DNS mediante HTTPS (DNS seguro) o DoH es una nueva tecnología que tiene como objetivo hacer la navegación web segura mediante la encriptación de la comunicación entre el ordenador cliente y el servidor DNS.
En este artículo, discutiremos las ventajas y desventajas de DNS sobre HTTPS y cómo activar este protocolo en tus dispositivos.
También discutiremos cómo comprobar si DoH está activado para tus dispositivos o no.
Comencemos.
Tabla de Contenido
Una Explicación Simple de DNS sobre HTTPS y Cómo Funciona
DNS sobre HTTPS (DoH) es un protocolo para encriptar consultas DNS entre tu ordenador y el servidor DNS. Fue introducido por primera vez en octubre de 2018 (RFC 8484 de IETF) con el objetivo de aumentar la seguridad y privacidad del usuario.
Los servidores DNS tradicionales hacen uso del puerto DNS 53 para la comunicación, mientras que DNS sobre HTTPS utiliza el puerto HTTPS 443 para comunicarse de forma segura con el cliente.
Ten en cuenta que aunque DoH es un protocolo de seguridad, no impide que los proveedores de servicios de Internet (ISP) rastreen tus solicitudes. Simplemente encripta los datos de consulta DNS entre tu ordenador y el ISP para evitar problemas como el spoofing, el ataque de intermediario, etc.
Veamos esto con un ejemplo sencillo.
Así es como funciona DNS:
- Si deseas abrir el nombre de dominio ccnadesdecero.es y solicitarlo usando tu navegador.
- Tu navegador envía una solicitud al servidor DNS configurado en tu sistema, por ejemplo, 1.1.1.1.
- El resolutor recursivo DNS (1.1.1.1) va a los servidores raíz del dominio de nivel superior (TLD) (.es en nuestro caso) y solicita los servidores de nombres de ccnadesdecero.es.
- Luego, el servidor DNS (1.1.1.1) va a los servidores de nombres de ccnadesdecero.es y solicita la dirección IP del nombre DNS de ccnadesdecero.es.
- El servidor DNS (1.1.1.1) lleva esta información al navegador y el navegador se conecta a ccnadesdecero.es y recibe una respuesta del servidor.
Toda esta comunicación, desde tu ordenador hasta el servidor DNS, pasando por los servidores DNS de TLD, los servidores de nombres y el sitio web, se realiza en forma de mensajes de texto simples.
Eso significa que cualquiera puede monitorear tu tráfico web y fácilmente saber qué sitios web estás abriendo.
DNS sobre HTTPS encripta toda la comunicación entre tu ordenador y el servidor DNS, haciéndola más segura y menos propensa a ataques de intermediario y otros tipos de spoofing.
Veamos esto con un ejemplo visual:
Cuando el cliente DNS envía consultas DNS al servidor DNS sin usar DoH:
Cuando un cliente de DoH utiliza el protocolo DoH para enviar tráfico DNS al servidor DNS habilitado para DoH:
Aquí puedes ver que el tráfico DNS del cliente al servidor está encriptado y nadie sabe qué ha solicitado el cliente. La respuesta DNS del servidor también está encriptada.
Pros y Contras de DNS-over-HTTPS
Mientras DNS-over-HTTPS reemplaza lentamente al sistema DNS heredado, viene con sus propias ventajas y posibles problemas. Vamos a discutir algunos de ellos aquí.
DoH no habilita la privacidad completa del usuario
DoH se presenta como la próxima gran cosa en privacidad y seguridad del usuario, pero en mi opinión, se centra únicamente en la seguridad del usuario y no en la privacidad.
Si conoces cómo funciona este protocolo, sabrás que DoH no impide que los proveedores de servicios de Internet (ISP) rastreen las solicitudes DNS del usuario.
Incluso si el ISP no puede rastrearte usando el DNS porque estás utilizando un proveedor de DNS público diferente, hay muchos puntos de datos que siguen estando abiertos para los ISP para rastrear. Por ejemplo, campos de Indicación de Nombre del Servidor (SNI, Server Name Indication) y conexiones del Protocolo de Estado de Certificado en Línea (OCSP, Online Certificate Status Protocol), etc.
Si deseas más privacidad, deberías revisar otras tecnologías como DNS-over-TLS (DoT), DNSCurve, DNSCrypt, etc.
DoH no se aplica a las consultas HTTP
Si estás abriendo un sitio web que no opera utilizando SSL, el servidor DoH volverá a la tecnología DNS heredada (DNS-over-HTTP), también conocida como Do53.
Pero si estás utilizando comunicación segura en todas partes, DoH es definitivamente mejor que usar las antiguas y no seguras tecnologías de DNS.
No todos los servidores DNS admiten
DoH Hay una gran cantidad de servidores DNS heredados que necesitarán ser actualizados para admitir DNS-over-HTTPS. Esto llevará mucho tiempo para su adopción generalizada.
