Què és DNS-Over-HTTPS i com s'activa al vostre dispositiu (o navegador)
- Categoria: Guies
DNS-over-HTTPS (DNS segur) és una nova tecnologia que té per objectiu fer la navegació web segura xifrant la comunicació entre l’ordinador client i el servidor DNS.
Aquest nou estàndard d’Internet s’està adoptant àmpliament. La llista d’adopcions inclou Windows 10 (versió 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera i Vivaldi per nomenar alguns.
En aquest article, parlarem dels avantatges i desavantatges de DNS-over-HTTPS i de com habilitar aquest protocol als vostres dispositius.
També parlarem de com provar si DoH està habilitat per als vostres dispositius o no.
Anem a començar. Resum ràpid amagar-se 1 Una senzilla explicació de DNS-over-HTTPS i el seu funcionament 2 Pros i contres de DNS-over-HTTPS 2.1 DoH no habilita la privadesa completa de l'usuari 2.2 DoH no s'aplica a les consultes HTTP 2.3 No tots els servidors DNS admeten DoH 2.4 DoH serà un mal de cap per a les empreses 3 L’ús de DNS sobre HTTPS alenteix la navegació? 4 Com s'activa o es desactiva el DNS sobre HTTPS a Windows 10 4.1 Ús del registre de Windows 4.2 Ús de la política de grup 4.3 Ús de PowerShell (línia d'ordres) 5 Com s'activa o es desactiva DNS-over-HTTPS als vostres navegadors 5.1 Activeu DNS-over-HTTPS a Google Chrome 5.2 Activeu DNS-over-HTTPS a Mozilla Firefox 5.3 Activeu DNS-over-HTTPS a Microsoft Edge 5.4 Activeu DNS-over-HTTPS al navegador Opera 5.5 Activeu DNS-over-HTTPS al navegador Vivaldi 6 Com s'activa el DNS sobre HTTPS a Android 7 Com es comprova si utilitza DNS sobre HTTPS? 8 Llista de servidors de noms que admeten DoH
Una senzilla explicació de DNS-over-HTTPS i el seu funcionament
DNS-over-HTTPS (DoH) és un protocol per xifrar consultes DNS entre l’ordinador i el servidor DNS. Es va presentar per primera vegada a l’octubre del 2018 ( IETF RFC 8484 ) amb l'objectiu d'augmentar la seguretat i la privadesa de l'usuari.
Els servidors DNS tradicionals fan ús del port DNS 53 per a la comunicació, mentre que DNS-over-HTTPS fa servir el port HTTPS 443 per comunicar-se de forma segura amb el client.
Tingueu en compte que, tot i que DoH és un protocol de seguretat, no impedeix que els ISP facin el seguiment de les vostres sol·licituds. Simplement xifra les dades de la consulta DNS entre l’ordinador i l’ISP per evitar problemes com ara falsificació, atac d’home enmig, etc.
Anem a entendre-ho amb un exemple senzill.
Aquí és com funciona el DNS:
- Si voleu obrir el nom de domini itechtics.com i sol·licitar-lo mitjançant el vostre navegador.
- El vostre navegador envia una sol·licitud al servidor DNS configurat al vostre sistema, per exemple, 1.1.1.1.
- El solucionari recursiu DNS (1.1.1.1) va als servidors arrels del domini de nivell superior (TLD) (.com en el nostre cas) i demana els servidors de noms d’itechtics.com.
- A continuació, el servidor DNS (1.1.1.1) va als servidors de noms d’itechtics.com i demana l’adreça IP del nom DNS d’itechtics.com.
- El servidor DNS (1.1.1.1) transporta aquesta informació al navegador i el navegador es connecta a itechtics.com i rep una resposta del servidor.
Tota aquesta comunicació des del vostre ordinador al servidor DNS als servidors DNS TLD als servidors de noms del lloc web i posterior es realitza en forma de missatges de text senzills.
Això significa que qualsevol persona pot controlar el trànsit web i saber fàcilment quins llocs web obriu.
DNS-over-HTTPS xifra totes les comunicacions entre l’ordinador i el servidor DNS, cosa que la fa més segura i menys propensa a atacs d’home-in-the-middle i altres de falsificació.
