DNS mediante TLS

DNS mediante TLS (DoT, siglas en inglés de DNS over TLS) es un protocolo de seguridad para cifrar y ajustar las consultas y respuestas del sistema de nombres de dominio (DNS) a través del protocolo de seguridad de la capa de transporte (TLS). El objetivo del método es aumentar la privacidad y la seguridad del usuario mediante la prevención de escuchas ilegales y la manipulación de los datos del DNS a través de ataques de intermediario.^[1]​

A partir de 2019, Cloudflare, Quad9, Google, Quadrant Information Security y CleanBrowsing ofrecen servicios públicos de resolución de DNS para el protocolo de seguridad DNS mediante TLS.^[2]​^[3]​^[4]​^[5]​^[6]​ En abril de 2018, Google anunció que Android Pie incluirá soporte para DNS mediante TLS con Google Public DNS.^[7]​ DNSDist, de PowerDNS también anunció soporte para DNS mediante TLS en su última versión 1.3.0.^[8]​ Los usuarios de BIND también pueden utilizar DNS mediante TLS con el software stunnel.^[9]​ Unbound soporta DNS mediante TLS desde el 22 de enero de 2018.^[10]​^[11]​

DNS disponibles públicamente

La implementación de un servidor DNS sobre TLS ya está disponible de forma gratuita por algunos proveedores de DNS públicos.^[6]​ Se ofrecen cuatro implementaciones para servidores en producción:

Proveedor	Direcciones IP (IPv4, IPv6)	Bloqueo	Puerto	DNSSEC
Cloudflare	1.1.1.1 [12]​ 1.0.0.1 [12]​ 2606:4700:4700::1111 2606:4700:4700::1001	No	853 [3]​	Sí[3]​
Google Public DNS	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844	No	853 [13]​	Sí
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe	Sí[nota 1]​	853 [14]​	Sí[14]​
CleanBrowsing	185.228.168.168 185.228.168.10 2a0d:2a00:1:: 2a0d:2a00:2::	Sí[nota 2]​	853 [15]​	Sí[15]​

Incidencias

A lo largo de su historia el DNS mediante TLS ha presentado una serie de incidencias,^[16]​ de las cuales las más importantes han sido las siguientes:

• El 11 de junio de 2019 en la versión 4.2.0 de NSD se añadió soporte para DNS mediante TLS, además de TCP Fast Open para dar la debida rapidez a las conexiones.^[17]​

Véase también

• DNS mediante HTTPS
• DNSCrypt
• DNS-based Authentication of Named Entities (DANE)
• DNSCurve

