DoH, o último paso paira garantir a privacidade na web

2019/12/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria

Co obxectivo de garantir a privacidade e seguridade dos usuarios nas actividades da web, os principais axentes da rede introduciron nos últimos anos una serie de cambios. O último paso neste camiño é establecer a confidencialidade nas solicitudes que realiza o sistema DNS, fomentando que as solicitudes se realicen a través do protocolo seguro HTTPS a través da tecnoloxía chamada DoH.
Ed. Gerd Altmann/Pixabay

Nun artigo escrito neste apartado hai case cinco anos (concretamente en xaneiro de 2015), contábase como os principais axentes da web estaban a tomar medidas para que ninguén puidese espiar a actividade dos usuarios. Como alí indicábase, acabábase de presentar una nova versión do protocolo HTTP/2 na que a navegación se realiza sempre que sexa posible sobre HTTPS (toda a comunicación vai cifrada no protocolo HTTPS). Todos os navegadores web xa habían implementado o protocolo HTTP/2 paira finais de 2015.

En devandito artigo tamén se informaba do emisor de certificados Let’s Encrypt, de próxima creación, que promovese o uso de HTTPS nos servidores web. Esta iniciativa permitiría por primeira vez aos servidores web obter e renovar os certificados dixitais de forma gratuíta e sinxela. O servizo púxose en marcha en abril de 2016 e creo que se ampliou moito.

Con todo, aínda cando as comunicacións cunha web realízanse integramente a través de HTTPS, existe outro complemento moi importante e necesario da navegación web, que polo momento non conta con medidas de seguridade e privacidade, e que nos deixa indefensos ante a espionaxe e as trampas: Sistema DNS.

Que é o sistema DNS?

DNS significa Domain Name System, é dicir, o sistema de nomes de dominio. Os nomes de dominio son nomes utilizados polos seres humanos paira identificar os servizos e páxinas web: www.google.com, www.berria.eus... Con todo, os servidores web identifícanse e localizan en Internet a través de una dirección IP como 172.217.4 ou 145.239.192.54. Por tanto, para que un navegador web poida acceder a unha páxina web é necesario que saiba previamente a dirección IP á que pertence o nome de dominio solicitado. E paira iso é o sistema DNS.

DNS é un dos servizos de Internet. E trátase dun servizo distribuído, no que algúns servidores teñen información duns dominios e outros doutros. O noso computador realiza a primeira solicitude a un resolutor de DNS, quen canaliza as solicitudes a outros servidores até obter a dirección IP correspondente ao nome de dominio.

Problemas do protocolo DNS

O protocolo DNS é anterior á web en 1983 e apenas sufriu cambios ou actualizacións de seguridade importantes desde entón. As solicitudes e respostas de DNS non van cifradas, o que leva riscos de seguridade e falta de privacidade.

Por unha banda, o noso provedor de servizos de Internet, o propietario do WiFi ao que nos conectamos, así como todos os servidores e routers intermedios que atravesan a ruta de peticións e respostas de DNS, ven a solicitude de DNS que estamos a realizar e por tanto a web que queremos visitar. Isto pódese aproveitar, por exemplo, paira facer un perfil das nosas preferencias e vendelo a empresas de publicidade.

Doutra banda, calquera persoa en curso pode modificar a dirección IP da resposta e enviala a unha páxina innecesaria. Así, cando solicitamos a visita á web do noso banco ou provedor de correo, pódennos dirixir a unha páxina web maliciosa do mesmo aspecto e roubar os nosos datos. Ou si estamos nun gran punto de venda e queremos aproveitar o teléfono paira ver se un produto ten menos custo a competencia, se nos conectamos a través do WiFi do punto de venda, pódennos dicir que a web da competencia non funciona. A pesar de que estes casos son algo extremos e non tan habituais, esta mesma modificación da resposta de DNS aprovéitase paira a censura; recentemente, por exemplo, paira pechar as páxinas web de Tsunami Democràtic. Encárgase aos provedores de Internet que redireccionen as solicitudes a estes dominios a outra dirección IP na que se mostra una páxina web que indica que se pechou dita web.

Solución DoH

A solución pode ser DoH (DNS over HTTPS), a tecnoloxía que realiza as peticións e respostas de DNS a través do protocolo cifrado HTTPS. Así, ao estar as mensaxes cifradas, os implicados non poden ver que dominio queremos visitar e cambiar a dirección IP de resposta.

Os principais navegadores web xa o han implementado. Firefox fai máis dun ano pero non por defecto, debemos activalo manualmente. O navegador Chrome de Google tamén o permite desde setembro deste ano e Android desde a versión 9.

Mesmo algúns resolutores de DNS xa o han implementado, como a coñecida empresa Cloudflare, que é a que utiliza Firefox por defecto. Chrome, pola súa banda, utiliza un resolutor DoH que ofrece Google.

Realmente é a solución?

DoH está a ter difusión pero non todo o mundo veo ben. Tamén está a recibir críticas e suscitou máis dunha polémica.

Por unha banda, din que con DoH nada garante que o resolutor de DNS non faga o perfil da nosa navegación e véndeo ás empresas de publicidade e teñen razón, neste caso habería que chamarlle DNS ebasle (perdoa, chiste ;-). Pero iso é algo que nunca se poderá evitar, sempre teremos que confiar no dance.

Doutra banda, até o momento todos os servizos de Internet utilizaron un resolutor de DNS definido paira todos a nivel de sistema operativo de computador. Nas redes domésticas, o noso provedor de servizos de Internet adoita ser o resolutor definido no router e nas de empresa, o definido polos administradores do sistema. Eles poden colocar filtros nos resolutores de DNS ou no propio router paira evitar o acceso a diferentes lugares. O software utilizado paira restrinxir as páxinas web nas que os nosos fillos poden navegar tamén utiliza o sistema DNS, así como antivirus e devasa que evitan webs maliciosas. Non poden facelo se o navegador web substitúe o DNS do sistema por un resolutor DoH.

Por último, o sistema DoH evita a censura antes mencionada. Podes comprobalo facilmente: Activa DoH en axústelos de Firefox e poderás ver sen problemas a web de Tsunami Democràtic. E, por suposto, os gobernos non lles gusta iso...

Á vista das críticas de empresas, provedores de conexión a Internet, fabricantes de software e gobernos, Mozilla afirmou que Firefox comprobará si existe un filtro empresarial ou parental instalado na rede ou no sistema e que nese caso non utilizará DoH. Engade que nalgúns países non priorizará DoH ata que se acorde como aceptar os posibles bloqueos de goberno. Pero, como decidirá que países son lexítimos os bloqueos de goberno e cales son a censura? Só en China, Turquía, etc. porá DoH paira evitar a censura? E en España e en Francia? Ao final, entre outras cousas, Mozilla abre o camiño para que o sistema creado paira evitar a censura sexa aceptado nalgúns casos.

Á vista de todo iso, está claro que cando no título dixemos que DNS over HTTPS é o último paso paira garantir a privacidade na web, que quere dicir o último e que non será máis que necesario... Este tema da seguridade e a privacidade na web aínda traerá una longa corda.