En la continua cruzada por garantizar la privacidad en línea de los usuarios, Firefox resalta con una característica recomendada para todos: DNS sobre HTTPS (DoH). Este mecanismo brinda un extra de confidencialidad al momento de surfear la web, pero, ¿cómo funciona y cómo puede el usuario común aprovechar sus ventajas? Cuando tecleamos una dirección web en nuestra barra de direcciones, el navegador debe realizar una solicitud DNS para encontrar la dirección IP asociada a esa web.
Comentarios
La verdad es que para los que no entendemos mucho de informática, la explicación de lo que es un DoH me parece una mierda.
¿Alguien me puede explicar qué hace el DoH aparte de "enviando esa solicitud de manera segura y cifrada por Internet", cosa que entiendo que ya hace https?
#8 Resumiendo: HTTPS cifra la comunicación cliente-servidor, pero no cifra la consulta inicial de DNS del cliente, para encontrar el servidor. DoH cifraría esto último también.
#8 Las DNSs te dicen, entre otras cosas, la dirección IP (p.e. 127.0.0.1) a la que debes acceder cuando le indicas un dominio (p.e. meneame.net). Normalmente le preguntas la IP siempre al mismo servicio de DNS que tienes configurado en la configuración de acceso a Internet en tu dispositivo, en cambio cuando por ejemplo envías una petición de contenido web se la envías al propio sitio web gracias a que el servidor de DNS ajeno a la web te ha indicado su IP. En general las consultas DNS no son cifradas.
#11 hombre, justamente la 127.0.0.1 sería de las únicas que jamás te diría un DNS...
A pesar de esto, se agradece la explicación.
#15 Precisamente lo puse por ser una IP reservada pero te sorprenderá saber que hay cientos de miles de dominios web apuntando a esa IP.
Algunos ejemplos: gizmologia.com kaspersky-labs.com meet.de userfriendly.org ...
Found 333,045 domains hosted on IP address 127.0.0.1
https://dnslytics.com/reverse-ip
#48 No no me sorprende... De hecho también hay IPs APIPA resueltas por DNS que no debería...
#11 Repito lo de por ahí arriba. Este sistema concentra todo tu trafico por un tercero. No gracias.
#14 A ver, el PiHole lo que tiene bajo el capó es Unbound. Unbound puede usar (incluso a la vez) DoT y DoH. Naturalmente, no todos los servidores DNS upstream te van a permitir usar el DoH, creo que ahora mismo solamente los de Cloudflare. Además, tampoco te haría falta AdGuard porque con PiHole ya le puedes añadir listas de bloqueo de DNS (no conozco el servicio ese de AdGuard, pero entiendo que es basicamente esto). Te recomiendo usar DNSSEC también, que protege contra falsificaciones de los nombres de dominio.
Como extra, puedes configurar un servicio Redis para que haga de caché de Unbound (el manual online de este último te explica bastante bien como hacer todas estas cosas) y así ganas algo de resiliencia contra fallos temporales del DNS upstream, y un poco de velocidad también.
El manual de PiHole también ayuda:
https://docs.pi-hole.net/guides/dns/unbound/
#30 El unbound lo tengo puesto (sin redis, aunque puede ser buena idea ponerle un redis) Y uso DNSSEC y DoT con unbound. De hecho así lo dice cloudflare.
El rollo aquí es que para usar ECH necesitas que la llamada al dns también sea DoH si mal no tengo entendido, si no, nunca funcionará.
#37 Si, pero esa parte la hace el navegador. Es decir, el ECH es algo accionable por parte de la aplicación cliente, si te exigen DoH (cosa de la que no estoy muy seguro) será porque Cloudflare son los únicos que lo usan de momento y tiran de eso. Si vas a usar Cloudflare de todas formas al final te da lo mismo configurarlo solo en el navegador y dejar el DoT para todo lo demás.
Creo recordar que para usar Unbound como servidor DoH a nivel local tenías que añadirle un certificado bien firmado, había opciones para ello en la config.
#43 El certificado es el cert que viene en todas las distros linux, no?
#44 No, me refiero a que como está sirviendo sobre HTTPS, Unbound necesita un certificado SSL como servidor. Como el certificado que permite a un servidor web usar cifrado HTTPS. Esto es para la parte de servidor donde te conectas tú, no para el recursivo upstream.
