolución de DNS por NLnet Labs también es compatible con DNS a través de TLS. [21]
El iOS 14 de Apple introdujo soporte a nivel de sistema operativo para DNS sobre TLS (y DNS sobre HTTPS). iOS no permite la configuración manual de servidores DoT y requiere el uso de una aplicación de terceros para realizar cambios de configuración. [22]
systemd-resuelto es una implementación solo de Linux que se puede configurar para usar DNS sobre TLS, editando /etc/systemd/resolved.conf
y habilitando la configuración DNSOverTLS
. [23] [24] La mayoría de las principales distribuciones de Linux tienen systemd instalado de forma predeterminada. [25] [ referencia circular ]
personalDNSfilter [26] es un filtro DNS de código abierto compatible con DoT y DNS sobre HTTPS (DoH) para dispositivos habilitados para Java, incluido Android.
Nebulo [27] es una aplicación de cambio de DNS de código abierto para Android que admite DoT y DoH.
Historia
En abril de 2018, Google anunció que Android Pie incluirá soporte para DNS sobre TLS, [28] permitiendo a los usuarios configurar un servidor DNS en todo el teléfono tanto en Wi-Fi como en conexiones móviles, una opción que históricamente solo era posible en dispositivos rooteados . DNSDist, de PowerDNS , también anunció soporte para DNS sobre TLS en la versión 1.3.0. [29]
Críticas y consideraciones de implementación
DoT puede impedir el análisis y la supervisión del tráfico de DNS con fines de ciberseguridad. DoT se ha utilizado para eludir los controles parentales que operan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas de DNS para comparar dominios con una lista de bloqueo, bloquea DoT de forma predeterminada debido a esto. [30] Sin embargo, hay proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte para DoT y DoH. [31] [32] [33] [34] En ese escenario, las consultas de DNS se comparan con las listas de bloqueo una vez que el proveedor las recibe en lugar de antes de salir del enrutador del usuario.
El cifrado por sí solo no protege la privacidad. Solo protege contra observadores de terceros. No garantiza lo que hacen los puntos finales con los datos (luego descifrados).
Los clientes de DoT no necesariamente consultan directamente ningún servidor de nombres autorizado . El cliente puede confiar en el servidor DoT utilizando consultas tradicionales (puerto 53 u 853) para llegar finalmente a los servidores autorizados. Por lo tanto, DoT no califica como un protocolo encriptado de extremo a extremo , solo encriptado salto a salto y solo si el DNS sobre TLS se usa de manera consistente.
Ver también
- DNS sobre HTTPS
- DNSCurve
- DNSCrypt
- Servidor de nombres público recursivo
Referencias
- ^ "Resolución de DNS pública | DNSlify - DNSlify | Anycast DNS para todos" . www.dnslify.com . Consultado el 26 de mayo de 2020 .
- ^ "Telsy TRT" . Consultado el 26 de mayo de 2020 .
- ^ "Cómo mantener la nariz de su ISP fuera del historial de su navegador con DNS cifrado" . Ars Technica . Consultado el 8 de abril de 2018 .
- ^ "DNS sobre TLS - Resolver Cloudflare" . developers.cloudflare.com . Consultado el 8 de abril de 2018 .
- ^ "El DNS público de Google ahora es compatible con DNS sobre TLS" . Blog de seguridad en línea de Google . Consultado el 10 de enero de 2019 .
- ^ "Quad9, un solucionador de DNS público - con seguridad" . Laboratorios RIPE . Consultado el 8 de abril de 2018 .
- ^ "Solución de problemas de DNS sobre TLS" .[ fuente generada por el usuario ]
- ^ "LibreDNS" . LibreDNS . Consultado el 20 de octubre de 2019 .
- ^ "Enlace - DNS sobre TLS" .
- ^ "Registro de cambios de la versión 1.7.3 independiente" .
- ^ Aleksandersen, Daniel. "DNS realmente seguro sobre TLS en Unbound" . Ctrl blog . Consultado el 7 de agosto de 2018 .
- ^ "Archivos de lista de correo openbsd-cvs" .
- ^ "Archivos de lista de correo openbsd-cvs" .
- ^ "blockerDNS: bloquee anuncios y rastreadores en línea para que pueda navegar por la web de forma privada en su teléfono Android sin instalar una aplicación". . blockerdns.com . Consultado el 14 de agosto de 2019 .
- ^ "El lanzamiento oficial de AdGuard DNS: un nuevo enfoque único para el DNS orientado a la privacidad" . Blog de AdGuard . Consultado el 14 de agosto de 2019 .
- ^ "Blahdns - soporte de servicio Dns DoH, DoT, DNSCrypt" . blahdns.com . Consultado el 14 de agosto de 2019 .
- ^ "Soporte de DNS sobre TLS en Android P Developer Preview" . Blog de desarrolladores de Android . Consultado el 7 de diciembre de 2019 .
- ^ 23 de agosto, Jack Wallen en Seguridad en; 2018; Pst, 10:46 am. "Cómo habilitar DNS sobre TLS en Android Pie" . TechRepublic . Consultado el 17 de marzo de 2021 .CS1 maint: nombres numéricos: lista de autores ( enlace )
- ^ "Resolver nudos" .
- ^ Paquete: getdns-utils , recuperado el 4 de abril de 2019
- ^ "Unbound - Acerca de" . NLnet Labs . Consultado el 26 de mayo de 2020 .
- ^ Cimpanu, Catalin. "Apple agrega soporte para DNS encriptados (DoH y DoT)" . ZDNet . Consultado el 3 de octubre de 2020 .
- ^ "página de manual resuelto.conf" . Consultado el 16 de diciembre de 2019 .
- ^ "Fedora Magazine: Use DNS over TLS" . Consultado el 4 de septiembre de 2020 .
- ^ "Adopción de Systemd" . Consultado el 16 de diciembre de 2019 .
- ^ "personalDNSfilter - un filtro dns personal de código abierto para detener anuncios y más" . zenz-solutions.de . Consultado el 26 de mayo de 2020 .
- ^ "Nebulo - Cambiador de DNS para DNS sobre HTTPS / TLS - Aplicaciones en Google Play" . play.google.com . Consultado el 26 de mayo de 2020 .
- ^ "Soporte de DNS sobre TLS en Android P Developer Preview" . Blog de seguridad de Google . 17 de abril de 2018.
- ^ "DNS sobre TLS" . dnsdist.org . Consultado el 25 de abril de 2018 .
- ^ "Gestión de conexiones DNS cifradas (DNS sobre TLS, DNS sobre HTTPS) con Circle" . Centro de soporte de Circle . Consultado el 7 de julio de 2020 .
- ^ Inc, CleanBrowsing. "Control parental con DNS sobre soporte TLS" . CleanBrowsing . Consultado el 20 de agosto de 2020 .
- ^ Inc, CleanBrowsing. "Control parental con soporte DNS sobre HTTPS (DoH)" . CleanBrowsing . Consultado el 20 de agosto de 2020 .
- ^ blockerDNS. "blockerDNS - Productos" . blockerdns.com . Consultado el 20 de agosto de 2020 .
- ^ "Proteja su privacidad con DNS sobre TLS en SafeDNS" . SafeDNS . Consultado el 20 de agosto de 2020 .
enlaces externos
- RFC 7858 - Especificación para DNS sobre seguridad de la capa de transporte (TLS)
- RFC 8310 - Perfiles de uso para DNS sobre TLS y DNS sobre DTLS
- Proyecto de privacidad de DNS: dnsprivacy.org