TECNOLOGíA, INTERNET, JUEGOS
217 meneos
822 clics

Firefox ya activó por defecto el uso de DNS cifrados en Estados Unidos

A partir de hoy Firefox activará las DNS cifradas de Cloudflare para todos sus usuarios en EE.UU, es decir, DoH habilitado por defecto. El objetivo es ofrecer una capa de seguridad para evitar que cualquiera pueda espiar las peticiones DNS que tu navegador hace, incluyendo a tu mismo proveedor de Internet. En Firefox 73, Mozilla añadió a Cloudfare un nuevo proveedor de DoH al navegador: NextDNS. Además prometieron añadir más proveedores en el futuro y crearon políticas más estrictas que deben cumplir esos proveedores para ser usados.

| etiquetas: firefox , activa , por defecto , dns , cifrados , usa
102 115 1 K 239
102 115 1 K 239
Es decir, ahora tu proveedor de Internet no sabe a dónde vas, solo Cloudflare lo sabe.
#1 Siempre habrá alguién en internet que sepa lo que estás haciendo (deja ya de de ver porno en internet que estas no son horas :troll: ).
#1 Incorrecto. Tu proveedor no sabrá el nombre del dominio al que vas, pero, evidentemente, sabrá la IP en cuanto comiences a pedir paquetes. Ergo sí sabrá a dónde vas.
#13 la IP de varias web, si comparten hosting, puede ser la misma, no?
#16 Correcto, puedes tener todos los dominios que quieras utilizando una misma IP
#16 Sí. Y eso dificulta que tu proveedor te corte el acceso a una web. De igual forma, para webs escurridizas como the pirate bay, pueden seguir con su dominio indefinidamente, que si cambian de ip con frecuencia eso dificulta que el proveedor sepa identificarla, y la censure.
#13 Y para eso necesitas una VPN por medio.
#13 Un poco incorrecto lo tuyo también. Tu proveedor también sabrá el nombre del dominio gracias al SNI, no llega con usar DNS cifrado, también has de cifrar el SNI, en firefox lo puedes activar en about:config buscando network.security.esni.enabled . Puedes hacer la prueba en www.cloudflare.com/ssl/encrypted-sni/

Con todo activado te saltas el bloqueo de los ISPs pero si solo activas el DNS cifrado, no consigues nada.

CC/ #1
#34 Pero... el SNI cifrado no lo tiene que soportar también el servidor?
#55 Sí, tiene que soportarlo. En mi caso la página bloqueada está detrás de cloudflare, que sí lo soporta, así que va sin problemas y me ahorro usar una VPN. Las demás páginas también van sin problemas.
#1 El tema del DNS cifrado se está explicando mal. El asunto no es que tu proveedor no sepa las peticiones DNS que haces, que da igual por que sabe todo a lo que accedes, el asunto es que en el rutado que hay entre el envio de la petición DNS desde el ordenador cliente y la ubicación donde esté el servidor DNS utilizado, nadie pueda interceptar esas peticiones.

Lo que han hecho es facilitar con DNS over HTTPs el uso de este sistema e incorporarlo en los navegadores y próximamente en los SO,…   » ver todo el comentario
#19 Claro, y le dan la información de las peticiones a ciertas empesas... así luego harán un bonito gráfico y lo podrán vender al mejor postor...

Qué buena idea, centralizar las peticiones DNS...

No estoy muy puesto, pero por lo poco que he leído, DoH no sirve para nada... excepto tocar los cojones...

Y a ver cómo se ve qué peticiones DNS hace una web o servicio (o lo que sea)... me da que es más inseguro que seguro.

Y todo sólo para evitar un MITM para peticiones DNS?...
#27 A ver, vuelvo a explicarlo, no es que no sirva para nada, encripta las peticiones DNS entre el ordenador cliente y el servidor que resuelve.

El proveedor sigue viendo por donde navegas, eso está claro.

Y si, si le das las peticiones a una empresa pues dos cosas, o te fias de esa empresa, o te beneficias de algun servicio extra que da como filtro parental o protección malware o sigues con las DNS del proveedor ya que el proveedor ya sabe por donde navegas.

Y ahí esta el tema, encripta…   » ver todo el comentario
#46 Es que, justamente, rompe los servicios de protección parental y demás, porque el sistema que tengas no puede ver las peticiones DNS... por lo que no puede bloquearlas.

Y, repito, según entiendo, lo único que evita es un MITM... y si alguien hace eso, tener cifradas las peticiones DNS es uno de tus menores problemas...
#47 Es que tu te adelantas demasiado, es un añadido, quien quiera lo usara, quien no pues no, habrá quien quiera y no pueda por algún motivo y ya está. ¿Aporta algo?, si, por supuesto, pero tampoco es una varita mágica que lo solucione todo.

