DNS sobre HTTPS, cómo y por qué debes activarlo

11 enero 2023

Cuando tu navegador accede a un sitio web, primero necesita traducir la URL amigable (como dotforce.es) a la dirección IP del servidor público que aloja ese sitio web. Esto se conoce como búsqueda DNS. El DNS tradicional no está cifrado, a diferencia del tráfico web HTTPS moderno, que hoy en día está cifrado para protegernos de los ciberdelincuentes.

Dado que HTTPS cifra tus comunicaciones con los sitios web una vez que has establecido una conexión, puede que te preguntes por qué importa que la búsqueda inicial de DNS permanezca sin cifrar. El problema es que, con DNS sin cifrar, los atacantes que consigan acceder a tu red pueden ver en qué sitios web estás navegando y, potencialmente, redirigir tus búsquedas DNS a sitios web maliciosos y realizar ataques de phishing.

Funcionamiento de DNS no cifrado

Cómo funciona HTTPS sobre DNS

DNS sobre HTTPS (DoH) se introdujo para evitar que los atacantes controlen tus hábitos de navegación o te redirijan a sitios web maliciosos con solo espiar el tráfico DNS. DoH combina las consultas DNS con el poder de cifrado de HTTPS en lugar de comunicarse en texto plano. Las búsquedas DNS tradicionales se realizan sin cifrar a través del puerto 53, pero las búsquedas DoH se producen dentro del tráfico HTTPS a través del puerto 443. A partir de Windows Server 2022, el cliente DNS es compatible con DNS-over-HTTPS; se puede habilitar para todos los equipos de Active Directory aplicables a través de la directiva de grupo.

Esta es la visión simple y de alto nivel de DNS sobre HTTPS, pero es todo lo que realmente necesitas saber desde la perspectiva del usuario final. Es una buena práctica habilitar DNS sobre HTTPS cuando sea posible, que es lo que vamos a describir a continuación para Windows 10/11.

¿Solo para Windows?

Aunque en este artículo nos centraremos en Windows 10, siguiendo estos pasos se puede configurar en Windows 11, ya que el procedimiento es muy similar. Además, aunque no lo veremos en este artículo, desde el verano de 2020, iOS y macOS también soportan DNS sobre HTTPS (DoH), así que si eres un usuario de algún producto de Apple, también puedes habilitar DNS sobre HTTPS en tu Mac, iPhone y iPad. Y si, en cambio, eres usuario de Android, este Sistema Operativo es compatible desde su versión Android 9, lanzada en 2018 (inicialmente como DNS sobre TLS -DoT-, y como DoH desde Android 11). Por último, los usuarios de Linux también disponen de múltiples opciones para activarlo.

Por otro lado, muchos navegadores web, incluidos Firefox y los basados en Chromium (como Google Chrome y Microsoft Edge), también son compatibles con DoH si prefieres habilitarla a nivel de aplicación en lugar de a nivel de sistema operativo. Sin embargo, habilitar DoH en tu sistema operativo protege a las aplicaciones que no soportan DoH de forma nativa al darles esa funcionalidad desde el sistema operativo. Además, las búsquedas DNS han sido tradicionalmente una función que corresponde al sistema operativo más que a los navegadores web.

Cómo habilitar DNS sobre HTTPS en Windows 10

Habilitar DNS sobre HTTPS en Windows 10 proporciona la funcionalidad para todos los usuarios y aplicaciones que solicitan búsquedas DNS, incluyendo todos los navegadores web. Ten en cuenta que Windows 10 debe estar actualizado para garantizar que la función DoH esté disponible.

Método 1: Habilitar DoH en el Registro de Windows 10 (recomendado para equipos personales con Windows 10)

Para habilitar DNS sobre HTTPS en el registro de Windows 10 (Compilación 19628 o superior):

  1. Abre Inicio y escribe Editor del Registro para abrir el editor.
  2. Navega a:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
  3. Crea un nuevo DWORD llamado “EnableAutoDoh” y dale un valor de 2.
    Activación de DoH vía registro de Windows
  4. Reinicia el equipo.
  5. Si los servidores DNS principal y alternativo de tu conexión de red no son compatibles con DNS sobre HTTPS, cambia a servidores compatibles en las propiedades del Protocolo de Internet versión 4 (TCP/IPv4) de tu adaptador en la configuración de red.

