¿Qué es DNS sobre HTTPS y cómo habilitarlo en su dispositivo (o navegador)?
- Categoría: Guías
DNS-over-HTTPS (DNS seguro) es una nueva tecnología que tiene como objetivo hacer que la navegación web sea segura mediante el cifrado de la comunicación entre la computadora cliente y el servidor DNS.
Este nuevo estándar de Internet se está adoptando ampliamente. La lista de adopción incluye Windows 10 (versión 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera y Vivaldi, por nombrar algunos.
En este artículo, analizaremos las ventajas y desventajas de DNS sobre HTTPS y cómo habilitar este protocolo en sus dispositivos.
También discutiremos cómo probar si DoH está habilitado para sus dispositivos o no.
Vamos a empezar. Sumario rápido esconder 1 Una explicación simple de DNS sobre HTTPS y cómo funciona 2 Pros y contras de DNS sobre HTTPS 2.1 DoH no habilita la privacidad completa del usuario 2.2 DoH no se aplica a consultas HTTP 2.3 No todos los servidores DNS admiten DoH 2.4 DoH será un dolor de cabeza para las empresas 3 ¿El uso de DNS sobre HTTPS ralentiza la navegación? 4 Cómo habilitar o deshabilitar DNS sobre HTTPS en Windows 10 4.1 Usando el registro de Windows 4.2 Uso de la política de grupo 4.3 Usando PowerShell (línea de comando) 5 Cómo habilitar o deshabilitar DNS sobre HTTPS en sus navegadores 5.1 Habilitar DNS sobre HTTPS en Google Chrome 5.2 Habilitar DNS sobre HTTPS en Mozilla Firefox 5.3 Habilitar DNS sobre HTTPS en Microsoft Edge 5.4 Habilitar DNS sobre HTTPS en el navegador Opera 5.5 Habilite DNS sobre HTTPS en el navegador Vivaldi 6 Cómo habilitar DNS sobre HTTPS en Android 7 ¿Cómo verifica si está utilizando DNS sobre HTTPS? 8 Lista de servidores de nombres que admiten DoH
Una explicación simple de DNS sobre HTTPS y cómo funciona
DNS sobre HTTPS (DoH) es un protocolo para cifrar consultas DNS entre su computadora y el servidor DNS. Se introdujo por primera vez en octubre de 2018 ( IETF RFC 8484 ) con el objetivo de aumentar la seguridad y la privacidad del usuario.
Los servidores DNS tradicionales utilizan el puerto 53 de DNS para la comunicación, mientras que el puerto DNS sobre HTTPS utiliza el puerto 443 de HTTPS para comunicarse de forma segura con el cliente.
Tenga en cuenta que, aunque DoH es un protocolo de seguridad, no impide que los ISP rastreen sus solicitudes. Simplemente cifra los datos de consulta de DNS entre su computadora y el ISP para evitar problemas como suplantación de identidad, ataque de intermediario, etc.
Entendamos esto con un ejemplo sencillo.
Así es como funciona el DNS:
- Si desea abrir el nombre de dominio itechtics.com y solicitarlo a través de su navegador.
- Su navegador envía una solicitud al servidor DNS configurado en su sistema, por ejemplo, 1.1.1.1.
- El resolutor recursivo de DNS (1.1.1.1) va a los servidores raíz del dominio de nivel superior (TLD) (.com en nuestro caso) y solicita los servidores de nombres de itechtics.com.
- Luego, el servidor DNS (1.1.1.1) va a los servidores de nombres de itechtics.com y solicita la dirección IP del nombre DNS de itechtics.com.
- El servidor DNS (1.1.1.1) lleva esta información al navegador y el navegador se conecta a itechtics.com y obtiene una respuesta del servidor.
Toda esta comunicación desde su computadora al servidor DNS a los servidores DNS TLD a los servidores de nombres al sitio web y viceversa se realiza en forma de mensajes de texto simples.
Eso significa que cualquiera puede monitorear su tráfico web y saber fácilmente qué sitios web está abriendo.
DNS-over-HTTPS cifra toda la comunicación entre su computadora y el servidor DNS, haciéndola más segura y menos propensa a ataques man-in-the-middle y otros ataques de suplantación de identidad.