Cualquier avance es bueno, lo cual no quiere decir que cualquier avance deba ser usado por el 100% de los usuarios.

Yo por ejemplo, aunque Quad9 por DoH va perfectamente, voy a seguir usando el método normal de toda la vida.
#53 Lo mejor es Unbound mas lista de hosts. Capas todo lo relacionado con anuncios y rastreo para todos los programas.
#1 Mozilla prostituyendo a sus usuarios... No se a que me recuerda :roll:
#1 Y Cloudflare es una empresa... ¿de qué país dices?
pero.. quiere decir esto que firefox no usará el servidor dns que el PC tenga configurado, si no que cuando navegas será el propio firefox el que haga la consulta a cloudflare saltandose la configuración TCP IP ?
#9 Efectivamente...
Es una opcion que YA EXISTE en Firefox desde hace un tiempo y como usuario eliges si la usas o no, desactivar o activar y elegir qué DNS (que soporte dns sobre https) utilizar, no tienes por que usar los que proponen.
Lo que va a cambiar es que van a activar la opcion POR DEFECTO
#14 Una pregunta a ver si alguien sabe: en mi empresa tenemos un DNS local que sirve direcciones internas. ¿Esto significaría que firefox ya no tendrá acceso a esos nombres? o si falla el dns de Cloudflare utiliza los indicados por el DHCP?

Es que no me gustaría tener que estar diciéndole a cientos de personas cómo configuar su navegador...
#24 si la gente usa el DNS local (y éste, luego tira de los que sea para resolver lo externo) cualquier servidor externo registrara que ese DNS (como cliente) es el que le pide resolver... vamos, que asociará todas las busquedas a la IP de la empresa y no asociada a un equipo concreto.. luego ya, que las paginas de destino se dediquen a sacar firmas únicas por equipo según lo que pueda ejecutar el navegador...

la idea al usar DNS over HTTPS es que el trafico va cifrado, así que tu proveedor no puede saber qúe estas preguntando
#33 luego ya, que las paginas de destino se dediquen a sacar firmas únicas por equipo según lo que pueda ejecutar el navegado

No me preocupa la privacidad. Eso ya se que no existe. A ver, si tu dentro de la empresa accedes a zaraza.zaza, el DNS local lo resuelve y te funciona correctamente. Si pones google.com lo resulve externamente y funciona también.

Lo que me preocupa es que llegue el momento en que se actualice Firefox y cuando la gente ponga zaraza.zaza Firefox lo consulte…   » ver todo el comentario
#36 pues no se.. no hay en la configuracíon ninguna opcion para "no usar dns publico en tu subred" o algo así.. pero yo estoy usando NextDNS (alternativa a Cloudfare) y no he tenido ningun problema con servidores internos que ningun dns publico conoce... aunque ahora que lo pienso, igual estoy haciendo una tontería porque si o si el http y https nos lo pasan por un proxy sin posibilidad de protesta :-)
#40 Ah, claro. Si te pasan por un proxy entonces no utilizas DNS. Todo lo que pida el navegador por http va directo al proxy y es éste el que resuelve la dirección como quiera. El https es diferente. El navegador lo que hace es pedir al proxy que abra un socket y pase de forma transparente el tráfico... A no ser, claro que tengas instalado en tu PC un certificado propio de la empresa que permita interceptar el tráfico y analizarlo.
#42 en teoria todo lo que pido es https
#24 Interesante pregunta, asi que he buscado info.
arstechnica.com/information-technology/2020/02/firefox-turns-encrypted

En los comentarios con mas votos comentan que
1) Si firefox detecta 'enterprise policies' en el equipo no activa DoH por defecto.
2) El DNS normal se usa como 'fallback' si DoH no da respuesta.

En principio no hay que hacer nada. Aunque a futuro y si el DoH triunfa, lo suyo sera que las empresas también actualicen sus DNS internos.
#35 2) El DNS normal se usa como 'fallback' si DoH no da respuesta.

Ah, genial. Eso solucionará muchos problemas.

lo suyo sera que las empresas también actualicen sus DNS internos.

Eso no sería problema. Pero si Firefox pregunta siempre a Cloudflare, no servirá de nada.
#9 "Por defecto". Eso quiere decir que si lo desactivas, cogerá tu información local.
#9 Sip, es Firefox... el nuevo Microsoft/Google... hacen lo que les sale de los huevos...