#45 Claro, esa es la parte que soporta adguard home y no soporta pihole. Pero vamos, que no hay problema con el tema de certificados, con un acme de esos vale.
#30 De serie no viene con Unbound, has de instalarlo tú.
Tengo pendiente dejar pi-hole y pasarme a adguard para poder usar esto con unbound y a paseo con DNS de terceros.
#1 no conocía adguard, le echaré un vistazo. Pero con pihole uso tb unbound, y sin problema alguno.
#1 ¿!? Pi-Hole ya permite esto. Aunque muchos tiramos más por DoT, que es un estándar más simple.
#6 si? Show me!
A nivel de sistema funciona desde android 9. El siguiente nivel es montar tu propio DoH con Adguard como dice #1 y adiós anuncios también
Creeeo que cuando estás en datos móviles Android no usa el DNS privado de sistema. Para eso el último nivel, tu propio servidor Wireguard. Y adiós anuncios siempre
#1 Yo no recomiendo dns over https porque al final todo tu trafico pasa por un tercero (cloudflare casi siempre) y le estas dando control sobre tu navegación. Es como concentrar todo tu trafico por un unico sitio. No gracias.
#16 estoy de acuerdo.
Demasiados protocolos encapsulados en uno solo, potencialmente servidos por un único proveedor.
Yo también digo no gracias.
#16 Estoy totalmente de acuerdo, por eso voy a ver si meto el adguard que te deja ponerlo en local. Luego uso el upstream de unbound que tengo configurado que use DoT y santas pascuas.
#16 por otro lado, ahora mismo le estás dando toda tu información de navegación a tu proveedor de internet, que encantado la vende.
#16 A algun DNS te tendras que conectar, no? No es lo mismo que usar 8.8.8.8 de dns primario?
#25 No tiene que ver. Ademas puedes crear tu propio servidor dns. Puedes hacerlo con un pihole.
#52 Pero tu dns tendra que redirigir las peticiones externas a otro publico para poder resolverlas, no?
#54 Solo las que no tengas en la cache. Eventualmente muy pocas solicitudes pasan a servidores primarios. Es mucho mejor esto que el que todo tu trafico pase por terceros.
#16 Pues no estaría mal que implementasen un sistema que aleatorice a donde haces las consultas DNS ... Al menos así el perfil es más incompleto.
En DNS over TLS a nivel de S.O. sería algo más o menos parecido, solo que todo el sistema operativo pasaría por ahí.
Con DNS over HTTPS puedes hacer que cada aplicación que lo soporte utilice un servidor DNS distinto
#1 si el pi-hole lo tienes en tu red local no te hace falta cifrar el dns entre tú y el pihole
#19 Ya, el problema es que si no tienes la cadena completa, no te deja luego ocultar el nombre.
#19 Pero si no tienes configurado Pi-Hole con Unbound o semejantes Pi-Hole actúa como relay DNS y la petición la debe de realizar de la misma manera que la realizaría tu ordenador. Resultado, la petición sale igualmente al exterior sin estar cifrada.
#26 Yo sinceramente no he tenido problemas con el Android Firefox Beta.
Diría que está más cerca del Firefox normal de escritorio, y que el Android Firefox está más cerca del Firefox ESR de escritorio.
Muy bueno.
¿Esto no aplica al bloqueo de thepiratebay en España?
#22 Yo para acceder a thepitarebay lo hago a traves de Unblockit (buscas en el navegador "unblockit" y voy al subreddit pertinente donde hay un enlace que actualizan constantemente).
Gracias por el envío, pero me guardo la información originales:
https://support.mozilla.org/en-US/kb/dns-over-https
https://support.mozilla.org/es/kb/faq-encrypted-client-hello
Currently, ECH in Firefox is available by default but only active when DoH is enabled. --> #22 #27 #28 #34 Solo con pasar de Protección predeterminada a Protección aumentada ya accedes a piratebay.
#36 ECH lo habilité a mano porque en una de las máquinas donde lo quería activar, lo que no quería es que el navegador se fuese directamente al servicio DNS elegido se saltase los registros que hay en el archivo hosts del sistema operativo. Esto es porque ciertos sitios que tengo en ese archivo no dependan de consultas DNS externas.
