Los DNS de Google fueron anunciados hace ya algo más de 9 años. En ese tiempo, se han convertido en uno de los servicios más populares de la compañía, permitiendo resolver direcciones sin los bloqueos que introducen los operadores a ciertas páginas web. Además de ir mejorando la velocidad con la que resuelven las direcciones, ahora también son más seguros.

DNS-over-TLS: las peticiones y resoluciones ahora están cifradas

Los DNS se dedican, básicamente, a convertir en direcciones IP las direcciones URL que escribimos a mano; es decir, “resolverlas”. El problema es que estas peticiones se envían en texto plano a través de UDP o TCP sin ningún tipo de cifrado. Esto hace que un atacante pueda conocer las páginas web que una persona visita, e incluso poder sufrir ataques de spoofing donde la web final que visita el usuario sea una creada por el atacante.

Por ello, Google ha anunciado que su servicio de DNS soportará a partir de ahora DNS-over-TLS, lo cual implica que las solicitudes y respuestas de DNS serán comunicadas a través de conexiones cifradas por TLS. Así, los ataques man-in-the-middle serán mucho más difíciles de llevar a cabo para manipular las solicitudes de DNS o espiar la conexión a Internet de los usuarios. Las conexiones estarán igual de protegidas que las que hacemos a una página web por HTTPS.

Estas DNS son las más usadas en todo el mundo, por lo que nos encontramos con que Internet en general es más seguro a partir de ahora con este pequeño cambio. Usar DNS-over-TLS también tiene inconvenientes, como un mayor overhead que puede traducirse en que las resoluciones tarden más en cargarse en nuestro dispositivo. Por ello, Google ha implementado las recomendaciones RFC 7766 con diversas mejoras para evitarlo.

Los DNS por TLS de Google tienen dos modos de funcionamiento

Las DNS por TLS se pueden usar de dos maneras en relación con la privacidad: de manera estricta o de manera oportunista.

En modo de privacidad estricta, nuestro dispositivo crea una conexión TLS segura en el puerto 853 hacia el servidor DNS. Si falla, el servidor responderá con un error.

En el modo de privacidad oportunista, si el cliente no puede establecer una conexión segura en el puerto 853, se pasará de manera automática a comunicarlo a través del puerto 53 de UDP y TCP sin cifrado.

Para poder disfrutar de esta nueva medida de seguridad no tenemos que hacer nada, pues depende de Google. Nosotros no notaremos ningún cambio. Tan sólo tenemos que tener configuradas las DNS de Google en el router o en el ordenador:

• DNS primaria: 8.8.8.8
• DNS secundaria: 8.8.4.4

Sin embargo, si estamos usando un móvil Android, sí que tendremos que habilitarlo a mano. Las DNS por TLS están disponible a partir de Android 9 Pie. Para ello, tenemos que ir a Ajustes – Red – Avanzado – DNS privada. Ahí tenemos que introducir dns.google como el hostname, le damos a guardar, y ya estaremos usando esas DNS. También podéis activar las DNS de Google manualmente en Android para vuestra red WiFi.

Google no es la primera en soportar DNS-over-TLS. Los DNS de Cloudflare (1.1.1.1) soportaban tanto DNS-over-TLS como DNS-over-HTTPS.