{"id":21011,"date":"2019-10-29T10:52:53","date_gmt":"2019-10-29T08:52:53","guid":{"rendered":"https:\/\/www.teldat.com\/sin-categorizar\/21011\/internet-cifrado-dns-https-ensi-en-tls\/"},"modified":"2022-12-19T15:48:42","modified_gmt":"2022-12-19T13:48:42","slug":"internet-cifrado-dns-https-ensi-en-tls","status":"publish","type":"post","link":"https:\/\/www.teldat.com\/es\/blog\/internet-cifrado-dns-https-ensi-en-tls\/","title":{"rendered":"Hacia una Internet totalmente segura: DNS cifrado + ESNI en TLS"},"content":{"rendered":"

\"encryptedEn sus inicios, la navegaci\u00f3n web<\/strong> se implement\u00f3 como un sistema carente de privacidad que permit\u00eda a sus usuarios ver contenidos sencillos en modo texto. Hoy, este servicio ha evolucionado tanto en funcionalidad, permitiendo visionar complejos dise\u00f1os, como en sus m\u00e9todos de acceso,<\/em> permitiendo la descarga de dicho contenido web cifrado.<\/strong><\/p>\n

<\/p>\n

Seg\u00fan Google, en enero de 2019 noventa y seis de los cien sitios web m\u00e1s populares de Internet eran accesibles mediante el protocolo SSL\/TLS<\/strong> (HTTPS). Este permite el env\u00edo y la recepci\u00f3n de contenido cifrado, mejorando en privacidad y seguridad el protocolo HTTP original<\/strong>. Adem\u00e1s, Google tambi\u00e9n estima que la penetraci\u00f3n del protocolo SSL\/TLS (HTTPS) para el acceso a contenido web cifrado a trav\u00e9s de su navegador Google Chrome<\/strong> est\u00e1 entorno al 80% en 2019.<\/p>\n

Sin embargo, y pese a la buena acogida del protocolo HTTPS,<\/strong> a\u00fan quedan por subsanarse varias deficiencias que ponen en riesgo la privacidad de los usuarios en Internet<\/strong>, dado que a\u00fan no se ofusca el dominio web hacia el que se est\u00e1 navegando.<\/p>\n

A lo largo de este art\u00edculo, se expone la combinaci\u00f3n de dos t\u00e9cnicas que permiten la ofuscaci\u00f3n de los dominios web hacia los que se navega<\/strong>, dificultando a un tercero el an\u00e1lisis del tr\u00e1fico generado.<\/p>\n

1. DNS cifrado<\/h2>\n

La navegaci\u00f3n por Internet<\/strong> suele comenzar con lo que se denomina la resoluci\u00f3n de nombre de dominio<\/em> <\/strong>y que consiste en la traducci\u00f3n del nombre de una web (www.ejemplo.com) en una direcci\u00f3n IP<\/strong> (55.55.55.55).<\/p>\n

La resoluci\u00f3n de dominio se hace mediante un protocolo denominado DNS<\/strong> (Domain Name Resolution<\/em>). Desafortunadamente, el protocolo DNS permite interceptar cu\u00e1les son los nombres de dominio por los que un usuario de Internet navega, ya que carece de cifrado alguno desde su definici\u00f3n inicial.<\/p>\n

Uno de los pasos a tomar para salvaguardar la privacidad en Internet es el cambio a una nueva versi\u00f3n de servidores<\/strong> DNS<\/strong> que permitan su acceso cifrado mediante TLS o HTTPS.<\/strong> De esta forma se conseguir\u00e1 ocultar las resoluciones de dominio y cubrir este primer agujero de privacidad.<\/strong><\/p>\n

La soluci\u00f3n para esta carencia est\u00e1 bastante avanzada, puesto que ya existen tanto definiciones aprobadas para estas nuevas t\u00e9cnicas,<\/strong> como implementaciones.<\/p>\n

Los nombres de los nuevos protocolos aparecidos son DoH para DNS<\/strong> sobre HTTPS, especificado en la RFC 8484<\/strong> de la IETF. Y DoT para DNS sobre TLS,<\/strong> especificado en la RFC7858<\/strong>.<\/p>\n