De momento se podrá desactivar, pero a ver cuándo lo hacen casi imposible (como con los chequeos de actualizaciones).
#9 eso mismo me pregunto yo. Eso NO me gusta. Yo tengo en el servidor DHCP del router las dns que quiero que use toda la familia, y las cambio cuando creo conveniente. Eso de que firefox, por muy "guay" que sean, decida por mi... pues no.
#41 Es la mentalidad de FF de los últimos tiempos, al igual que Google, ellos saben mejor que tú lo que tú quieres...
No hay más que ver el sistema de actualizaciones, que de hace varias versiones quitaron la opción de no chequear actualizaciones... así ellos saben qué versión tiene la gente y hacen sus estadísticas...
#6 Y se ve que no hacen de policía. ¿O es que te molesta que traten peor a los nazis que a otros terroristas?
#8 si le entiendo bien, le molesta que apoyen al terrorismo usando la excusa de que solo son una herramienta neutral.

Y utiliza el caso de los nazis para demostrar que lo de ser una herramienta neutral es una excusa porque pueden tomar partido y toman partido en otras ocasiones.

Así que el compañero no está defendiendo a los nazis, sino atacando a los terroristas y a sus complices.
#8 Sí. Me molesta eso y me molesta su hipocresia. De la misma forma que me molestaba cuando operadores de nodos de Tor se preguntaban si había alguna forma de banear tráfico a la versión del Daily Stormer en la dark web, mientras no tenían esos reparos en la compraventa de armas, datos bancarios o pornografía infantil.

Y eso partiendo de que no soy particularmente partidario de las opiniones de Andrew Anglin (fundador del Daily Stormer), que tiene por costumbre perpetuar el acoso y derribo…   » ver todo el comentario
#6 Suena poco ético pero es así... Totalmente de acuerdo contigo en esto. O todos o nada, sean Nazis, terroristas o lo que sea.
Nuevo record en la Ley de Godwin
Cloudflare, ese servicio super ético que ofrece servicio a cualquier organización criminal o terrorista porque dicen estar a favor de que todos puedan expresarse en internet, pero se lo deniega al Daily Stormer.
#3 Hombre claro. Hasta los criminales tienen un limite, incluso el propio Joker xD  media
#3 ¿El problema de negarle algo a un nazi es ...?
#5 El problema no es negarselo a un nazi, es negarselo a un nazi mientras no se lo niegas a gente que quema a otras personas vivas y publica los videos. Mientras te llenas la boca sobre como ellos no van a hacer de policia del mundo.
#6 woops.
Firefox, por defecto, "regalando" datos a Cloudfare... de los usuarios.
#22 Y los demás navegadores a Facebook, Microsoft, Google y operadores
#26 de peticiones DNS? lo dudo mucho... y, en todo caso, Firefox no es mejor que esos que nombras...
#28 Mejor que Chrome, Edge y Opera si es, Explorer ni lo pongo eso es una negación de navegador aunque se siga usando.
Si no te gusta Firefox tienes Tor, Vivaldi y Brave
#28 Si, de peticiones DNS... previo pago a los ISP, claro. Y Firefox SI es mucho mejor que todos esos.

Otro tema es si realmente esto del DoH sirve para algo. De momento las cabeceras HTTPS todavía incluyen en texto claro el hostname principal, por lo que el beneficio no es que sea mucho.
#37 Eso de que FF sea mejor, no estoy para nada de acuerdo (y Chrome me cae como el culo, pero puedo tener 15 ventanas con más de 20 pestañas cada una y no pasa nada, pero tengo 2 ventanas de FF con 6 pestañas y la RAM a tomar por culo... y más con el tiempo...)

Completamente de acuerdo con el último párrafo... no le veo ninguna ventaja a DoH.
#48 Creía que hablábamos de ética, no de rendimiento. Si es lo segundo es cierto que FF es mejorable. Aunque la verdad es que no soy de abrir mil pestañas y con 16GB de RAM no creo que se fuera a notar mucho en cualquier caso.
Va a ser interesante preguntar si Cloudflare ha pagado por esto.
#32 Bueno, Firefox es una fundación que tiene que financiarse. Es como cuando en la página de "nueva pestaña" meten amazon o similares. Si se puede deshabilitar, yo no veo problema.
#44 Reconoceras que hay una diferencia sustancial entre dejarte un folleto en el parabrisas a seguirte en coche hasta en el puticlub.
NextDNS también está integrado en firefox, no hace falta recurrir a Cloudfare. A ver si Proton se anima a sacar el servicio para combinarlo con su VPN sin tener que recurrir a terceros.
Llamadme paranoico pero, ¿esto no facilita la labor a los censores/gran hermano? Antes tenían que lidiar con infinidad de proveedores de DNS y ahora ya solo tienen que tratar con cloudflare.
#30 Hay una lista de proveedores DoH. Coudflare es el que esta puesto por defecto, pero hay un par mas. Y la idea es que esa lista crezca, claro.
comentarios cerrados

menéame