Comprendamos esto con un ejemplo visual:
Cuando el cliente DNS envía consultas DNS al servidor DNS sin usar DoH:
DNS sobre HTTPS no habilitado
Cuando un cliente DoH usa el protocolo DoH para enviar tráfico DNS al servidor DNS habilitado para DoH:
DNS sobre HTTPS habilitado
Aquí puede ver que el tráfico DNS del cliente al servidor está encriptado y nadie sabe qué ha solicitado el cliente. La respuesta DNS del servidor también está encriptada.
Pros y contras de DNS sobre HTTPS
Si bien DNS sobre HTTPS reemplazará lentamente el sistema DNS heredado, tiene sus propias ventajas y problemas potenciales. Analicemos algunos de ellos aquí.
DoH no habilita la privacidad completa del usuario
DoH se promociona como el próximo gran avance en la privacidad y seguridad del usuario, pero en mi opinión, solo se centra en la seguridad del usuario y no en la privacidad.
Si sabe cómo funciona este protocolo, sabrá que DoH no impide que los ISP rastreen las solicitudes de DNS de los usuarios.
Incluso si el ISP no puede rastrearlo usando el DNS porque está usando un proveedor de DNS público diferente, hay muchos puntos de datos que todavía están abiertos para que los ISP los rastreen. Por ejemplo, Campos de indicación de nombre de servidor (SNI) y Conexiones de protocolo de estado de certificado en línea (OCSP) etc.
Si desea más privacidad, debe consultar otras tecnologías como DNS-over-TLS (DoT), DNSCurve, DNSCrypt, etc.
DoH no se aplica a consultas HTTP
Si está abriendo un sitio web que no funciona con SSL, el servidor DoH recurrirá a la tecnología DNS heredada (DNS-over-HTTP) también conocida como Do53.
Pero si está utilizando una comunicación segura en todas partes, DoH es definitivamente mejor que usar las viejas e inseguras tecnologías de DNS.
No todos los servidores DNS admiten DoH
Hay una gran cantidad de servidores DNS heredados que deberán actualizarse para admitir DNS sobre HTTPS. Esto llevará mucho tiempo para una adopción generalizada.
Hasta que este protocolo sea compatible con la mayoría de los servidores DNS, la mayoría de los usuarios se verán obligados a utilizar los servidores DNS públicos que ofrecen las grandes organizaciones.
Esto dará lugar a más problemas de privacidad, ya que la mayoría de los datos de DNS se recopilarán en algunas ubicaciones centralizadas de todo el mundo.
Otra desventaja de la adopción temprana de DoH es que si un servidor DNS global deja de funcionar, la mayoría de los usuarios que utilizan el servidor para la resolución de nombres se desconectarán.
DoH será un dolor de cabeza para las empresas
Si bien DoH mejorará la seguridad, será un dolor de cabeza para las empresas y organizaciones que monitorean las actividades de sus empleados y usan herramientas para bloquear partes de la web NSFW (no seguras para el trabajo).
Los administradores de redes y sistemas tendrán dificultades para hacer frente al nuevo protocolo.
¿El uso de DNS sobre HTTPS ralentiza la navegación?
Hay dos aspectos de DoH que se deben tener en cuenta al probar el rendimiento con el protocolo Do53 heredado:
- Rendimiento de resolución de nombres
- Rendimiento de carga de la página web
El rendimiento de la resolución de nombres es la métrica que usamos para calcular el tiempo que tarda el servidor DNS en darnos la dirección IP del servidor requerida del sitio web que queremos visitar.
El rendimiento de carga de la página web es la métrica real de si sentimos alguna desaceleración cuando navegamos por Internet utilizando el protocolo DNS sobre HTTPS.
Ambas pruebas fueron realizadas por samknows y el resultado final es que hay una diferencia insignificante en el rendimiento entre DNS sobre HTTPS y los protocolos Do53 heredados.
Puedes leer el estudio de caso de rendimiento completo con estadísticas en samknows .