Anem a entendre-ho amb un exemple visual:
Quan el client DNS envia consultes DNS al servidor DNS sense utilitzar DoH:
El DNS per HTTPS no està habilitat
Quan un client DoH utilitza el protocol DoH per enviar trànsit DNS al servidor DNS habilitat per DoH:
S'ha activat el DNS mitjançant HTTPS
Aquí podeu veure que el trànsit DNS del client al servidor està xifrat i ningú no sap què ha sol·licitat el client. La resposta DNS del servidor també està xifrada.
Pros i contres de DNS-over-HTTPS
Tot i que DNS-over-HTTPS substituirà lentament el sistema DNS heretat, presenta els seus propis avantatges i possibles problemes. Analitzem-ne alguns aquí.
DoH no habilita la privadesa completa de l'usuari
DoH es presenta com la següent gran cosa en privadesa i seguretat dels usuaris, però al meu entendre, només es centra en la seguretat dels usuaris i no en la privadesa.
Si sabeu com funciona aquest protocol, sabreu que DoH no impedeix als ISP rastrejar les sol·licituds de DNS dels usuaris.
Fins i tot si l’ISP no us pot fer un seguiment mitjançant el DNS perquè utilitzeu un proveïdor de DNS públic diferent, hi ha molts punts de dades que encara estan oberts als ISP per fer el seguiment. Per exemple, Camps d’indicació del nom del servidor (SNI) i Connexions del protocol d’estat del certificat en línia (OCSP) etc.
Si voleu més privadesa, consulteu altres tecnologies com DNS-over-TLS (DoT), DNSCurve, DNSCrypt, etc.
DoH no s'aplica a les consultes HTTP
Si obriu un lloc web que no funciona amb SSL, el servidor DoH tornarà a utilitzar la tecnologia DNS heretada (DNS-over-HTTP) també coneguda com Do53.
Però si utilitzeu comunicació segura a tot arreu, definitivament DoH és millor que fer servir les tecnologies DNS antigues i insegures de bare metal.
No tots els servidors DNS admeten DoH
Hi ha un gran nombre de servidors DNS heretats que caldrà actualitzar per donar suport a DNS-over-HTTPS. Això trigarà molt a adoptar-se de manera generalitzada.
Fins que la majoria dels servidors DNS no admetin aquest protocol, la majoria dels usuaris es veuran obligats a utilitzar els servidors DNS públics que ofereixen les grans organitzacions.
Això comportarà més problemes de privadesa, ja que la majoria de les dades DNS es recopilaran en algunes ubicacions centralitzades de tot el món.
Un altre desavantatge de l'adopció anticipada de DoH és que, si un servidor DNS global cau, sortirà la majoria dels usuaris que utilitzen el servidor per a la resolució de noms.
DoH serà un mal de cap per a les empreses
Tot i que DoH millorarà la seguretat, suposarà un mal de cap per a empreses i organitzacions que supervisin les activitats dels seus empleats i utilitzin eines per bloquejar parts NSFW (no segures per al treball) de la web.
Els administradors de xarxes i sistemes tindran dificultats per fer front al nou protocol.
L’ús de DNS sobre HTTPS alenteix la navegació?
Hi ha dos aspectes de DoH que cal tenir en compte a l’hora de provar el rendiment amb el protocol Do53 heretat:
- Rendiment de resolució de noms
- Rendiment de càrrega de pàgines web
El rendiment de la resolució de noms és la mètrica que fem servir per calcular el temps que triga el servidor DNS a proporcionar-nos l’adreça IP del servidor necessària del lloc web que volem visitar.
El rendiment de la càrrega de pàgines web és la mètrica real de si experimentem una desacceleració quan naveguem per Internet mitjançant el protocol DNS sobre HTTPS.
Ambdues proves van ser realitzades per samknows i el resultat final és que hi ha una diferència insignificant en el rendiment entre DNS-over-HTTPS i els protocols Do53 heretats.
Podeu llegir el document estudi de casos de rendiment complet amb estadístiques a samknows .
A continuació, es mostren les taules resum de cada mètrica que hem definit anteriorment. (Feu clic a la imatge per ampliar-la)
Prova de rendiment de resolució de noms
Taula de rendiment dels ISP DoH vs Do53
Prova de rendiment de la càrrega de pàgines web
Rendiment de càrrega de pàgines web DoH vs Do53
Com s'activa o es desactiva el DNS sobre HTTPS a Windows 10
Windows 10 Version 2004 vindrà amb DNS-over-HTTPS activat per defecte. Per tant, un cop publicada la propera versió de Windows 10 i actualitzada a la darrera versió, no caldrà habilitar DoH manualment.
