El protocolo DNS-over-HTTPS (DoH) no es la panacea de la privacidad que muchos han estado defendiendo en los últimos meses. El resumen es que la mayoría de los expertos piensan que el DoH no es bueno, y la gente debería concentrar sus esfuerzos en implementar mejores formas de encriptar el tráfico de DNS, como el DNS sobre TLS, en lugar del DoH.
No previene el rastreo de los proveedores de internet (en tanto en cuanto se requiere un cifrado https en todos los puntos, y dado que, en todo caso, pueden ver las direcciones IP finales) Este punto me parece bastante obvio, no es un descubrimiento, sino una consecuencia natural de la infraestructura.
Al usar servidores DNS centralizados, atenta contra la privacidad (quien conozca tus metadatos, puede identificar las peticiones en los servidores, y además se está dando a estos servidores un log que relaciona ip's con peticiones DNS)
Por otro lado mencionan que bloquea las herramientas de seguridad basada en los filtros DNS (también obvio) a nivel de organización o estatal, lo cual no me parece un problema de privacidad, sinceramente.
1- Se está implementando a nivel de aplicación en lugar de SO, con los problemas que ello supone (dificil control, servidores hardcodeados).
2- Nosotros, “los buenos”, necesitamos ver tu tráfico para protegerte. Supongo que decían lo mismo cuando se forzó HTTPS hace unos años, o no se atrevieron, pero se podría argumentar lo mismo.
Las demás quejas son ridículas. Sí, por culpa de SNI tienes la misma información en el handshake TLS, pero también se está trabajando en solucionar eso. No es un problema de DoH.
Comentarios
Resumen rápido:
No previene el rastreo de los proveedores de internet (en tanto en cuanto se requiere un cifrado https en todos los puntos, y dado que, en todo caso, pueden ver las direcciones IP finales) Este punto me parece bastante obvio, no es un descubrimiento, sino una consecuencia natural de la infraestructura.
Al usar servidores DNS centralizados, atenta contra la privacidad (quien conozca tus metadatos, puede identificar las peticiones en los servidores, y además se está dando a estos servidores un log que relaciona ip's con peticiones DNS)
Por otro lado mencionan que bloquea las herramientas de seguridad basada en los filtros DNS (también obvio) a nivel de organización o estatal, lo cual no me parece un problema de privacidad, sinceramente.
#2 Y aunque exista https en todos los puntos, tampoco nos libramos de que nuestros ISPs sepan qué páginas visitamos, en tanto que en el SNI va la base del dominio sin cifrar.
https://www3.trustwave.com/software/8e6/hlp/r3000/files/1system_filter.html
Existe el ESNI que resuelve el problema pero todavía está en desarrollo.
#4 No me había fijado que eras el que había puesto la noticia, ni con el fondo azul
Solo veo dos quejas, lo demás es relleno.
1- Se está implementando a nivel de aplicación en lugar de SO, con los problemas que ello supone (dificil control, servidores hardcodeados).
2- Nosotros, “los buenos”, necesitamos ver tu tráfico para protegerte. Supongo que decían lo mismo cuando se forzó HTTPS hace unos años, o no se atrevieron, pero se podría argumentar lo mismo.
Las demás quejas son ridículas. Sí, por culpa de SNI tienes la misma información en el handshake TLS, pero también se está trabajando en solucionar eso. No es un problema de DoH.
Con pasar por este hilo Lluvia de críticas a Google por usar HTTPS en sus DNS: ya no pueden espiarnos
Lluvia de críticas a Google por usar HTTPS en sus ...
adslzone.netEn castellano
#1 En la versión en castellano no dicen los porqués que sí dicen en la versión en inglés. La versión en inglés es mucho más completa
#3 Por algo he enlazado a la inglesa