Una tecnología controvertida
El DNS sobre HTTPS es criticado por los reguladores, las empresas de telecomunicaciones, los representantes de los registros de Internet e incluso el propio autor del sistema de nombres de dominio. Entre los argumentos están la complicada administración y los retrasos en las redes de entrega de contenido. Al mismo tiempo, algunas implementaciones de protocolo ignoran las reglas descritas en /etc/nsswitch.conf. Por lo tanto, la gestión de DNS se transfiere del nivel del sistema operativo al nivel de la aplicación, lo que puede provocar una confusión entre los servicios.
Además, se argumenta que este protocolo crea la amenaza de fuga de datos personales. DNS-over-HTTPS encripta la información sobre los recursos visitados, pero aún está disponible para un servidor que procesa la solicitud. En este contexto, existen preocupaciones sobre la credibilidad del proveedor de DoH. Esa es una de las razones por las que la Agencia de Seguridad Nacional de EE. UU. recomienda no usar DNS-over-HTTPS en redes corporativas y prestar más atención a las soluciones autohospedadas.
Paso a paso
La difusión bastante lenta de la tecnología parece ser el resultado de la dura retórica en su contra. En la actualidad, un tráfico DNS «clásico» tres veces mayor que uno encriptado. Sin embargo, la situación está cambiando gradualmente: según los principales ISP y empresas de IS, el tráfico DoH ha aumentado en los últimos años. Es especialmente notorio en Brasil, Estados Unidos, Italia, Argentina y España (ver página 10 del estudio sobre este tema).
Según los representantes de «Firefox», la empresa no almacena registros por más de un día, no transfiere datos de usuarios a terceros y aplica obligatoriamente la tecnología DNS Query Name Minimization (RFC 7816).
La capacidad de trabajar con DNS-over-HTTPS también se ha agregado a Chrome, Edge y Brave. La funcionalidad semejante también se implementa en el firmware del enrutador, tanto comercial como de código abierto (como OpenWRT).
Los entusiastas también están contribuyendo al desarrollo de la tecnología. Por ejemplo, los ingenieros de APNIC escanearon el espacio de direcciones IPv4, luego buscaron los puertos abiertos 443 y los probaron con un script especial. Encontraron más de 930 resolutores DoH, una cuarta parte de los cuales están implementados en servidores domésticos y probablemente se usan en proyectos privados (estos sistemas no tenían registros de zonas de vista trasera).
Otras opciones
Lo más probable es que DoH sea implementado por más y más desarrolladores. Sin embargo, eso no significa que será la solución «final» para el cifrado de solicitudes de DNS; se están desarrollando otras alternativas además de DNS-over-TLS. Así, el grupo de trabajo del IETF propuso un estándar de código abierto Oblivious DNS-over-HTTPS (ODoH). Permite ocultar la IP de los dispositivos del usuario mediante el uso de proxies. En este caso, el proveedor de DNS solo ve la dirección del enlace intermedio.
Hay soluciones para el cifrado de apelaciones al sistema de nombres de dominio basadas en otros protocolos, como QUIC. Pero todavía es demasiado temprano para hablar de su uso generalizado. En particular, incluso en comparación con DNS-over-HTTPS, el volumen de tráfico de DNS-over-QUIC es increíblemente pequeño. La implementación práctica de dichos sistemas también es cuestionable, ya que en el futuro DNS-over-HTTPS apoyará QUIC (a expensas de HTTP/3).
Es demasiado pronto para decir qué tecnología de encriptación de solicitudes de DNS se implementará, pero definitivamente puede tomar un par de décadas de todos modos.