Tot i això, si utilitzeu Windows 10 Insider Preview, haureu d’habilitar DoH manualment mitjançant els mètodes següents:
Ús del registre de Windows
- Anar a Executa -> regedit . S’obrirà l’Editor del registre de Windows.
- Obriu la següent clau de registre:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
- Feu clic amb el botó dret a sobre Paràmetres carpeta i seleccioneu Novetat -> DWORD (32 bits) Valor.
- Posa-li un nom EnableAutoDoh .
- Definiu el valor de l'entrada EnableAutoDoh a 2 .
Haureu de reiniciar l'ordinador perquè els canvis entrin en vigor.
Tingueu en compte que aquest canvi només entrarà en vigor quan utilitzeu els servidors DNS que admeten DNS-over-HTTPS. A continuació trobareu un llista de proveïdors de DNS públics que admeten DoH .
Les versions anteriors de Windows 10, incloses les versions 1909 i 1903, no admeten DoH per defecte.
Ús de la política de grup
Conservo aquesta secció per a un ús futur. Ara mateix, no hi ha regles de política de grup per a DNS-over-HTTPS. Omplirem els passos quan Microsoft els faci disponibles per a Windows 10 versió 2004.
Ús de PowerShell (línia d'ordres)
Conservo aquesta secció per a un ús futur. Si Microsoft proporciona una manera d’habilitar o desactivar DoH mitjançant la línia d’ordres, enumerarem els passos aquí.
Com s'activa o es desactiva DNS-over-HTTPS als vostres navegadors
Algunes aplicacions admeten passar per alt el servidor DNS configurat pel sistema i utilitzen DNS-over-HTTPS. Gairebé tots els navegadors moderns ja admeten DoH o donaran suport al protocol en un futur proper.
Activeu DNS-over-HTTPS a Google Chrome
- Obriu Google Chrome i aneu a l'URL següent:
chrome://settings/security
- Sota Seguretat avançada , activar Utilitzeu DNS segur .
- Després d'activar el DNS segur, hi haurà dues opcions:
- Amb el vostre proveïdor de serveis actual
- Amb els proveïdors de serveis recomanats de Google
Podeu seleccionar el que més us convingui. La segona opció superarà la configuració de DNS del vostre sistema.
Activeu el DNS segur a Google Chrome
Per desactivar DoH, simplement canvieu el fitxer Utilitzeu DNS segur configuració a apagat .
Activeu DNS-over-HTTPS a Mozilla Firefox
- Obriu Firefox i aneu a l'URL següent:
about:preferences
- Sota General , anar a Configuració de xarxa i feu clic al botó Configuració botó. O simplement premeu el botó I tecla de teclat per obrir la configuració.
- Desplaceu-vos fins a la part inferior i comprovar Activeu el DNS mitjançant HTTPS .
- Al menú desplegable, podeu triar el vostre servidor DNS segur preferit.
Activeu DNS-over-HTTPS a Microsoft Edge
- Obriu Microsoft Edge i aneu a l'URL següent:
edge://flags/#dns-over-https
- Seleccioneu Activat des del menú desplegable que hi ha al costat Cerques DNS segures .
- Reinicieu el navegador perquè els canvis entrin en vigor.
Activeu DNS-over-HTTPS al navegador Opera
- Obriu el navegador Opera i aneu a Configuració (Alt + P).
- Amplia Advanced al menú de l'esquerra.
- A Sistema, activar Utilitzeu DNS sobre HTTPS en lloc de la configuració DNS del sistema .
- Reinicieu el navegador perquè els canvis entrin en vigor.
La configuració de DNS segura no es va fer efectiva fins que vaig desactivar el servei VPN integrat de l'Opera. Si teniu problemes per activar DoH a Opera, proveu de desactivar la VPN.
Activeu DNS-over-HTTPS al navegador Vivaldi
- Obriu el navegador Vivaldi i aneu a l'URL següent:
vivaldi://flags/#dns-over-https
- Seleccioneu Activat des del menú desplegable que hi ha al costat Cerques DNS segures .
- Reinicieu el navegador perquè els canvis entrin en vigor.