Aquí están las tablas de resumen para cada métrica que definimos anteriormente. (Haga clic en la imagen para ampliarla)
Prueba de rendimiento de resolución de nombres
Tabla de rendimiento de ISP de DoH frente a Do53
Prueba de rendimiento de carga de la página web
Rendimiento de carga de la página web DoH vs Do53
Cómo habilitar o deshabilitar DNS sobre HTTPS en Windows 10
Windows 10 versión 2004 vendrá con DNS sobre HTTPS habilitado de forma predeterminada. Por lo tanto, una vez que se lance la próxima versión de Windows 10 y actualice a la última versión, no será necesario habilitar DoH manualmente.
Sin embargo, si está utilizando Windows 10 Insider Preview, deberá habilitar DoH manualmente utilizando los siguientes métodos:
Usando el registro de Windows
- Ir a Ejecutar -> regedit . Esto abrirá el Editor del Registro de Windows.
- Abra la siguiente clave de registro:
|_+_| - Haga clic derecho en Parámetros carpeta y seleccione Nuevo -> DWORD (32 bits) Valor.
- Nombralo EnableAutoDoh .
- Establezca el valor de la entrada EnableAutoDoh en 2 .
Deberá reiniciar la computadora para que los cambios surtan efecto.
Tenga en cuenta que este cambio entrará en vigor solo cuando utilice servidores DNS que admitan DNS sobre HTTPS. A continuación encontrará un lista de proveedores de DNS públicos que admiten DoH .
Las versiones anteriores de Windows 10, incluidas las versiones 1909 y 1903, no admiten DoH de forma predeterminada.
Uso de la política de grupo
Conservo esta sección para uso futuro. En este momento, no hay reglas de política de grupo para DNS sobre HTTPS. Completaremos los pasos cuando Microsoft los ponga a disposición para Windows 10 Versión 2004.
Usando PowerShell (línea de comando)
Conservo esta sección para uso futuro. Si Microsoft proporciona una forma de habilitar o deshabilitar DoH usando la línea de comando, enumeraremos los pasos aquí.
Cómo habilitar o deshabilitar DNS sobre HTTPS en sus navegadores
Algunas aplicaciones admiten la omisión del servidor DNS configurado por el sistema y, en su lugar, utilizan DNS sobre HTTPS. Casi todos los navegadores modernos ya son compatibles con DoH o admitirán el protocolo en un futuro próximo.
Habilitar DNS sobre HTTPS en Google Chrome
- Abra Google Chrome y vaya a la siguiente URL:
|_+_| - Debajo seguridad avanzada , activar Usar DNS seguro .
- Después de habilitar DNS seguro, habrá dos opciones:
- Con su proveedor de servicios actual
- Con los proveedores de servicios recomendados por Google
Puede seleccionar lo que más le convenga. La segunda opción anulará la configuración de DNS de su sistema.
Habilitar DNS seguro en Google Chrome
Para deshabilitar DoH, simplemente mueva el Usar DNS seguro ajustes a apagado .
Habilitar DNS sobre HTTPS en Mozilla Firefox
- Abra Firefox y vaya a la siguiente URL:
|_+_| - Debajo General , ir a Configuración de la red y haga clic en el Ajustes botón. O simplemente presione el Y tecla del teclado para abrir la configuración.
- Desplácese hasta el final y cheque Habilitar DNS sobre HTTPS .
- En el menú desplegable, puede elegir su servidor DNS seguro preferido.
Habilitar DNS sobre HTTPS en Microsoft Edge
- Abra Microsoft Edge y vaya a la siguiente URL:
|_+_| - Seleccione Activado desde el menú desplegable al lado Búsquedas seguras de DNS .
- Reinicie el navegador para que los cambios surtan efecto.
Habilitar DNS sobre HTTPS en el navegador Opera
- Abra el navegador Opera y vaya a Configuración (Alt + P).
- Expandir Advanced en el menú de la izquierda.
- En Sistema, activar Utilice DNS sobre HTTPS en lugar de la configuración de DNS del sistema .
- Reinicie el navegador para que los cambios surtan efecto.
La configuración de DNS segura no surtió efecto hasta que desactivé el servicio VPN integrado de Opera. Si tiene problemas para habilitar DoH en Opera, intente deshabilitar la VPN.
Habilite DNS sobre HTTPS en el navegador Vivaldi
- Abra el navegador Vivaldi y vaya a la siguiente URL:
|_+_| - Seleccione Activado desde el menú desplegable al lado Búsquedas seguras de DNS .
- Reinicie el navegador para que los cambios surtan efecto.
