Gracias al éxito de proyectos como Let’s Encrypt y los recientes cambios de UX en los navegadores, la mayoría de las cargas de las páginas WEB están ahora cifradas con TLS. Pero DNS, el sistema que busca la dirección IP de un sitio cuando se escribe el nombre del sitio en el navegador, permanece desprotegido por el cifrado.
Por esta razón, cualquier persona que se encuentre en el camino que va desde tu red hasta tu servidor de DNS (donde los nombres de dominio se convierten en direcciones IP) puede recopilar información sobre los sitios que visitas. Esto significa que ciertos curiosos pueden seguir haciendo un perfil de la actividad online elaborando una lista de los sitios que se visitan, o una lista de las personas que visitan un sitio en particular. Los servidores de DNS maliciosos o los routers también pueden alterar las peticiones de DNS, impidiendo el acceso a los sitios o incluso el redireccionamiento a versiones falsas de los sitios que se han solicitado.
Un equipo de ingenieros está trabajando para solucionar estos problemas con «DNS over HTTPS», un proyecto tecnológico en desarrollo a través de la Internet Engineering Task Force que ha sido liderado por Mozilla. DNS over HTTPS previene la escucha indiscreta, la suplantación de identidad y el bloqueo mediante el cifrado de las solicitudes de DNS con TLS.
Junto con tecnologías como TLS 1.3 y SNI cifrado, el DNS over HTTPS tiene el potencial de proporcionar una mayor protección de la privacidad. Sin embargo, muchos proveedores de servicios de Internet y participantes en el proceso de normalización han expresado una gran preocupación por el desarrollo del protocolo. La Asociación de Proveedores de Servicios de Internet del Reino Unido llegó incluso a llamar a Mozilla un «villano de Internet» por su papel en el desarrollo de la DNS over HTTPS.
A los ISP les preocupa que la DNS over HTTPS complique el uso de portales cautivos, que se utilizan para interceptar conexiones de forma breve con el fin de obligar a los usuarios a conectarse a una red, y que dificulten el bloqueo de contenido a nivel de resolución. El DNS over HTTPS puede por ejemplo perjudicar los planes en el Reino Unido para bloquear el acceso a la pornografía online (el bloqueo, introducido como parte de la Ley de Economía Digital de 2017, estaba previsto que se implementara a través del DNS).
Los integrantes varias organizaciones civiles han expresado preocupación por los planes de que los navegadores usen automáticamente servidores específicos de DNS, anulando la resolución configurada por el sistema operativo (que hoy en día es la que más a menudo sugiere el ISP). Esto contribuiría a la centralización de la infraestructura de Internet, ya que miles de servidores de DNS utilizados para las solicitudes web serían sustituidos por un pequeño puñado.
Esta centralización aumentaría el poder de los operadores de resolución de DNS elegidos por los proveedores de navegadores, lo que permitiría a los operadores de resolución censurar y supervisar la actividad en línea de los usuarios.
Esta capacidad llevó a Mozilla a impulsar políticas fuertes que prohíben este tipo de censura y monitorización. Los méritos de confiar en diferentes entidades para este propósito son complicados, y diferentes usuarios pueden tener razones para tomar diferentes decisiones.
Pero para evitar que esta implementación tecnológica y se produzca un efecto centralizado tan fuerte, EFF está pidiendo la implementación generalizada de DNS sobre soporte HTTPS por parte de los propios proveedores de servicios de Internet. Esto permitirá que los beneficios de seguridad y privacidad de la tecnología se hagan realidad, a la vez que ofrece a los usuarios la opción de seguir utilizando la enorme variedad de servidores DNS proporcionados por los ISP que suelen utilizar en la actualidad. Varios proveedores de servicios de Internet que protegen la privacidad ya han aceptado la solicitud.
EFF está muy entusiasmada con la protección de la privacidad que brindará el DNS over HTTPS, sobre todo porque muchos desarrolladores de estándares e infraestructura de Internet han señalado las consultas DNS no cifradas como excusa para retrasar la activación del cifrado en cualquier otro lugar de la red. Pero como con cualquier cambio fundamental en la infraestructura de Internet, la DNS over HTTPS debe desplegarse de una manera que respete los derechos de los usuarios.
Los navegadores deben ser transparentes sobre quién tendrá acceso a los datos de solicitud de DNS y dar a los usuarios la oportunidad de elegir su propia solución. Los ISPs y otros operadores de servidores DNS públicos deberían implementar soporte para DNS cifrado para ayudar a preservar un ecosistema descentralizado en el que los usuarios tengan más opciones de los que depender para varios servicios.
También deben comprometerse con las protecciones de datos como las que Mozilla ha descrito en su política Trusted Recursive Resolver. Con estos pasos, DNS over HTTPS tiene el valor de cerrar una de las brechas de privacidad más grandes de la web.
