Qué es DoH: DNS mediante HTTPS

4min

Actualmente, más del 80% de los sitios de Internet se transmiten mediante HTTPS, usando comunicaciones encriptadas para aumentar la seguridad. Sin embargo, una parte fundamental del proceso de acceso a las páginas web, la que involucra a los servidores de nombres de dominio (DNS), todavía se realiza mediante HTTP. Hoy os queremos hablar de DoH, un nuevo protocolo que aporta más de seguridad y  permite usar los servicios de DNS a través de transmisiones seguras mediante HTTPS.

Índice

Qué es DoH

DoH corresponde con las siglas de DNS over HTTPS y como el nombre indica es una solución que permite beneficiarse de HTTP y sus comunicaciones seguras para el acceso a los servidores de nombres de dominio.

Mediante DoH se pueden hacer consultas en los servidores de DNS usando tráfico encriptado, tanto en las consultas al servidor como en las respuestas. El modo de encriptación es el mismo que se utiliza en las transferencias HTTPS para el acceso a las páginas web. Por supuesto, los servidores involucrados deben de soportar DoH a la hora de resolver los nombres de dominio.

Todavía en estos momentos DoH es una tecnología cuya definición se encuentra en progreso, aunque ya se ha publicado una especificación que pretende estandarizarlo y desde 2018 empresas como Google o la Fundación Mozilla están haciendo pruebas con él. Gracias al acceso a los servidores de nombres a través de HTTPS, se ha podido demostrar no solo mayor grado de seguridad sino también un rendimiento más elevado en las consultas.

Qué es DNS

DNS son las siglas de Domain Name System y básicamente son servicios que consiguen hacer corresponder nombres de dominio, fáciles de recordar por humanos, por direcciones IP con las que se identifican los servidores de Internet.

Los servidores DNS son una de las piezas fundamentales en el tráfico de Internet y funcionan mediante el protocolo HTTP. Podemos encontrar una información detallada en el post DNS (Domain Name System).

Por qué es útil contar con DNS sobre HTTPS

El principal motivo de usar DoH es el aumento de la seguridad, sin embargo los servidores de DNS sobre HTTP también consiguen mejorar el rendimiento de las consultas a los servidores de nombres.

Mejoras de la seguridad 

Gracias a las comunicaciones seguras es posible aportar un grado de confiabilidad mayor en los servidores de nombres. Básicamente porque se hace imposible escuchar las comunicaciones entre los ordenadores de la red y los servidores de DNS.

Las ventajas son múltiples, como conseguir evitar algunos de los ataques típicos en el uso de las DNS como el conocido man-in-the-middle (hombre en el medio), que consiste en escuchar las comunicaciones de red y modificar la respuesta de los servidores consultados.

Gracias a DoH las consultas realizadas a los servidores de DNS viajan encriptadas, usando el puerto 443, igual que las comunicaciones con los servidores seguros. El cifrado hace imposible saber qué se está consultando y también hacerse pasar por el servidor modificando la respuesta.

Mejora del rendimiento 

Según las pruebas realizadas, DNS mediante HTTPS también consigue mejorar el desempeño de las comunicaciones en Internet, gracias a diversos cambios implementados en el protocolo de los servidores de nombres.

En la implementación de DoH se puede obtener mayor rapidez de respuesta porque no se tiene que resolver todo el dominio o subdominio, sino solo la parte mínima necesaria implicada con el servidor consultado. Por tanto, las comunicaciones se mantienen más ligeras.

Inconvenientes

Sin embargo, no todas las voces están a favor de DNS a través de HTTPS, ya que esa misma encriptación hace muy complicado monitorizar los accesos de los ordenadores a los dominios de Internet.

Por ejemplo, la mayor parte del software de control de acceso a contenidos se basa en que el acceso a las DNS de los servicios consultados se transmite por HTTP, por lo que es posible saber qué páginas web están siendo consultadas por los navegadores y otros programas que acceden a Internet. Aplicaciones como el control parental tendrían mucho más difícil su funcionamiento si se activa DoH, o incluso haría imposible su trabajo.

Por otra parte, los proveedores o ISP no podrían monitorizar los accesos a los servicios de Internet y realizar ciertas reglas que actualmente se producen en el tráfico de Internet. Tampoco sería fácil a las instituciones bloquear el tráfico a determinados dominios de Internet como se hace actualmente.

Fernán García de Zúñiga

Productos relacionados: