En el año 2017, Mozilla empezó a trabajar en el protocolo DNS over HTTPS, un nuevo protocolo para que todas las consultas DNS estuvieran cifradas, con el objetivo de preservar nuestra privacidad y seguridad en Internet. Desde hace unos meses, esto ya es una realidad en las últimas versiones de Firefox, y es que cualquiera podría activar este protocolo bajo demanda. Próximamente Firefox planea habilitarlo por defecto siempre, y usará los DNS de Cloudflare (1.1.1.1) para ello. ¿Es esta una buena decisión? ¿No sería mejor darle al usuario la oportunidad de activarlo al usuario bajo demanda?
Según Mozilla, más de 70.000 usuarios han habilitado el protocolo DoH en sus navegadores, y han demostrado que el servicio es confiable y el rendimiento es bueno, por lo que la mayoría de todos los usuarios de Mozilla Firefox, se están beneficiando de los puntos fuertes de este protocolo (privacidad y seguridad en las consultas DNS). Mozilla ha decidido, que el siguiente paso que deben dar, es habilitar DNS over HTTPS por defecto en el navegador, con el objetivo de proporcionar a los usuarios una mayor privacidad a la hora de navegar por Internet.
¿Qué pasará si los usuarios utilizan servidores DNS personalizados con control parental como OpenDNS? ¿Qué ocurre si los usuarios tienen localmente un servidor DNS como en los hogares que utilizan pi-hole o en las empresas? Mozilla Firefox nos da todas las claves.
Esta es la política que seguirá Mozilla cuando implemente DoH por defecto en Firefox
Esta decisión de Firefox podría ser controvertida, ya que usarán por defecto los DNS de Cloudflare, si queremos utilizar otros servidores DNS los tendremos que definir nosotros manualmente en la configuración de Firefox.
- Todos los usuarios serán notificados y se les dará la oportunidad de optar de declinar esta opción.
- Se respetará la decisión del usuario que haya elegido DNS con controles parentales, Firefox deshabilitará DoH cuando el navegador web lo detecte. Actualmente Firefox es capaz de detectar control parental basado en DNS en el sistema operativo.
- Se respetará cualquier configuración empresarial, por lo que se deshabilitará DoH en este caso, a menos que la configuración empresarial lo habilite explícitamente.
- Cuando haya algún tipo de error en el DNS a la hora de utilizar las consultas con DoH, Firefox utilizará la configuración predeterminada del sistema operativo.
Mozilla también está planeando implementar DoH en modo «fallback», es decir, si las búsquedas con DoH fallan o se activan las heurísticas del navegador, Firefox utilizará también la configuración DNS del sistema operativo.
¿Qué pasaría si nuestro control parental no está en nuestro sistema operativo sino en nuestro router? Por ejemplo, los routers Synology tienen un control parental a nivel de red, de tal forma que todos los dispositivos conectados a la red local, pasan por dicho filtro automáticamente.
Según Mozilla, están trabajando actualmente con proveedores de controles parentales, incluyendo ISP, para agregar un «canary domain» a las listas de bloqueo, y solucionar esta situación tan específica donde el control parental está en la red y no en el PC del usuario. Si Firefox determina que el «canary domain» está bloqueado, indicará que el control parental está vigente, y DoH automáticamente se desactivará. Esto tiene su punto negativo, es que un posible atacante podría utilizar este «canary domain» para deshabilitar DoH bajo demanda, si Firefox detecta esta situación, Mozilla ha indicado que revisará el enfoque sobre este tema.
¿Cuándo veremos DoH activado por defecto en Mozilla Firefox?
Según Mozilla, planean incorporar DoH en EEUU a finales de septiembre, irán desplegándolo poco a poco para verificar que todo funciona correctamente y que no hay ningún problema con esta decisión tan importante.
¿Es una buena decisión incorporar DoH por defecto?
Desde el punto de vista del usuario, proporcionarle una mayor privacidad y seguridad cuando navega por Internet es ideal, también lo es estar fuera del control de los operadores, ya que sería complicado bloquear este tipo de tráfico HTTPS, no obstante, también tiene sus desventajas.
¿Por qué obligar a un usuario a utilizar sí o sí los servidores DNS de Cloudflare? Con esta decisión estamos centralizando un protocolo tan importante como DNS, y es que todas las consultas DNS del tráfico de los usuarios de Firefox irá a parar directamente a Cloudflare. ¿Confiamos en Cloudflare como para que todas las consultas DNS de nuestro tráfico pasen por sus servidores y resuelvan los dominios? Según sus políticas, se supone que sus DNS son privados, y que eliminan todas las consultas que realizan los usuarios, ¿nos fiamos realmente de su política? Otra medida de seguridad es SBB en Firefox.
¿Y si el día de mañana también se unen Google y otros «gigantes»? Todo nuestro tráfico estará a su merced de manera predeterminada, y es que tendremos que definir nosotros específicamente que no queremos DoH, o que al menos, queremos usar DoH con el servidor DNS que nosotros queramos y no el que Mozilla Firefox nos imponga.
¿Permitirás que Firefox te active DoH por defecto haciendo uso de Cloudflare?