Cómo habilitar DNS sobre HTTPS en Android
Android 9 Pie admite la configuración de DoH. Puede seguir los pasos a continuación para habilitar DoH en su teléfono Android:
- Ir a Configuración → Red e Internet → Avanzado → DNS privado .
- Puede configurar esta opción en Automático o puede especificar un proveedor de DNS seguro usted mismo.
Si no puede encontrar estas configuraciones en su teléfono, puede seguir los pasos a continuación:
- Descargue y abra la aplicación QuickShortcutMaker de Google Play Store.
- Vaya a Configuración y toque:
|_+_|
Esto lo llevará directamente a la página de configuración de red donde encontrará la opción de DNS seguro.
¿Cómo verifica si está utilizando DNS sobre HTTPS?
Hay dos formas de comprobar si DoH está habilitado correctamente para su dispositivo o el navegador.
La forma más sencilla de comprobar esto es yendo a esta página de comprobación de la experiencia de navegación de cloudflare . Haga clic en el Verificar mi navegador botón.
En DNS seguro, recibirá el siguiente mensaje si está utilizando DoH: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
Si no está utilizando DoH, recibirá el siguiente mensaje: chrome://settings/security
Windows 10 versión 2004 también ofrece una forma de monitorear los paquetes del puerto 53 en tiempo real. Esto nos dirá si el sistema está usando DNS sobre HTTPS o el Do53 heredado.
- Abra PowerShell con privilegios administrativos.
- Ejecute los siguientes comandos:
|_+_|
Esto elimina todos los filtros activos, si los hay.
|_+_|
Esto agrega el puerto 53 para ser monitoreado y registrado.
|_+_|
Esto comienza con la supervisión en tiempo real del puerto 53.
Si ve que se muestra mucho tráfico en la lista, esto significa que se está utilizando el Do53 heredado en lugar de DoH.
Tenga en cuenta que los comandos mencionados anteriormente solo funcionarán en Windows 10 versión 2004. De lo contrario, le dará un error: parámetro desconocido 'tiempo real'
Lista de servidores de nombres que admiten DoH
Aquí está la lista de proveedores de servicios DNS que admiten DNS sobre HTTPS.
Proveedor | Nombre de host | Dirección IP |
AdGuard | dns.adguard.com | 176.103.130.132 176.103.130.134 |
AdGuard | dns-family.adguard.com | 176.103.130.132 176.103.130.134 |
Limpio Navegando | family-filter-dns.cleanbrowsing.org | 185.228.168.168 185.228.169.168 |
Limpio Navegando | adult-filter-dns.cleanbrowsing.org | 185.228.168.10 185.228.169.11 |
Cloudflare | one.one.one.one 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 1.0.0.1 |
Cloudflare | security.cloudflare-dns.com | 1.1.1.2 1.0.0.2 |
Cloudflare | family.cloudflare-dns.com | 1.1.1.3 1.0.0.3 |
dns.google google-public-dns-a.google.com google-public-dns-b.google.com | 8.8.8.8 8.8.4.4 | |
SiguienteDNS | dns.nextdns.io | 45.90.28.0 45.90.30.0 |
OpenDNS | dns.opendns.com | 208.67.222.222 208.67.220.220 |
OpenDNS | familyshield.opendns.com | 208.67.222.123 208.67.220.123 |
OpenDNS | sandbox.opendns.com | 208.67.222.2 208.67.220.2 |
Quad9 | dns.quad9.net rpz-public-resolver1.rrdns.pch.net | 9.9.9.9 149.112.112.112 |
Aunque DNS-over-HTTPS hace que la web sea más segura y debe implementarse de manera uniforme en toda la web (como en el caso de HTTPS), este protocolo dará pesadillas a los administradores de sistemas.
Los administradores de sistemas deben encontrar formas de bloquear los servicios DNS públicos y, al mismo tiempo, permitir que sus servidores DNS internos utilicen DoH. Esto debe hacerse para mantener activos los equipos de monitoreo actuales y las políticas de restricción en toda la organización.
Si me he perdido algo en el artículo, hágamelo saber en los comentarios a continuación. Si te gustó el artículo y aprendiste algo nuevo, compártelo con tus amigos y en las redes sociales y suscríbete a nuestro boletín.