Hasta que este protocolo sea compatible con la mayoría de los servidores DNS, la mayoría de los usuarios se verán obligados a usar los servidores DNS públicos ofrecidos por grandes organizaciones.
Esto conducirá a más problemas de privacidad ya que la mayoría de los datos DNS serán recopilados en unos pocos lugares centralizados alrededor del mundo.
DoH será un dolor de cabeza para las empresas
Si bien DoH mejorará la seguridad, será un dolor de cabeza para las empresas y organizaciones que monitorean las actividades de sus empleados y utilizan herramientas para bloquear partes de la web no seguras para el trabajo.
Los administradores de redes y sistemas tendrán dificultades para adaptarse al nuevo protocolo.
¿Usar DNS-over-HTTPS Ralentiza la Navegación?
Hay dos aspectos de DoH a tener en cuenta al probar el rendimiento frente al protocolo Do53 heredado:
- Rendimiento de la resolución de nombres
- Rendimiento de carga de páginas web
El rendimiento de la resolución de nombres es la métrica que utilizamos para calcular el tiempo que tarda el servidor DNS en proporcionarnos la dirección IP del servidor requerido del sitio web que queremos visitar.
El rendimiento de carga de páginas web es la métrica real de si sentimos alguna desaceleración cuando estamos navegando por Internet utilizando el protocolo DNS-over-HTTPS.
Ambas pruebas fueron realizadas por samknows y el resultado final es que hay una diferencia insignificante en el rendimiento entre los protocolos DNS-over-HTTPS y Do53 heredados.
Puedes leer el estudio de caso completo de rendimiento con estadísticas en samknows.
Aquí están las tablas de resumen para cada métrica que definimos anteriormente.
Prueba de rendimiento de resolución de nombres
Prueba de rendimiento de carga de páginas web
Cómo Habilitar o Deshabilitar DNS-over-HTTPS en Windows
Windows 10/11 vendrá con DNS-over-HTTPS habilitado de forma predeterminada. Por lo tanto, una vez que se lance la próxima versión de Windows 11 y actualices a la última versión, no será necesario habilitar DoH manualmente.
Sin embargo, si estás utilizando una versión antigua, deberás habilitar DoH manualmente utilizando los siguientes métodos:
Usando el Registro de Windows
- Ve a Ejecutar –>
regedit. - Esto abrirá el Editor del Registro de Windows. Abre la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters- Haz clic derecho en la carpeta Parameters y selecciona Nuevo –> Valor DWORD (32 bits).
- Nómbralo
EnableAutoDoh. Establece el valor de la entradaEnableAutoDohen2. Deberás reiniciar el equipo para que los cambios surtan efecto.
Ten en cuenta que este cambio surtirá efecto solo cuando estés utilizando los servidores DNS que admiten DNS-over-HTTPS.
Cómo Habilitar o Deshabilitar DNS-over-HTTPS en tus Navegadores
Algunas aplicaciones admiten eludir el servidor DNS configurado en el sistema y usar DNS-over-HTTPS en su lugar. Casi todos los navegadores modernos ya admiten DoH o admitirán el protocolo en un futuro cercano.
Habilitar DNS-over-HTTPS en Google Chrome
Abre Google Chrome y ve a la siguiente URL: chrome://settings/security
En Seleccionar proveedor de DNS, activa un proveedor DNS seguro.
Después de habilitar DNS seguro, habrá dos opciones:
- Con tu proveedor de servicios actual
- Con los proveedores de servicios recomendados por Google
Puedes seleccionar lo que más te convenga. La segunda opción sobrescribirá la configuración DNS de tu sistema.
Para desactivar DoH, simplemente deshabilita la opción “Encripta los nombres de los sitios que visitas“.
Habilitar DNS-over-HTTPS en Mozilla Firefox
- Abre Firefox y ve a la siguiente URL:
about:preferences - En General, ve a Configuración de red y haz clic en el botón Configuración.
- O simplemente busca “
dns” en el cuadro de búsqueda. - Desplázate hacia abajo y marca la opción
Protección máxima. Desde el menú desplegable, puedes elegir tu servidor DNS seguro preferido.
Habilitar DNS-over-HTTPS en Microsoft Edge
- Abre Microsoft Edge y ve a la sección de Configuración
- En el cuadro de búsqueda escribe “
dns“ - Habilita la sección “Usar un DNS seguro para especificar cómo buscar la dirección de red para los sitios web” y elige un proveedor de servicios.
Habilitar DNS-over-HTTPS en el Navegador Opera
- Abre el navegador Opera y ve a Configuración (Alt + P).
- Expande Avanzado en el menú de la izquierda.
- Bajo Sistema, activa
Usar DNS-over-HTTPSen lugar de la configuración DNS del sistema. Reinicia el navegador para que los cambios surtan efecto.
