DoH. En el sentido Homer Simpsoniano.

Se está poniendo poco a poco de moda una tecnología llamada “DNS over HTTPS”, o abreviando, DoH. Que es lo que dice Homer Simpson cuando parece que ha tenido una buena idea, pero finalmente le sale el tiro por la culata. Como es este caso.

La idea tras DoH es muy sencilla: Hacer las consultas de DNS sobre HTTPS, en vez de usar el protocolo DNS de toda la vida. ¿Y por qué íbamos a querer hacer algo así? De entrada, es un estándar, o sea, nada especialmente raro (RFC 8484). En el propio estándar se describen los dos casos que han resuelto: Uno, evitar que nada interfiera las comunicaciones DNS; dos, que las aplicaciones web puedan acceder a la información de DNS de manera segura y consistente. El segundo motivo no deja de ser un caso particular del primero, así que, en resumen, el objetivo de DoH es evitar las interferencias en DNS.

¿Y por qué evitar las interferencias en DNS? Aquí ya encontramos el primer DoH Simpsoniano. Porque, al evitar las interferencias malintencionadas en DNS, estamos también evitando las interferencias deseables en DNS. ¿Y qué interferencia deseable puede haber en DNS? Huy, muchísimas: Control parental, evitar que los usuarios visiten páginas web infectadas, cortar a equipos infectados el acceso a su servidor de control (descabezando con ello las temibles “botnets”)…

O sea, que hasta ahora lo que tenemos es un estándar cuya razón de existencia rompe varias cosas relacionadas con seguridad, ya para empezar a hablar. Pero vamos a ver, si se hace DNS sobre un canal encriptado, por lo menos, por lo menos, estaremos añadiendo algo de seguridad al DNS. ¿Verdad?.

Pues no. Un estándar muy anterior, el RFC 4033, ya introduce el mecanismo DNSSEC de seguridad criptográfica para DNS. Es decir, que el único beneficio que le vemos a DoH existía ya la friolera de 13 años antes.

Hasta aquí, lo que tenemos es un protocolo que, en el mejor de los casos, proporciona más o menos los mismos beneficios que uno que ya existe, rompiendo otras cosas en cuestión de seguridad. Y eso que aún no hemos acabado el apartado de inconvenientes.

¿Y qué más inconvenientes hay? Ah, sencillo. Las implantaciones de DoH en navegadores, como la ya existente para Chromium y Firefox, ignoran la configuración de DNS del equipo. Es decir, nuestro equipo está configurado por nuestro ISP, informático de cabecera, empresa o lo que tengamos para consultar a un o unos determinados servidores de DNS. Generalmente, porque funcionan y nos fiamos de ellos. Pues bien, ahora nuestro navegador va a decidir a qué DNS va a consultar. ¿Y cuál va a ser? Bueno, se admiten apuestas, pero en el mundo real va a ser Google, CloudFlare y sus colegas. En lugar del transparente conjunto de organizaciones que gestiona el registro de dominios y el DNS, vamos a pasar a depender de los más avariciosos minadores de datos del mundo, sin que este cambio nos aporte nada a nosotros.

O sea, que nos vamos a tener que fiar de las respuestas que nos van a dar estas hermanitas de la caridad cuando vayamos a preguntar por la dirección de la web de la mercería o de la extranet de la empresa o de nuestro correo web. ¿Qué podría salir mal dando a la mayor minadora de datos del mundo acceso para decidir a dónde va nuestra navegación?

DoH es una norma que nunca debió existir, que nos quita control para dar datos a las grandes multinacionales. La única respuesta para salvaguardar nuestros intereses y nuestra privacidad es desactivarlo en cuanto lo veamos.

Lectura adicional (en inglés, con perspectiva europea): https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/”>https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/