Tambi\u00e9n es interesante destacar que en septiembre de 2019 el popular navegador Firefox ha anunciado que gradualmente ir\u00e1 activando DoH en sus versiones distribuidas en EEUU , dirigi\u00e9ndolos a servidores operados por Cloudflare.<\/p>\n

2. ESNI en TLS<\/h2>\n

Una vez que se conoce la direcci\u00f3n IP de la web<\/strong> a la que se quiere acceder ya es posible comenzar la navegaci\u00f3n. En caso de navegar mediante HTTPS, nos han convencido a trav\u00e9s de muchos medios de que la navegaci\u00f3n es segura. S\u00ed, es cierto, en resumidas cuentas es una navegaci\u00f3n cifrada y segura, pero de nuevo se puede analizar el nombre de dominio de la web a la que se est\u00e1 accediendo.<\/p>\n

Esto es as\u00ed porque en el acceso a una web mediante HTTPS, es necesario comprobar el certificado de la p\u00e1gina web<\/strong> a la que se accede, que se solicita mediante la indicaci\u00f3n del dominio al que se quiere acceder sin cifrar, a trav\u00e9s de la extensi\u00f3n SNI<\/strong> (Server Name Indication)<\/em> situada en el primer paquete del protocolo SSL\/TLS.<\/strong> Esto se hace as\u00ed porque un servidor web puede proporcionar varias webs o servicios diferentes a trav\u00e9s una misma IP.<\/p>\n

La soluci\u00f3n para esta deficiencia se est\u00e1 describiendo desde el 2018 en el borrador draft-ietf-tls-esni de la IETF<\/strong>, en el cual se especifica la metodolog\u00eda para lograr que el campo SNI se env\u00ede cifrado en primer paquete HTTPS, impidiendo su lectura. Este nuevo campo a trav\u00e9s del cual se env\u00eda el SNI cifrado se ha denominado ESNI (Encrypted SNI).<\/em><\/strong><\/p>\n

La propuesta actual consiste en la distribuci\u00f3n de las claves y certificados para cifrar el SNI a trav\u00e9s del protocolo DNS<\/strong>, aunque se deja abierta la posibilidad de usar otros canales.<\/p>\n

DNS cifrado + ESNI en TLS<\/h2>\n

El uso combinado de ambas t\u00e9cnicas se resume en la siguiente figura.<\/p>\n

\"encrypted<\/p>\n

Como se puede observar, la resoluci\u00f3n DNS cifrada<\/strong> se aprovecha para obtener las claves a trav\u00e9s de las cuales se genera el ESNI para la posterior navegaci\u00f3n web.<\/p>\n

Gracias a la combinaci\u00f3n de estas dos nuevas t\u00e9cnicas, cifrado de DNS y ESNI en TLS<\/strong>, se consigue mantener en todo momento la privacidad de los nombres del dominio por los cuales se navega<\/strong>. Un paso m\u00e1s en el camino hacia una Internet completamente cifrada.<\/p>\n","protected":false},"excerpt":{"rendered":"

En sus inicios, la navegaci\u00f3n web se implement\u00f3 como un sistema carente de privacidad que permit\u00eda a sus usuarios ver contenidos sencillos en modo texto. Hoy, este servicio ha evolucionado tanto en funcionalidad, permitiendo visionar complejos dise\u00f1os, como en sus m\u00e9todos de acceso, permitiendo la descarga de dicho contenido web cifrado.<\/p>\n","protected":false},"author":172,"featured_media":19743,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1159],"tags":[1118],"class_list":["post-21011","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-soluciones-seguridad-online-ciberseguridad","tag-desarrollo-web"],"acf":[],"wpml_current_locale":"es_ES","wpml_translations":[{"locale":"en_US","id":19737,"slug":"internet-encryption-dns-https-esni-in-tls","post_title":"Moving towards a fully encrypted Internet: DNS encryption and ESNI in TLS","href":"https:\/\/www.teldat.com\/internet-encryption-dns-https-esni-in-tls\/"}],"_links":{"self":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/posts\/21011","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/users\/172"}],"replies":[{"embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/comments?post=21011"}],"version-history":[{"count":0,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/posts\/21011\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/media\/19743"}],"wp:attachment":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/media?parent=21011"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/categories?post=21011"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/tags?post=21011"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}