11 sep. 2019

Uso de DoH en Chrome y Firefox

Septiembre llega con novedades sobre DoH y su implementación en los navegadores. Mozilla y Chrome están decididos a que DNS over HTTPS sea una realidad, pero esto entra en conflicto directo con internet tal y como lo conocemos pues cambia por completo uno de sus fundamentos: la resolución DNS.

DNS-over-HTTPS es un protocolo web relativamente nuevo, que existe desde hace solo dos años. Funciona igual que el protocolo DNS original, lo que significa que su objetivo principal es tomar un nombre de dominio que un usuario escribe en un navegador y enviar una consulta a un servidor DNS para conocer la dirección IP numérica del servidor web que aloja ese sitio web.

Pero aunque el protocolo DNS clásico hace esta solicitud en texto plano, para que todos la vean, DoH empaqueta sus consultas DNS como tráfico HTTPS cifrado. El principal beneficio de DoH es que el protocolo oculta las solicitudes y respuestas de DNS en el flujo gigante de tráfico HTTPS que se mueve a través de Internet cada segundo. Esto significa que los observadores externos no pueden ver las solicitudes de DNS para adivinar a qué puede estar intentando acceder un usuario.

Este diseño hace que DoH sea un protocolo útil para omitir las listas de bloqueo basadas en DNS, ya que no habrá tráfico de DNS para filtrar.

DoH en Chrome

Chrome 78 incluirá una tabla donde se mapeen servidores DNS con sus servidores DoH equivalentes. Si Chrome detecta que existe equivalente, usará ese servidor para resolver. Así, usarás por DoH el servidor del mismo proveedor en el que confías. Pero esto deja a ciegas a los administradores que bloqueen por dominio, por ejemplo porque ahora se resuelve todo dentro del navegador y por túnel TLS. Se puede hacer un opt-out de la funcionalidad por plantilla.

Habilitar DoH en Chrome no es tan fácil, ya que Google actualmente está un poco retrasado con el soporte del protocolo. DoH funciona bien en Chrome, pero no hay una interfaz de usuario para habilitarlo o configurarlo. Ver la guía.

DoH en Firefox

Mozilla ya ha implementado el soporte para el protocolo DoH hace unos años. Actualmente, habilitar el soporte DoH en Firefox es tan fácil como presionar unos pocos botones. Ver la guía.

Mozilla está planeando implementar DoH en modo "alternativo"; es decir, si las búsquedas de nombres de dominio que usan DoH fallan o si se activan nuestras heurísticas, Firefox retrocederá y usará el DNS del sistema operativo predeterminado. Esto significa que para la minoría de usuarios cuyas búsquedas de DNS podrían fallar debido a la configuración de horizonte dividido, Firefox intentará encontrar la dirección correcta a través del DNS del sistema operativo.

Además, Firefox ya detecta que los controles parentales están habilitados en el sistema operativo y, si están vigentes, Firefox deshabilitará DoH. Del mismo modo, Firefox detectará si se han establecido políticas empresariales en el dispositivo y deshabilitará DoH en esas circunstancias. Si una política empresarial habilita explícitamente DoH, lo que creemos que sería increíble, también lo respetaremos. Si es administrador del sistema y está interesado en cómo configurar las políticas empresariales, encuentre la documentación aquí.

Opciones para proveedores de controles parentales

También están trabajando con proveedores de controles parentales, incluidos los ISP, para agregar un dominio "cebo" a sus listas de bloqueo. Esto nos ayuda en situaciones donde los controles parentales operan en la red en lugar de una computadora individual. Si Firefox determina que dominio "cebo" está bloqueado, esto indicará que los controles parentales opcionales están vigentes en la red, y Firefox deshabilitará DoH automáticamente.

Planes para habilitar las protecciones DoH por defecto

Mozilla planea implementar gradualmente DoH en los EE.UU. a partir de finales de septiembre. El plan es comenzar lentamente a habilitar DoH para un pequeño porcentaje de usuarios mientras se monitorea cualquier problema antes de habilitarlo para una audiencia más amplia.

Mozilla no activará DoH en UK tras una polémica donde los proveedores calificaron a la fundación como "villano de internet".

Fuente: Mozilla | ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!