Las siguientes direcciones de servidor son actualmente compatibles con DNS sobre HTTPS en Windows 10:

  • Cloudflare — Principal: 1.1.1.1, Alternativo: 1.0.0.1
  • Google — Principal: 8.8.8.8, Alternativo: 8.8.4.4
  • Quad9 — Principal: 9.9.9.9, Alternativo: 149.112.112.112

Configuración de direcciones IP de servidores DNS primario y alternativo

Método 2: Habilitar DoH en la configuración de red del Sistema Operativo (solo para usuarios de Windows Insider o equipos con Windows 11)

Para activar DNS sobre HTTPS en el menú Configuración > Red e Internet (Compilación 20185 o superior):

    1. Selecciona Configuración en el menú Inicio.
    2. Abre Red e Internet.
    3. En Estado de red, pulsa el botón Propiedades de la conexión a Internet deseada.
    4. Haz clic en Editar en Configuración DNS.
    5. Selecciona la opción Manual y, a continuación, especifica las direcciones IP DNS principal y DNS alternativa. Los proveedores de DNS actualmente soportados por Windows 10 son:
      • Cloudflare – Principal: 1.1.1.1, Alternativo: 1.0.0.1
      • Google – Principal:8.8.8.8, Alternativo: 8.8.4.4
      • Quad9 – Principal: 9.9.9.9, Alternativo: 149.112.112.112
    6. Selecciona Sólo cifrado (DNS sobre HTTPS) para el cifrado en DNS preferido y DNS alternativo.
    7. Si lo deseas, puede configurar lo mismo para IPv6 (los pasos anteriores eran para IPv4).

Activación de DNS sobre HTTPS vía configuración de Windows

Según Microsoft, “Una vez habilitado el cifrado, puedes confirmar que funciona mirando los servidores DNS aplicados en las propiedades de red y verlos etiquetados como servidores ‘(Cifrados)'”.

Método 3: Habilitar DoH mediante Directivas de Grupo (GPO) (recomendado para entornos corporativos)

Desde Windows Server 2022, es posible habilitar DNS sobre HTTPS a nivel de dominio, cambiando la configuración de forma global mediante la directiva Configurar resolución de nombres DNS sobre HTTPS (DoH), que se encuentra en el Editor de directivas de grupo, en la sección Configuración del equipo\Políticas\Plantillas administrativas\Red\Cliente DNS:

Activación de DNS sobre HTTPS vía GPO

Si deseas añadir un nuevo servidor DoH a la lista de servidores conocidos, puedes utilizar el cmdlet de PowerShell Add-DnsClientDohServerAddress.

Puedes comprobar la lista de servidores DoH utilizados para la resolución de nombres a través de PowerShell con el siguiente comando: Get-DNSClientDohServerAddress.

Preguntas Frecuentes

¿Qué es DNS sobre HTTPS (DoH)?

DNS sobre HTTPS (DoH) es un protocolo para realizar la resolución remota del Sistema de Nombres de Dominio (DNS) a través del protocolo HTTPS.

¿Debo utilizar DoH?

Con DoH activado, podrás eludir la censura, mejorar la seguridad del tráfico de tu red y aumentar la privacidad de tu red.

¿Está DoH activado por defecto?

No, tendrás que habilitarlo manualmente en tu estación de trabajo o a través de la directiva de grupo.

¿Cómo habilito DoH?

En este artículo hemos creado una guía para activarlo en Windows 10. En Windows 11 es muy similar. Para activarlo en MacOS, iOS, Android o Linux, may multitud de tutoriales online.

¿Cómo puedo comprobar la configuración de DoH?

Para comprobar la configuración de DoH en Windows, abre la sección Red e Internet en Configuración, ve a Estado, haz clic en Propiedades y selecciona Editar asignación de IP o Editar asignación de servidor DNS.

¿Es Windows 10 compatible con DNS sobre HTTPS?

DoH es compatible con Windows 10 builds 19628 o superiores.

Artículo basado en la publicación de Dan Piazza en el blog de Netwrix.

Información sobre los productos de Netwrix/Stealthbits en castellano.

PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde
PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde

Artículos relacionados

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.