Para securizar las consulas DNS ya había configurado DNSoverTLS en el S.O., que no se salta el archivo hosts.
#27 Joder, pues me da el apaño para Library Genesis. ¡Gracias por la sugerencia!
#47 Me alegra que te sirva.
#22 Con esto puedes acceder a www.thepiratebay.org sin problema.
#28 Bueno, yo tambien he activado ECH, no se si solo con DoH es suficiente.
#22 Con DoH o DoT más ECH en el navegador, si, te saltas el bloqueo de ThePirateBay.
Pues tengo la impresión de que después de activarlo me va un pelín más rápido el internete.
#12 En el móvil activé DNSover TLS, a través de una APP (creo que no hay otra forma), y a algunas aplicaciones les costaba conectar.
#32 En mi caso lo hice en el ordenador. Luego pruebo en Android.
#35 Si lo consigues hacer funcionar sin una app externa te agradecería mucho que compartas la info (y si es posible que tenga fallback por si falla en algún momento las consultas dns seguras)
Si puedo prefiero no utilizar apps para cosa que debería gestionar el S.O.
¿Es el navegador el sitio donde se debería resolver esto? ¿no debería hacerlo el sistema operativo, y que el navegador lo usara?
Independientemente del tema, buena noticia.
#13 En Windows 11 puedes usar DNSoverTLS con cierta facilidad (no sé en Windows 10), y puedes poner DNS alternativos, para IPv6, etc . En Kubuntu me costó un poquito (ya sabes, tienen muchas formas distintas posibles de hacer resoluciones DNS, gestionar la conexión a internet, etc, y la información es algo dispersa), la mitad la pude hacer por GUI, pero la otra me tocó hacerla buscando info, modificando archivos a mano y equivocándome y buscando parámetros y posibles valores de esos parámetros. Además así puedes poner más servidores DNS (ej, uno de cada proveedor) , los de IPv6, los fallback por si fallan, etc.
Aunque aun no he comprobado a través del IDC si funciona realmente .
Cambiando un poco de tema: En Thunderbird también se puede habilitar los parámetros de ECH, a través del about:config, para que se incluya el cifrado del dominio en las peticiones TLS. Creo que la parte de elegir el DNS para usar uno con DoH no. Pero si tienes DoT a nivel de sistema operativo se soluciona esa parte.
Da igual si navegas desde el móvil. En la mayoría de los móviles, tal y como vienen de fábrica, por no decir casi en todos, y salvo que hagas root, no puedes desactivar la opción de usar los DNS de la compañia móvil que usas.
Yo como el tonto del pueblo no me entero de nada. Sólo sé que si quiero entrar en muchas sedes electrónicas de la administracción o de empresas con fire fox en las que tengo cuenta no me deja porque dice que son potencialmente peligrosas. No me sirve ni entender el riesgo y entrar de todos modos ni me deja "entiendo el riesgo entrar de todos modos". Sencillamente tengo qie cambiar de navegador para hacer trámites en la administración. Pero con los nombrajos que usais aquí, soy el tonto en pueblo que muchas veces ayudo a mis amigos y familiares a hacer trámites por internet.
#23No es obligatorio usar sus DNS, puedes cambiarlos. Y en teoria tus datos estan bajo legislacion europea
Relacionada Cómo activar ECH en Chrome para acceder a webs bloqueadas por las operadoras
Cómo activar ECH en Chrome para acceder a webs blo...
bandaancha.euNo funciona en Android
#3 Android Firefox Beta sí permite realizar los cambios pertinentes: https://www.reddit.com/r/privacy/comments/13canhc/a_guide_on_how_you_can_enable_ech_and_http3_in/
Resultados comprobados usando esta dirección: https://www.cloudflare.com/ssl/encrypted-sni/
#7 La verdad es que yo hace tiempo que paso de instalarme betas y de estar arreglando cosas por hacerlo. Lo que hice fue instalarme una extensión que al menos hace las consultas DNS a través de DNSoTLS, y usar chrome si quiero mirar webs en el trabajo y que no se vean en el iDC