Aunque los DNS de Google ya soporten DNS-over-TLS, prácticamente ningún usuario puede utilizarlo
La semana pasada os contábamos que Google estaba implementando DNS-over-TLS en los DNS 8.8.8.8 y 8.8.4.4, un nuevo protocolo de seguridad en sus DNS públicos que nos permite comunicarnos con el servidor de manera mucho más segura y privada gracias al cifrado de extremo a extremo que ni terceros usuarios ni el propio Google pueda interceptar, modificar o simplemente monitorizar estas solicitudes. DNS-over-TLS en estos servidores es, sin duda, una gran medida de seguridad y privacidad, aunque, por desgracia, prácticamente nadie puede disfrutar de ella en estos momentos.
La implementación de TLS-over-DNS en los servidores de Google viene acompañada de las reglas RFC 7766 destinadas a evitar una la sobrecarga de los servidores y, además, es compatible con TLS 1.3, TCP Fast Open (TFO) para mejorar la velocidad de las peticiones y cuenta con diferentes funciones que permiten realizar varias resoluciones en una única petición.
El principal problema de esta nueva medida de seguridad es que, en estos momentos, prácticamente ningún software y ningún sistema operativo es compatible con ella. Debido a las especificaciones de este protocolo, ni Windows ni macOS es compatible con él, igual que iOS tampoco y ninguna versión de Android anterior a la 9. A día de hoy, solo podemos activar DNS-over-TLS en Android 9 y en alguna distribución muy concreta y poco conocida de Linux, nada más.
Seguramente en las próximas actualizaciones de Windows, macOS y iOS llegue el soporte para esta característica de forma nativa para poder usar el cifrado de los DNS en cualquier sistema operativo moderno, sin embargo, lo que es a día de hoy, de forma nativa no podremos disfrutar de esta medida de seguridad, aunque sí podremos hacerlo con software intermedio.
Cómo podemos proteger nuestras conexiones DNS en Windows y otros sistemas operativos
Aunque el protocolo DNS-over-TLS, y otros protocolos de seguridad y privacidad similares, no están soportados aún por los sistemas operativos, existen aplicaciones que nos ayudan a poder proteger estas peticiones. Una de las aplicaciones más conocidas para este fin es Simple DNSCrypt. Esta herramienta nos permite cifrar todo el tráfico DNS desde Windows de manera que podamos conectarnos a Internet de forma mucho más segura y privada.
Otra herramienta similar para cifrar y proteger nuestro tráfico es dnscrypt-proxy. Esta herramienta gratuita es compatible con los protocolos de seguridad DNS-over-HTTPS (DoH) con TLS 1.3 y DNSCrypt, de manera que cualquier usuario pueda hacer uso de estos protocolos y mejorar su seguridad y privacidad fácilmente en sus sistemas operativos, aunque estos no sean compatibles de base con ellos. En otro artículo hablamos de elegir el mejor DNS con Namebench.
¿Si uso los DNS de Cloudflare se aplica el cifrado automáticamente?
Si nuestro sistema operativo no es compatible con el protocolo DoT, por mucho que cambiemos el DNS no vamos a poder disfrutar de las medidas de seguridad que nos brindan estos servidores. Sin embargo, a diferencia del servidor de Google, Cloudflare utiliza un servidor intermedio que nos permite usar DNS-over-TLS en nuestros ordenadores aunque este no esté soportado directamente.
No es la forma óptima de hacerlo, pero al menos es un paso en la dirección correcta de cara al futuro.
¿Qué opinas de DNS-over-TLS y su limitada implementación?