Así puedes deshabilitar DNS over HTTPS de Mozilla Firefox a nivel de red local (con dnsmasq o similar)

Ayer os explicamos en detalle los planes de Mozilla Firefox para integrar DNS over HTTPS por defecto en su navegador web, un movimiento esperado pero que tiene sus pros y también sus contras. Hoy os vamos a enseñar cómo podríamos configurar la red local, para que el navegador detecte que no queremos utilizar DNS over HTTPS (DoH), sino que queremos utilizar los DNS proporcionados por la propia red.

Cuando DNS over HTTPS está deshabilitado en Mozilla Firefox

Si tenemos deshabilitada esta opción (la cual está deshabilitada por defecto actualmente), si navegamos por cualquier web con el propio navegador, podremos ver que todas las consultas DNS se pueden ver perfectamente en claro con un programa como Wireshark, es decir, no hay ningún tipo de cifrado ya que no estamos utilizando DNS over HTTPS integrado en el propio navegador.

Tal y como podéis observar, todas las solicitudes se realizan contra la IP 10.10.2.1 que es donde tenemos configurado el servidor DNS, ya que el propio router se encarga de ello, no se delega el servidor DNS en los propios equipos para que ellos individualmente lo resuelvan, sino que todo pasa por el propio router.

Habilitando DNS over HTTPS en Firefox, no podremos ver las consultas DNS

Para habilitar DNS over HTTPS en Firefox de manera manual, es necesario irnos a «Herramientas / Opciones / General / Configuración de red», y una vez en el menú de configuración de conexión, en la parte inferior podéis ver la opción de activación de esta característica. Mozilla Firefox por defecto usará el servicio de Cloudflare para proporcionarnos DoH.

En cuanto lo habilitemos, podremos ver que las únicas resoluciones DNS que realizará son para localizar los servidores DNS de DoH de Cloudflare, ya que parece que actualmente no hace uso de 1.1.1.1 directamente, sino que resuelve el dominio mozilla.cloudflare-dns.com. De manera automática, hace uso de esos servidores DNS que nos indica la siguiente captura:

Una vez que haya resuelto estos DNS, DoH en Firefox ya estará plenamente habilitado y no podremos ver ningún tipo de consulta DNS. Además, si las webs hacen uso de TLS tampoco podremos “ver” ningún tipo de tráfico.

Cómo bloquear DoH a nivel de red utilizando dnsmasq

Si haces uso de un firmware de terceros como OpenWRT, DD-WRT, Asuswrt Merlin u otros, podremos editar el fichero dnsmasq para incorporar el “canary domain”, de tal forma que Mozilla Firefox lo detecte y no utilice DoH para la resolución de las direcciones.

Para hacer esto, simplemente debemos agregar la siguiente línea a la configuración de dnsmasq:

server=/use-application-dns.net/

Una vez que lo hayamos incorporado, simplemente tendremos que reiniciar el servicio de dnsmasq en nuestro router, o en nuestro servidor de DNS que tengamos en la red local. En la web use-application-dns.net, se puede ver que efectivamente ese dominio está orientado específicamente para comprobar el DoH de Mozilla Firefox. Al incorporarlo en el dnsmasq, no podremos acceder a esta web, señal inequívoca de que lo hemos configurado correctamente. Si vais a realizar pruebas, recordad borrar la caché DNS, si utilizas Windows podéis hacerlo ejecutando en “cmd.exe” la siguiente orden:

ipconfig /flushdns

Si no limpiáis la caché, siempre os funcionará a no ser que no hayáis accedido nunca.

A partir de este momento, cuando naveguemos por Internet con Mozilla Firefox, no deberíamos hacer uso de DNS over HTTPS. No obstante, en nuestras pruebas hemos comprobado que Mozilla Firefox no revisa la solicitud a dicha web, por lo que seguiremos haciendo uso de DoH. Es posible que en la versión actual de Firefox no esté disponible la característica de comprobar este dominio, ya que habilitamos DoH de manera manual, y no está habilitado por defecto.