Las consultas de DNS se envían en texto plano, lo que significa que cualquiera puede leerlas. El DNS sobre HTTPS y el DNS sobre TLS encriptan las consultas y las respuestas del DNS para mantener la seguridad y la privacidad de navegación del usuario. Sin embargo, ambos enfoques tienen sus ventajas y desventajas.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
DNS es la agenda telefónica de Internet; los solucionadores de DNS traducen los nombres de dominio legibles por humanos en direcciones IP legibles por máquinas. Por defecto, las consultas y respuestas de DNS se envían en texto plano (a través de UDP), lo que significa que pueden ser leídas por redes, ISP o cualquiera que pueda supervisar las transmisiones. Incluso si un sitio web utiliza HTTPS, la consulta de DNS necesaria para navegar a ese sitio web queda expuesta.
Esta falta de privacidad supone un enorme impacto en la seguridad y, en algunos casos, en los derechos humanos; si las consultas de DNS no son privadas, es más fácil para los gobiernos censurar Internet y para los atacantes acechar el comportamiento en línea de los usuarios.
Pensemos en una consulta de DNS normal sin encriptar como una postal enviada por correo postal: cualquiera que manipule el correo puede echar un vistazo al texto escrito en el reverso, así que no es muy acertado enviar una postal que contenga información confidencial o privada.
DNS sobre TLS y DNS sobre HTTPS son dos estándares desarrollados para encriptar el tráfico de DNS en texto plano, con el fin de evitar que agentes maliciosos, anunciantes, ISP y otros puedan interpretar los datos. Siguiendo con la analogía, estos estándares pretenden meter todas las postales que pasan por el correo en sobres, para que cualquiera pueda enviar una postal sin tener que preocuparse de que algún fisgón vea su información confidencial.
DNS sobre TLS, o DoT, es un estándar para encriptar las consultas de DNS y mantenerlas seguras y privadas. DoT utiliza el mismo protocolo de seguridad, TLS, que usan los sitios web HTTPS para encriptar y autenticar las comunicaciones. (TLS también se conoce como " SSL.") DoT añade la encriptación TLS sobre el protocolo de datagrama de usuarios (UDP), que se utiliza para las consultas de DNS. Además, garantiza que las solicitudes y respuestas de DNS no sean manipuladas o falsificadas mediante ataques en ruta.
El DNS sobre HTTPS, o DoH, es una alternativa a DoT. Con DoH, las consultas y respuestas de DNS están encriptadas, pero se envían a través de los protocolos HTTP o HTTP/2, en lugar de hacerlo directamente por UDP. Al igual que DoT, DoH garantiza que los atacantes no puedan falsificar o alterar el tráfico de DNS. El tráfico DoH se parece al resto del tráfico HTTPS (por ejemplo, las interacciones normales de los usuarios con sitios y aplicaciones web) desde la perspectiva de un administrador de red.
En febrero de 2020, el navegador Mozilla Firefox empezó a habilitar por defecto DoH para los usuarios de EE. UU. Las consultas de DNS desde el navegador Firefox están encriptadas por DoH y van a Cloudflare o NextDNS. Otros navegadores también son compatibles con DoH, aunque no está activado por defecto.
Cada estándar se desarrolló por separado y tiene su propia documentación RFC*, pero la diferencia más importante entre DoT y DoH es el puerto que usan. DoT solo usa el puerto 853, mientras que DoH utiliza el puerto 443, que es el que utiliza también el resto del tráfico HTTPS.
Ya que DoT tiene un puerto dedicado, cualquier persona con visibilidad de la red puede ver el tráfico entrante y saliente de DoT, aunque las propias peticiones y respuestas estén encriptadas. En cambio, con DoH, las consultas y respuestas de DNS se camuflan dentro de otro tráfico HTTPS, ya que todo entra y sale del mismo puerto.
*RFC significa "Petición de comentarios", y una RFC es un intento colectivo de desarrolladores, expertos en redes y líderes de opinión para estandarizar una tecnología de Internet o protocolo.
En redes, un puerto es un lugar virtual de una máquina que está abierto a las conexiones de otras máquinas. Cada ordenador en red tiene un número estándar de puertos, y cada puerto está reservado para determinados tipos de comunicación.
Pensemos en los amarres para barcos en un puerto: cada amarre está numerado, y se supone que diferentes tipos de barcos deben ir a amarres específicos para descargar la carga o los pasajeros. Pasa lo mismo con la red: determinados tipos de comunicaciones deben ir a determinados puertos de red. La diferencia es que los puertos de red son virtuales; son lugares para conexiones digitales y no para conexiones físicas.
Esto es debatible. Desde el punto de vista de la seguridad de la red, podría decirse que la TdF es mejor. Ofrece a los administradores de red la posibilidad de controlar y bloquear las consultas de DNS, lo que es importante para identificar y detener el tráfico malicioso. En cambio, las consultas de DoH están ocultas en el tráfico HTTPS normal, lo que significa que no se pueden bloquear fácilmente sin bloquear también el resto del tráfico HTTPS.
Sin embargo, desde el punto de vista de la privacidad, podría decirse que es preferible la DoH. Con DoH, las consultas de DNS se ocultan dentro del mayor flujo de tráfico HTTPS. Esto da a los administradores de la red menos visibilidad, pero ofrece a los usuarios una mayor privacidad.
1.1.1.1, el solucionador de DNS gratuito de Cloudflare, es compatible tanto con DoT como con DoH.
DNSSEC es un conjunto de extensiones de seguridad para verificar la identidad de los servidores raíz DNS y los servidores de nombres autoritativos en comunicaciones con resolución DNS. Está diseñado para impedir el envenenamiento de caché DNS, entre otros ataques. No realiza la encriptación de comunicaciones. El DNS sobre TLS o HTTPS, por el otro lado, realiza la encriptación de solicitudes DNS. 1.1.1.1 también es compatible con DNSSEC.
Para más información sobre 1.1.1.1, consulta ¿Qué es 1.1.1.1?