1 nov. 2018

DNS sobre HTTPS (DoH) ya está aquí, la polémica está servida

Hace muy poco, la IETF ha elevado a RFC la propuesta de DNS sobre HTTPS. Sí, resolver dominios a través del conocido HTTPS, con su POST, su GET e intercambio de certificados para cifrar y autenticar. La noticia tiene mucho más calado de lo que pueda parecer. Por dos razones: primera, es un nuevo paradigma de resolución que remueve los cimientos de la red. Segunda, porque el espaldarazo de disponer de RFC unido al interés mostrado por los navegadores (ávidos del poder que esto les confiere) ha hecho que en tiempo récord ya se hayan lanzado a su implementación. Dicen que garantiza tu privacidad, sí, pero… ¿Es buena o mala idea?

DoH (DNS over HTTPS) es muy simple. En vez de acudir al puerto 53 de un servidor (digamos, el conocido 8.8.8.8) y preguntarle por un dominio a través de un paquete UDP o TCP, DoH estandariza la construcción de un GET o POST a un dominio HTTPS y la respuesta será el registro A y AAAA (el RFC no especifica otros registros) con la IP. Por supuesto tiene más detalles como la solución ingeniosa de que la cabecera cache-control va a convertirse en el TTL. Todo cifrado punto a punto, obviamente. ¿Recordáis cuando en un hotel se podía tunelizar a través del protocolo DNS (habitualmente no restringido) la navegación HTTP para no pagar la WiFi? Pues ahora, al revés.

¿Cómo hemos llegado a esto?

El protocolo DNS es como un camello. A lo largo del tiempo, se le ha cargado con tanto peso, se le ha obligado a soportar tantos parches, remedios y "plugins", que ahora pacientemente se arrastra por el desierto sin terminar de resolver ningún problema del todo excepto para lo que fue diseñado. Y por una u otra razón, todavía ni siquiera se ha conseguido la deseada sºeguridad y/o privacidad. No porque no se haya propuesto (de hecho hay decenas de propuestas alternativas o complementarias entre sí), sino porque ninguna se ha adoptado masivamente. Desde DNSSEC, pasando por DNS over TLS (DoT), que como se intuye, es seguir con el mismo protocolo DNS, pero con un túnel TLS (algo así como POP3 Y SPOP3). DoT, lo más parecido a DoH, utiliza el puerto 853 y efectivamente, también oculta el contenido del tráfico y autentica al servidor. Este RFC se propuso en 2016. Pero no ha calado tanto como se esperaba. Desde luego, no ha causado el revuelo levantado con DoH.
DNS sobre HTTPS imagen
Por cierto, también existe DNS over DTLS, DNS over QUIC, DNS over TOR... Existe hasta un DoH que devuelve un Json, pero esto es una adaptación especial que usa Google (aunque también lo hace Cloudfare) más potente (por ejemplo, permite consultar otros registros que no sean solo A o AAAA).

Contenido completo en fuente original ElevenPath

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!