DNS sobre TLS vs. DNS sobre HTTPS | DNS seguro

Las consultas de DNS se envían en texto plano, lo que significa que cualquiera puede leerlas. El DNS sobre HTTPS y el DNS sobre TLS encriptan las consultas y las respuestas del DNS para mantener la seguridad y la privacidad de navegación del usuario. Sin embargo, ambos enfoques tienen sus ventajas y desventajas.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender por qué el DNS necesita mayor seguridad y por qué la privacidad del DNS es importante
  • Más información sobre cómo funcionan el DNS sobre TLS y el DNS sobre HTTPS, y las diferencias entre ellos
  • Explicar las ventajas y desventajas de ambos enfoques
  • Comparar el DNS sobre TLS/HTTPS con el DNSSEC

Copiar enlace del artículo

¿Por qué el DNS necesita capas adicionales de seguridad?

DNS es la agenda telefónica de Internet; los solucionadores de DNS traducen los nombres de dominio legibles por humanos en direcciones IP legibles por máquinas. Por defecto, las consultas y respuestas de DNS se envían en texto plano (a través de UDP), lo que significa que pueden ser leídas por redes, ISP o cualquiera que pueda supervisar las transmisiones. Incluso si un sitio web utiliza HTTPS, la consulta de DNS necesaria para navegar a ese sitio web queda expuesta.

Esta falta de privacidad supone un enorme impacto en la seguridad y, en algunos casos, en los derechos humanos; si las consultas de DNS no son privadas, es más fácil para los gobiernos censurar Internet y para los atacantes acechar el comportamiento en línea de los usuarios.

El atacante ve el tráfico de DNS no seguro

Pensemos en una consulta de DNS normal sin encriptar como una postal enviada por correo postal: cualquiera que manipule el correo puede echar un vistazo al texto escrito en el reverso, así que no es muy acertado enviar una postal que contenga información confidencial o privada.

DNS sobre TLS y DNS sobre HTTPS son dos estándares desarrollados para encriptar el tráfico de DNS en texto plano, con el fin de evitar que agentes maliciosos, anunciantes, ISP y otros puedan interpretar los datos. Siguiendo con la analogía, estos estándares pretenden meter todas las postales que pasan por el correo en sobres, para que cualquiera pueda enviar una postal sin tener que preocuparse de que algún fisgón vea su información confidencial.

Las consultas de DNS aseguradas por TLS o HTTPS, el atacante bloqueado

¿Qué es el DNS sobre TLS?

DNS sobre TLS, o DoT, es un estándar para encriptar las consultas de DNS y mantenerlas seguras y privadas. DoT utiliza el mismo protocolo de seguridad, TLS, que usan los sitios web HTTPS para encriptar y autenticar las comunicaciones. (TLS también se conoce como " SSL.") DoT añade la encriptación TLS sobre el protocolo de datagrama de usuarios (UDP), que se utiliza para las consultas de DNS. Además, garantiza que las solicitudes y respuestas de DNS no sean manipuladas o falsificadas mediante ataques en ruta.

¿Qué es el DNS sobre HTTPS?

El DNS sobre HTTPS, o DoH, es una alternativa a DoT. Con DoH, las consultas y respuestas de DNS están encriptadas, pero se envían a través de los protocolos HTTP o HTTP/2, en lugar de hacerlo directamente por UDP. Al igual que DoT, DoH garantiza que los atacantes no puedan falsificar o alterar el tráfico de DNS. El tráfico DoH se parece al resto del tráfico HTTPS (por ejemplo, las interacciones normales de los usuarios con sitios y aplicaciones web) desde la perspectiva de un administrador de red.

En febrero de 2020, el navegador Mozilla Firefox empezó a habilitar por defecto DoH para los usuarios de EE. UU. Las consultas de DNS desde el navegador Firefox están encriptadas por DoH y van a Cloudflare o NextDNS. Otros navegadores también son compatibles con DoH, aunque no está activado por defecto.

Espera, ¿el HTTPS no utiliza también TLS para la encriptación? ¿En qué se diferencian el DNS sobre TLS y el DNS sobre HTTPS?

Cada estándar se desarrolló por separado y tiene su propia documentación RFC*, pero la diferencia más importante entre DoT y DoH es el puerto que usan. DoT solo usa el puerto 853, mientras que DoH utiliza el puerto 443, que es el que utiliza también el resto del tráfico HTTPS.

Ya que DoT tiene un puerto dedicado, cualquier persona con visibilidad de la red puede ver el tráfico entrante y saliente de DoT, aunque las propias peticiones y respuestas estén encriptadas. En cambio, con DoH, las consultas y respuestas de DNS se camuflan dentro de otro tráfico HTTPS, ya que todo entra y sale del mismo puerto.

*RFC significa "Petición de comentarios", y una RFC es un intento colectivo de desarrolladores, expertos en redes y líderes de opinión para estandarizar una tecnología de Internet o protocolo.

¿Qué es un puerto?

En redes, un puerto es un lugar virtual de una máquina que está abierto a las conexiones de otras máquinas. Cada ordenador en red tiene un número estándar de puertos, y cada puerto está reservado para determinados tipos de comunicación.

Pensemos en los amarres para barcos en un puerto: cada amarre está numerado, y se supone que diferentes tipos de barcos deben ir a amarres específicos para descargar la carga o los pasajeros. Pasa lo mismo con la red: determinados tipos de comunicaciones deben ir a determinados puertos de red. La diferencia es que los puertos de red son virtuales; son lugares para conexiones digitales y no para conexiones físicas.

¿Cuál es mejor, DoT o DoH?

Esto es debatible. Desde el punto de vista de la seguridad de la red, podría decirse que la TdF es mejor. Ofrece a los administradores de red la posibilidad de controlar y bloquear las consultas de DNS, lo que es importante para identificar y detener el tráfico malicioso. En cambio, las consultas de DoH están ocultas en el tráfico HTTPS normal, lo que significa que no se pueden bloquear fácilmente sin bloquear también el resto del tráfico HTTPS.

Sin embargo, desde el punto de vista de la privacidad, podría decirse que es preferible la DoH. Con DoH, las consultas de DNS se ocultan dentro del mayor flujo de tráfico HTTPS. Esto da a los administradores de la red menos visibilidad, pero ofrece a los usuarios una mayor privacidad.

1.1.1.1, el solucionador de DNS gratuito de Cloudflare, es compatible tanto con DoT como con DoH.

¿Cuál es la diferencia entre DNS sobre TLS/HTTPS y DNSSEC?

DNSSEC es un conjunto de extensiones de seguridad para verificar la identidad de servidores raíz de DNS y los servidores de nombres autoritativos en las comunicaciones con solucionadores de DNS. Está diseñado para evitar el envenenamiento de caché de DNS, entre otros ataques. No encripta las comunicaciones. En cambio, el DNS sobre TLS o HTTPS sí encripta las consultas de DNS. 1.1.1.1 también es comptabile con DNSSEC.

Para más información sobre 1.1.1.1, consulta ¿Qué es 1.1.1.1?