Las configuraciones de DNS seguras no surtieron efecto hasta que desactivé el servicio VPN incorporado en Opera. Si tienes problemas para habilitar DoH en Opera, intenta desactivar la VPN.
Habilitar DNS-over-HTTPS en el Navegador Vivaldi
- Abre el navegador Vivaldi y ve a la siguiente URL:
vivaldi://flags/#dns-over-https - Selecciona Habilitado en el menú desplegable junto a Búsquedas DNS seguras.
- Reinicia el navegador para que los cambios surtan efecto.
Cómo Habilitar DNS-over-HTTPS en Android
Android +9 admite la configuración de DoH. Puedes seguir los pasos a continuación para habilitar DoH en tu teléfono Android:
- Ve a Configuración → Red e internet → Avanzado → DNS privado.
- Puedes establecer esta opción en Automático o puedes especificar tú mismo un proveedor DNS seguro.
Si no puedes encontrar estas configuraciones en tu teléfono, puedes seguir los pasos a continuación:
- Descarga y abre la aplicación QuickShortcutMaker desde Google Play Store.
- Ve a Configuración y toca en: com.android.settings.Settings$NetworkDashboardActivity
- Esto te llevará directamente a la página de configuración de red donde encontrarás la opción de DNS seguros.
¿Cómo Puedes Verificar si estás Utilizando DNS-over-HTTPS?
Hay dos formas de comprobar si DoH está habilitado correctamente para tu dispositivo o navegador.
La forma más fácil de hacerlo es yendo a esta página de verificación de la experiencia de navegación de Cloudflare. Haz clic en el botón Check My Browser.
Windows 10 también proporciona una forma de monitorear paquetes de puerto 53 en tiempo real. Esto nos dirá si el sistema está utilizando DNS-over-HTTPS o el antiguo Do53.
Abre PowerShell con privilegios administrativos.
Ejecuta los siguientes comandos:
pktmon filter remove Esto elimina todos los filtros activos, si los hay.
pktmon filter add -p 53 Esto agrega el puerto 53 para ser monitoreado y registrado.
pktmon start --etw -m real-timeEsto comienza con el monitoreo en tiempo real del puerto 53. Si ves mucho tráfico mostrado en la lista, esto significa que se está utilizando el antiguo Do53 en lugar de DoH.
Ten en cuenta que los comandos mencionados anteriormente solo funcionarán en Windows 10 versión 2004. De lo contrario, te dará un error: Parámetro desconocido ‘real-time’
Lista de Servidores DNS que Admiten DoH
Aquí está la lista de proveedores de servicios DNS que admiten DNS-over-HTTPS. Aunque DNS-over-HTTPS hace que la web sea más segura y debería implementarse de manera uniforme en toda la web (como en el caso de HTTPS), este protocolo va a dar dolores de cabeza a los administradores de sistemas.
| Proveedor | Nombre de host | Dirección IP |
|---|---|---|
| AdGuard | dns.adguard.com | 176.103.130.132 176.103.130.134 |
| AdGuard | dns-family.adguard.com | 176.103.130.132 176.103.130.134 |
| CleanBrowsing | family-filter-dns.cleanbrowsing.org | 185.228.168.168 185.228.169.168 |
| CleanBrowsing | adult-filter-dns.cleanbrowsing.org | 185.228.168.10 185.228.169.11 |
| Cloudflare | one.one.one.one 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 1.0.0.1 |
| Cloudflare | security.cloudflare-dns.com | 1.1.1.2 1.0.0.2 |
| Cloudflare | family.cloudflare-dns.com | 1.1.1.3 1.0.0.3 |
| dns.google google-public-dns-a.google.com google-public-dns-b.google.com | 8.8.8.8 8.8.4.4 | |
| NextDNS | dns.nextdns.io | 45.90.28.0 45.90.30.0 |
| OpenDNS | dns.opendns.com | 208.67.222.222 208.67.220.220 |
| OpenDNS | familyshield.opendns.com | 208.67.222.123 208.67.220.123 |
| OpenDNS | sandbox.opendns.com | 208.67.222.2 208.67.220.2 |
| Quad9 | dns.quad9.net rpz-public-resolver1.rrdns.pch.net | 9.9.9.9 149.112.112.112 |
Los administradores de sistemas necesitan encontrar formas de bloquear los servicios DNS públicos mientras permiten que sus servidores DNS internos utilicen DoH. Esto debe hacerse para mantener los equipos de monitoreo actuales y las políticas de restricción activas en toda la organización.
Si he pasado por alto algo en el artículo, por favor házmelo saber en los comentarios a continuación. Si te gustó el artículo y aprendiste algo nuevo, compártelo con tus amigos y en las redes sociales y suscríbete a nuestro boletín.
