Los fanáticos de la privacidad de DNS sobre HTTPS (DoH), deben sentirse como si un muro infranqueable comenzara a resquebrajarse.
Mozilla Firefox y Cloudflare fueron los primeros en adoptar esta nueva y controvertida forma de hacer que las consultas DNS fueran privadas mediante el cifrado, seguido poco después por Google, que incorporó DoH a Chrome como una configuración no predeterminada.
Esta semana, un nombre aún más grande se unió a la fiesta, Windows 10. Microsoft anunció que integrará la capacidad de usar DoH, y eventualmente también su primo cercano DNS sobre TLS (DoT), en su cliente de red.
Parece que se acabó el juego para los oponentes de DoH, principalmente ISPs que han expresado un gran número de preocupaciones, algunas bastante egoístas (no podemos monetizar el tráfico DNS que no podemos ver) y otras que tal vez merecen ser sopesadas (¿cómo filtraremos los dominios comprometidos?).
Las cosas se pusieron tan hiperbólicas que el verano pasado la Asociación de ISP del Reino Unido (ISPA) incluso nominó a Mozilla para un premio de “Villano de Internet” para castigar su entusiasmo por DoH antes de cambiar de idea después de una reacción pública.
A principios de este mes, Mozilla tomó represalias, acusando a los ISP de tergiversar los argumentos técnicos sobre el DNS cifrado.
HTTPS piggybacking
Ya hemos explicado cómo funcionan DoH y DoT en artículos anteriores, pero lo esencial es que cifran las consultas que un ordenador hace a los servidores DNS de manera que los intermediarios como ISP y los gobiernos no pueden ver fácilmente qué sitios web están siendo visitados.
Otra forma de pensar es que DoH extiende los beneficios de la seguridad HTTPS al tráfico DNS. Si bien no es perfectamente privado (los datos aún se filtran a través de cosas como la Indicación del Nombre del Servidor), es mejor que enviar consultas DNS sin cifrar.
De hecho, DoT tiene algunas ventajas sobre DoH, pero requiere que los puertos se abran en routers / firewalls. DoH es indistinguible del tráfico de navegación web normal, mientras que DoT se ejecuta en su propio carril, lo que facilita el bloqueo o el filtrado, y requiere que los usuarios configuren más configuraciones para que funcione.
Debido a que DoH incluye HTTPS, simplemente funciona de inmediato, siempre y cuando el software del cliente lo admita. Es por eso que la integración de Windows 10, sea cuando sea que se realice, es importante.
Recentralización
Dado que el soporte DoH ya está activado en Firefox (que usa la resolución Cloudflare) y Chrome de Google (que usa su propio DNS), ¿qué añade la integración de Windows 10?
La respuesta es que podría ayudar a descentralizar la provisión de DNS cifrado.
Hoy en día, el sistema DNS sin cifrar está altamente descentralizado, lo que es bueno para la estabilidad (sin un solo punto de falla) y algunos aspectos de la seguridad (el filtrado DNS se usa para bloquear sitios malévolos). Cualquiera que dude de la importancia de evitar puntos únicos de falla podría considerar el ataque Dyn DDoS de 2016, que causó interrupciones importantes de Internet causadas por atacar solo a un proveedor.
Incluso los usuarios que cambian de la resolución DNS de su ISP a alternativas públicas como 8.8.8.8/8.8.4.4 de Google por razones de rendimiento ahora tienen muchas opciones.
Pero si DoH o DoT terminan siendo activados por defecto en los navegadores, la resolución de DNS podría reducirse rápidamente a un pequeño número de proveedores, lo que a su vez podría terminar siendo malo para la privacidad.
Según Microsoft, la integración de DNS cifrado dentro de Windows es una forma de combatir esto y aferrarse a los beneficios de la descentralización:
Muchos suponen que el cifrado de DNS requiere la centralización de DNS. Esto solo es cierto si la adopción de DNS cifrado no es universal. Para mantener el DNS descentralizado, será importante que los sistemas operativos del cliente (como Windows) y los proveedores de servicios de Internet adopten ampliamente el DNS cifrado.
Sin embargo, habiendo decidido adoptar el DNS cifrado, Microsoft admite que todavía hay problemas técnicos que resolver.
Por ejemplo, Windows no anulará los valores predeterminados establecidos por el usuario o el administrador sin dejar de guiarse por algunas reglas básicas de privacidad:
- Cuando un solucionador DNS elegido ofrece DNS cifrado, Windows optará por cualquier alternativa no cifrada de forma predeterminada.
- Si se interrumpe el DNS cifrado, Windows no recurrirá silenciosamente a un servidor no cifrado.
- Habilitar el DNS cifrado será lo más simple posible para evitar el problema de que solo los expertos terminen usándolo.
Dado que el DNS cifrado ha surgido del IETF, los ISP ya deben saber que están librando una batalla perdida.
Aunque se desarrolla gradualmente, el cambio a un mundo en línea más privado parece estar en marcha, les guste o no a sus oponentes. La batalla ahora es estar dentro de este cambio o arriesgarse a quedar bloqueado para siempre.