Com s'activa el DNS sobre HTTPS a Android
Android 9 Pie admet la configuració de DoH. Podeu seguir els passos següents per activar DoH al vostre telèfon Android:
- Anar a Configuració → Xarxa i Internet → Avançat → DNS privat .
- Podeu establir aquesta opció a Automàtic o bé podeu especificar un proveïdor de DNS segur.
Si no podeu trobar aquesta configuració al telèfon, podeu seguir els passos següents:
- Baixeu i obriu l'aplicació QuickShortcutMaker de Google Play Store.
- Aneu a Configuració i toqueu:
com.android.settings.Settings$NetworkDashboardActivity
Això us portarà directament a la pàgina de configuració de xarxa, on trobareu l'opció de DNS segur.
Com es comprova si utilitza DNS sobre HTTPS?
Hi ha dues maneres de comprovar si DoH està habilitat correctament per al vostre dispositiu o el navegador.
La manera més senzilla de comprovar-ho és anar a aquesta pàgina de comprovació de l'experiència de navegació cloudflare . Feu clic a Comproveu El meu navegador botó.
A DNS segur, rebreu el següent missatge si utilitzeu DoH: pktmon filter remove
Si no utilitzeu DoH, rebreu el següent missatge: pktmon filter add -p 53
Windows 10 Version 2004 també proporciona una manera de controlar els paquets del port 53 en temps real. Això ens indicarà si el sistema utilitza DNS-over-HTTPS o l’herència Do53.
- Obriu PowerShell amb privilegis administratius.
- Executeu les ordres següents:
pktmon start --etw -m real-time
Això elimina tots els filtres actius, si n'hi ha.You are using encrypted DNS transport with 1.1.1.1
Això afegeix el port 53 per controlar-lo i registrar-lo.You may not be using secure DNS.
Això comença amb la supervisió en temps real del port 53.
Si veieu que es mostra molt trànsit a la llista, això vol dir que s’utilitza Do53 heretat en lloc de DoH.
Tingueu en compte que les ordres esmentades només funcionaran a Windows 10 versió 2004. En cas contrari, us donarà un error: paràmetre desconegut 'en temps real'
Llista de servidors de noms que admeten DoH
Aquí teniu la llista de proveïdors de serveis DNS que admeten DNS-over-HTTPS.
Proveïdor | Nom de l'amfitrió | Adreça IP |
AdGuard | dns.adguard.com | 176.103.130.132 176.103.130.134 |
AdGuard | dns-family.adguard.com | 176.103.130.132 176.103.130.134 |
Navegació neta | family-filter-dns.cleanbrowsing.org | 185.228.168.168 185.228.169.168 |
Navegació neta | adult-filter-dns.cleanbrowsing.org | 185.228.168.10 185.228.169.11 |
Cloudflare | one.one.one.one 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 1.0.0.1 |
Cloudflare | security.cloudflare-dns.com | 1.1.1.2 1.0.0.2 |
Cloudflare | family.cloudflare-dns.com | 1.1.1.3 1.0.0.3 |
dns.google google-public-dns-a.google.com google-public-dns-b.google.com | 8.8.8.8 8.8.4.4 | |
NextDNS | dns.nextdns.io | 45.90.28.0 45.90.30.0 |
OpenDNS | dns.opendns.com | 208.67.222.222 208.67.220.220 |
OpenDNS | familyshield.opendns.com | 208.67.222.123 208.67.220.123 |
OpenDNS | sandbox.opendns.com | 208.67.222.2 208.67.220.2 |
Quad9 | dns.quad9.net rpz-public-resolver1.rrdns.pch.net | 9.9.9.9 149.112.112.112 |
Tot i que DNS-over-HTTPS fa que la web sigui més segura i s’hauria d’implementar de manera uniforme a tota la xarxa (com en el cas d’HTTPS), aquest protocol donarà malsons als administradors de sistemes.
Els administradors de sistemes han de trobar maneres de bloquejar els serveis de DNS públics mentre permeten que els seus servidors DNS interns facin servir DoH. Cal fer-ho per mantenir els equips de control i les polítiques de restricció actuals actius a tota l’organització.
Si he trobat a faltar alguna cosa a l'article, si us plau, feu-m'ho saber als comentaris següents. Si us ha agradat l'article i heu après alguna cosa nova, compartiu-lo amb els vostres amics i a les xarxes socials i subscriviu-vos al nostre butlletí.