DNS-over-HTTPS, también conocido como DoH, es un protocolo diseñado para permitirnos realizar las resoluciones DNS desde nuestro navegador a través del protocolo HTTPS. Esta característica puede tener problemas de rendimiento y hacer que las resoluciones tarden algo más de la cuenta. Mozilla cuenta con un aliado y socio, que es Cloudflare. para la correcta implementación de DoH.



Las consultas DNS pueden utilizarse también fácilmente para poner en peligro a los usuarios, por ejemplo, mediante ataques MITM que pueden suplantar la respuesta del servidor para enviarnos a una IP maliciosa, u otros ataques como Snooping y Tampering.

Por defecto Firefox utilizaba el servicio DNS que venga predeterminado en el sistema. Lo normal, aunque no es lo recomendado, es que los usuarios tengan los de su operador. Recomendamos a los usuarios utilizar las DNS de Cloudflare (1.1.1.1 y 1.0.0.1), así como Quad 9 (los de IBM: 9.9.9.9) o los de Google 8.8.8.8 y 8.8.4.4., antes que los de su operador para evitar censura y problemas de navegación.

Una de las novedad relacionada con DNS over HTTPS y Trusted Recursive Resolver, hace que Firefox utilice el servicio DNS configurado en el navegador, no en el equipo del usuario.

 DNS sobre HTTPS (DoH)

Introducción

Las consultas y respuestas DNS tradicionales se envían a través de UDP o TCP sin cifrado. Esto es vulnerable a las escuchas ilegales y la suplantación de identidad (incluido el filtrado de Internet basado en DNS). Las respuestas de los servidores recursivos a los clientes son las más vulnerables a los cambios no deseados o malintencionados, mientras que las comunicaciones entre los servidores recursivos y los servidores de nombres autorizados a menudo incorporan protección adicional.

Actualmente, las aplicaciones basadas en la web deben usar las extensiones del navegador para aprovechar las ventajas de las funciones avanzadas del DNS, como DANE, el descubrimiento del servicio DNS-SD, o incluso para buscar cualquier otra cosa que no sean las direcciones IP. Las extensiones para las funciones que dependen de DNSSEC deben validarlo ellas mismas, ya que el navegador y el sistema operativo no pueden (no son capaces) validar DNSSEC.

Para solucionar estos problemas, el DNS público de Google ofrece una resolución de validación de DNSSEC a través de una conexión HTTPS cifrada mediante una API fácil de usar en la web que no requiere la configuración del navegador o sistema operativo o la instalación de una extensión. DNS sobre HTTPS mejora en gran medida la privacidad y la seguridad entre un cliente y un resolutor recursivo, y complementa DNSSEC para proporcionar búsquedas de DNS autenticadas de extremo a extremo.

Google Public DNS proporciona la API en:

• https://dns.google.com/resolve?name=elhacker.net

así como una interfaz web amigable para los humanos en:

•  https://dns.google.com/query?name=elhacker.net

Aunque este último muestra los resultados en un navegador, no implementa la API; Tenga cuidado de no confundir estas dos URL.


Mozilla ya lleva tiempo trabajando en poder implementar cuanto antes esta tecnología en su navegador, aunque la verdad es que ha topado con serios problemas de rendimiento en el mismo.


La última actualización de Firefox, dentro de la rama estable, ya es compatible con las solicitudes DNS-over-HTTPS (DoH), aunque por motivos de rendimiento esta viene desactivada por defecto.


Para activar DNS-over-HTTPS (DoH) en Firefox

Entrar en la configuración avanzada escribiendo en la barra de direcciones:

about:config

 Trusted Recursive Resolver (TRR)

network.trr.mode

Cambiar Valor de “0” (por defecto) a “2” para activar esta característica experimental.

• 0 — Off (default). To use operating system resolver.
• 1 — Race native against TRR. Do both in parallel and go with the one that returns a result first. Most likely the native one will win.
• 2 — First. Use TRR first, and only if the secure resolution fails use the operating system resolver.
• 3 — Only. Only use TRR. Never use the native (after the initial setup).
• 4 — Shadow. Runs the TRR resolves in parallel with the native for timing and measurements but uses only the native resolver results.
• 5 — Off by choice This is the same as 0 but marks it as done by choice and not done by default.

Verificar valor https://mozilla.cloudflare-dns.com/dns-query en el valor:

network.trr.uri

• https://mozilla.cloudflare-dns.com/dns-query (unfiltered by CloudFlare)
• https://dns.google.com/experimental (unfiltered by Google — the most stable and running for longer)
• https://doh.cleanbrowsing.org/doh/family-filter/ (filtered by CleanBrowsing, blocks adult content)
• https://doh.cleanbrowsing.org/doh/secure-filter/ (filtered, blocks malicious domains only)

Mozilla ya trabaja en corregir este problema, aunque, de momento, no podemos hacer nada más que esperar. Tan pronto como Mozilla considere que el DoH está listo para todos los usuarios lo activará por defecto para que todos puedan disfrutar de sus medidas de seguridad y privacidad.

Trusted Recursive Resolver (TRR) and DNS over HTTPS (DoH

Browsing Experience Security Check

•   Secure DNS
•   DNSSEC
•   TLS 1.3
•   Encrypted SNI

• https://www.cloudflare.com/ssl/encrypted-sni/

Tareas DNS CloudFlare:

• Query Minimization RFC7816,
• DNS-over-TLS (Transport Layer Security) RFC7858,
• DNS-over-HTTPS protocol DoH,
• Aggressive negative answers RFC8198,

Fuentes:
https://www.redeszone.net/2018/11/30/activar-dns-over-https-firefox/
https://blog.mozilla.org/futurereleases/2018/11/27/next-steps-in-dns-over-https-testing/