Notas

1. Dominios peligrosos.
2. Contenido para adultos

Referencias

1. Porro Sáez, Ignacio (4 de julio de 2019). «Protege tus peticiones DNS con DNS over TLS» (HTML). INCIBE. Archivado desde el original el 19 de agosto de 2019. Consultado el 19 de agosto de 2019. «DoT es un protocolo de seguridad para cifrar y empaquetar las consultas y respuestas DNS a través del protocolo TLS (Transport Layer Security), con el fin de aumentar la privacidad y seguridad de los usuarios, evitando escuchas no deseadas o la manipulación de datos DNS, como resultado de ataques man-in-the-middle (MitM).» 
2. Gallagher, Sean (8 de abril de 2018). «How to keep your ISP’s nose out of your browser history with encrypted DNS» (html). Ars Technica (en inglés). Archivado desde el original el 8 de abril de 2018. Consultado el 16 de junio de 2019. «Using Cloudflare’s 1.1.1.1, other DNS services still requires some command-line know-how.» 
3. «DNS over TLS» (html). Cloudflare (en inglés). 2 de abril de 2018. Archivado desde el original el 2 de abril de 2018. Consultado el 16 de junio de 2019. «By default, DNS is sent over a plaintext connection. DNS over TLS is one way to send DNS queries over an encrypted connection. Cloudflare supports DNS over TLS on standard port 853 and is compliant with RFC7858.» 
4. Vale, Marshall (9 de enero de 2019). «Google Public DNS now supports DNS-over-TLS» (html). Google (en inglés). Archivado desde el original el 9 de enero de 2019. Consultado el 16 de junio de 2019. «We implemented the DNS-over-TLS specification along with the RFC 7766 recommendations to minimize the overhead of using TLS. These include support for TLS 1.3 (for faster connections and improved security), TCP fast open, and pipelining of multiple queries and out-of-order responses over a single connection.» 
5. Borztmeyer, Stéphane (21 de noviembre de 2017). «Quad9, a Public DNS Resolver - with Security» (html). Centro de Coordinación de redes IP europeas (en inglés). Archivado desde el original el 20 de marzo de 2018. Consultado el 16 de junio de 2019. «Last week, the new DNS resolver Quad9 has been announced. It is a public DNS resolver with the additional benefit that it is accessible in a secure way over TLS (RFC 7858).» 
6. Z, Nykolas (12 de mayo de 2018). «Troubleshooting DNS over TLS» (html). Medium (servicio) (en inglés). Archivado desde el original el 15 de mayo de 2018. Consultado el 16 de junio de 2019. 
7. Kline, Erik; Schwartz, Ben (17 de abril de 2018). «DNS over TLS support in Android P Developer Preview» (html). Google Security Blog (en inglés). Archivado desde el original el 17 de abril de 2018. Consultado el 16 de junio de 2019. «DNS over TLS mode automatically secures the DNS queries from all apps on the system. However, apps that perform their own DNS queries, instead of using the system's APIs, must ensure that they do not send insecure DNS queries when the system has a secure connection. Apps can get this information using a new API: LinkProperties.isPrivateDnsActive()». 
8. «DNS-over-TLS» (html). PowerDNS (en inglés). 5 de julio de 2018. Archivado desde el original el 5 de julio de 2018. Consultado el 16 de junio de 2019. «Since version 1.3.0, dnsdist supports experimental DNS-over-TLS support. To see if the installation supports this, run dnsdist --version. If the output shows dns-over-tls with one or more SSL libraries in brackets, DNS-over-TLS is supported.» 
9. Dupont, Francis (4 de junio de 2016). «DNS over TLS» (html). ISC (en inglés). Archivado desde el original el 20 de octubre de 2017. Consultado el 16 de junio de 2019. «RFC 7858 specifies DNS over TLS (Transport Layer Security). This article explains how to provide a DNS over TLS service using bind9 and stunnel (https://www.stunnel.org).». 
10. «Changelog» (txt). NLnet Labs (en inglés). 19 de junio de 2018. Archivado desde el original el 7 de agosto de 2018. Consultado el 16 de junio de 2019. 
11. Aleksandersen, Daniel (7 de junio de 2018). «Actually secure DNS over TLS in Unbound» (html). Ctrl Blog (en inglés). Archivado desde el original el 7 de junio de 2018. Consultado el 16 de junio de 2019. 
12. Huston, Geoff (1 de abril de 2018). «APNIC Labs enters into a Research Agreement with Cloudflare» (html). APNIC Lab. (en inglés). Archivado desde el original el 1 de abril de 2018. Consultado el 16 de junio de 2019. «APNIC will use two IPv4 address prefixes for this joint research program, 1.0.0.0/24 and 1.1.1.0/24. These are address prefixes that the Regional Address Policy community have assigned to APNIC for research use. They were originally configured as dark traffic addresses, and the profile of unsolicited traffic directed at these prefixes was investigated some years ago with the support of Google.» 
13. «DNS-over-TLS» (html). Google Developers (en inglés). Archivado desde el original el 25 de marzo de 2019. Consultado el 16 de junio de 2019. «A client system can use DNS-over-TLS with one of two profiles: strict or opportunistic privacy. With the strict privacy profile, the user configures a DNS server name (the authentication domain name in RFC 8310) for DNS-over-TLS service and the client must be able to create a secure TLS connection on port 853 to the DNS server.» 
14. «FAQ DNS Need to Know Info» (html). Quad9 (en inglés). Archivado desde el original el 4 de mayo de 2019. Consultado el 16 de junio de 2019. «My ISP captures port 53, is there another port I can use for Quad9? We support standard DNS queries on port 9953 as well as 53. In addition we support DNS-over-TLS on the standard port of 853 using the auth name of dns.quad9.net.» 
15. «Encrypted DNS - DNS over TLS support» (html). CleanBrowsing (en inglés). Archivado desde el original el 16 de mayo de 2018. Consultado el 16 de junio de 2019. «DNS over TLS support is available on all our services through port 853. DNS over TLS encrypts and authenticates all your DNS traffic to protect your privacy and prevent DNS hijacking and sniffing.» 
16. Real Academia Española. «incidencia : Acontecimiento que sobreviene en el curso de un asunto o negocio y tiene con él alguna conexión.». Diccionario de la lengua española (23.ª edición). Consultado el 23 de julio de 2018. 
17. «NSD 4.2.0 released» (html). NLnet Labs (en inglés). 11 de junio de 2019. Archivado desde el original el 16 de junio de 2019. Consultado el 16 de junio de 2019. «This release contains new features, contributed from Sinodun, that implement TCP fast open support and also support for service on DNS over TLS.» 

Enlaces externos

Solicitudes de comentarios

en inglés: Request for comments:

• en inglés: Specification for DNS over Transport Layer Security (TLS): RFC 7858.
• en inglés: Usage Profiles for DNS over TLS and DNS over DTLS: RFC 8310.
• en inglés: DNS Transport over TCP - Implementation Requirements: RFC 5966 (obsoleto), RFC 8490.

• Esta obra contiene una traducción parcial (sección «DNS disponibles públicamente») derivada de «DNS поверх TLS» de Wikipedia en ruso, concretamente de esta versión del 12 de mayo de 2019, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.