DNS-over-HTTPS: ventajas e inconvenientes de este protocolo

DNS-over-HTTPS: ventajas e inconvenientes de este protocolo

Rubén Velasco

Los servidores DNS son los responsables de permitirnos traducir las direcciones URL convencionales que nosotros escribimos en nuestro navegador por sus correspondientes direcciones IP de manera que podamos conectarnos directamente con el servidor de la web que queremos visitar. El protocolo DNS es muy antiguo y, aunque a día de hoy sigue funcionando, tiene bastantes carencias en cuanto a seguridad y privacidad, ya que puede ser fácilmente suplantado y, además, deja rastro de todas las webs que visitamos.

El protocolo DNS

Seguro que la mayoría conocemos cómo funciona este protocolo, pero vamos a resumirlo a grandes rasgos.

Cuando visitamos una URL cualquiera, como, por ejemplo, www.redeszone.net, desde nuestro navegador, este envía dicha URL al servidor DNS que tengamos configurado como primario en la configuración de nuestro ordenador. También se puede dar el caso de que la IP que indica «DNS» sea la de nuestro propio router, ya que él se encargará de ello. En caso de que el DNS primario no sepa resolverla, preguntará al resto de servidores de manera recursiva. En caso de que no conteste (esté caído), directamente pasará a utilizar el DNS secundario, aunque en más del 99% de las ocasiones usaremos el primario.

La URL se envía a través de Internet, sin ningún cifrado, a este servidor. Si el DNS tiene registrada la URL y vinculada a una IP, automáticamente la resolverá y devolverá la información al navegador. En caso de que no la conozca, realizará una consulta en el TLD para poder averiguarla y resolverla. Cuando el navegador obtiene la IP desde el DNS, este automáticamente se conecta al servidor para mostrar la página web.

Problemas del protocolo DNS

Todo este proceso se realiza sin ningún tipo de cifrado ni verificación, por lo que cualquiera puede tener acceso a las peticiones que hacemos al DNS, tanto nuestro ISP como el propio DNS o cualquier empresa de Internet. Además, al no haber verificación, es muy fácil suplantar la identidad del DNS de manera que, al hacer una petición a este servidor, un servidor falso nos devuelva otra IP, IP que puede llevar a una web falsa para robar nuestros datos o distribuir malware.

DNS-over-HTTPS solucionaría gran parte de este problema

Con el fin de solucionar estos problemas en 2017 nació un nuevo protocolo llamado «DNS-over-HTTPS«, protocolo que poco a poco se va abriendo hueco entre los usuarios para mejorar la privacidad. Como se puede deducir por el nombre, el funcionamiento de este protocolo es muy básico, y se resume principalmente en enviar las solicitudes DNS a través de HTTPS desde el navegador de manera que estas conexiones tengan la misma seguridad, privacidad y fiabilidad que las webs en HTTPS que visitamos.

Este nuevo protocolo permite enviar las solicitudes DNS de forma similar a como se envían las peticiones a las páginas web, es decir, utilizando solicitudes GET y POST, con todas las ventajas que aportan estos paquetes.

Sin embargo, ¿todo lo que nos aporta este protocolo son ventajas?

Ventajas de DNS-over-HTTPS

Las principales ventajas de este protocolo son la seguridad y privacidad que nos brindan. Gracias al cifrado de extremo a extremo es imposible que usuarios no autorizados puedan interceptar nuestras conexiones DNS y modificarlas para distribuir malware o robar nuestros datos. Además, nadie, ni nuestro ISP ni siquiera la compañía al cargo del DNS, podrán ver qué webs estamos intentando visitar, lo que supone una gran mejora en cuanto a privacidad.

Desventajas de DNS-over-TLS

Mientras que todo Internet está preparado para funcionar con solicitudes DNS normales, el problema es que implementar un nuevo protocolo, como es el caso de DoH, implica cambios a muy bajo nivel, cambios tanto en la arquitectura de las redes como en el software que aún tardarán en llegar.

Además, debemos tener en cuenta que este protocolo aún se encuentra en fase experimental, por lo que aún está muy lejos de ser un estándar, además de poder tener problemas con aplicaciones, dispositivos, sistemas operativos y con infraestructuras antiguas totalmente incompatibles con el cifrado. Tampoco podemos olvidarnos de que el más mínimo fallo de seguridad a la hora de implementar este nuevo protocolo implicará una pérdida total de la seguridad y privacidad que nos debería aportar DoH.

Por último, indicar que no todos los DNS públicos nos van a brindar esta característica. Por ahora, los principales DNS que nos permiten usar DNS-over-TLS son, por un lado, los DNS de Google (8.8.8.8) y, por otro lado, los DNS de Cloudflare (1.1.1.1).

Cómo tener DNS-over-TLS cuando mi PC o smartphone no es compatible

Por ahora, solamente Firefox es compatible con DoH, aunque, como hemos explicado esta semana, Google ya está trabajando en incluir DNS-over-HTTP a Google Chrome, característica que llegará muy pronto a todos los usuarios.

Más allá de los dos navegadores, tan solo podemos confirmar que Android 9 es compatible con DNS-over-HTTPS, ya que los demás sistemas operativos, ni móviles ni de escritorio, cuentan con esta característica.

Si queremos empezar a usar esta característica de forma segura hay varias formas de hacerlo. La primera de ellas es utilizar un servidor VPN seguro y fiable que cifra absolutamente todas las conexiones de manera que, al conectar con el DNS, lo hagamos a través de él. También es posible instalar y configurar en nuestro ordenador un proxy DoH que se encargue de gestionar las peticiones DNS a través de DNS-over-HTTPS.

Por último, si somos usuarios de Android o iOS, también podemos usar la app de Cloudflare que configura un DNS en nuestro smartphone para poder comunicarse con su DNS (1.1.1.1) de forma segura y privada.