Digamos que visité un sitio web que utiliza HTTPS. Así que mi ISP no puede ver el tráfico HTTPS entre nosotros, pero puede ver qué sitio web estoy conectando debido a mi solicitud de DNS. Si utilizo un servidor DNS público como OpenDNS o Google, ¿mi ISP aún puede ver qué sitio web estoy usando? Imho, pueden ver ya que mi consulta de DNS es de texto sin formato.
También algunos proveedores de VPN afirman que no filtran nuestras consultas de DNS. ¿Cómo hacen eso?
No. El protocolo DNS no tiene seguridad integrada, no está cifrado. Por lo tanto, su ISP podrá leer la solicitud y respuesta del DNS independientemente del servidor público que elija.
También, debido a Indicación del nombre del servidor (SNI), HTTPS revela el nombre del dominio de destino durante el protocolo de enlace TLS. Por lo tanto, un atacante no necesitaría rastrear el tráfico DNS para saber a qué dominio te estás conectando.
Sin embargo, hay proyectos que pretenden cifrar el tráfico de DNS, por ejemplo, DNSCrypt . Pero tenga en cuenta que cifrar el tráfico DNS todavía no evita que se filtre el nombre de dominio a través de otros canales, como SNI. Así que esto no reemplaza una VPN configurada correctamente. Desde el sitio web:
Tenga en cuenta que DNSCrypt no reemplaza a una VPN, ya que solo autentica el tráfico de DNS y no evita que las "fugas de DNS" o los resolutores de DNS de terceros registren su actividad. El protocolo TLS, tal como se usa en HTTPS y HTTP2, también filtra los nombres de los hosts de los sitios web de las fugas en texto sin formato, lo que hace que DNSCrypt sea inútil como una forma de ocultar esta información.
También algunos proveedores de VPN afirman que no filtran nuestras consultas de DNS. ¿Cómo hacen eso?
Configuran su sistema para que todas sus consultas de DNS pasen por el túnel VPN a su propio servidor DNS y bloqueen el tráfico al DNS del ISP. Las medidas exactas necesarias dependen de su sistema operativo. Aquí hay algunas sugerencias sobre cómo configurar su sistema. para evitar que el DNS se filtre.
... mi ISP no puede ver el tráfico HTTPS entre nosotros ...
No exactamente. A medida que enruta el tráfico proveniente de su computadora, el ISP conoce la dirección IP pública del host al que está conectado. Lo que se encripta son los datos intercambiados, incluida la parte de la URL después del host y el puerto.
Pero como HTTPS usa TCP como su protocolo de transporte, los encabezados TCP que contienen la dirección IP y el puerto no se pueden cifrar.
Por lo general, las solicitudes de DNS no se registran, pero al menos en Francia, el ISP debe registrar los sitios consultados durante aproximadamente 1 año y debe proporcionar los registros a las autoridades en caso de una investigación legal. Y AFAIK, es lo mismo en muchos países europeos.
Dos cosas.
Las consultas de DNS no están cifradas, de modo que, aunque tenga HTTPS, la ISP puede registrar y ver la consulta de DNS original.
Algunos servicios se ejecutan en direcciones IP dedicadas, una IP que alberga solo un servicio. En este caso, incluso con HTTP, el ISP puede averiguar a quién se está conectando simplemente al ver el tráfico de IP.
La mayoría de los sitios web no se ejecutan en direcciones IP dedicadas. Considere Cloudflare, donde LOTS (!) O sitios web están alojados detrás de sus IP, en este caso el tráfico de IP sería inútil, y la mayoría de los sitios de cloudflare ya habilitan HTTPs. Sin embargo, como su navegador se está conectando a cloudflare, está enviando el nombre de host a través de SNI.
La única forma verdadera de garantizar que nada se filtre es a través de VPN, y de que la VPN no filtre DNS (la consulta de DNS se realiza a través de la VPN
Lea otras preguntas en las etiquetas dns