DNSCrypt ha cifrado el tráfico DNS (solicitudes y respuestas). En este caso, ¿el nombre de host ( enlace / dirección IP de destino) se puede leer en tránsito por un tercero durante mi sesión de TLS? En realidad, me gustaría aclarar qué es lo que hace que el nombre de host sea visible para otras personas: ¿tráfico DNS no cifrado solamente o DNS no cifrado y solicitud inicial al servidor de destino en el contexto de la sesión TLS?
Desde el sitio web de DNSCrypt:
DNSCrypt es un protocolo que autentica las comunicaciones entre un cliente DNS y un sistema de resolución de DNS. Previene la falsificación de DNS. Utiliza firmas criptográficas para verificar que las respuestas se originen en el sistema de resolución de DNS elegido y no hayan sido manipuladas.
[...]
Tenga en cuenta que DNSCrypt no reemplaza a una VPN, ya que solo autentica el tráfico de DNS y no evita que las "fugas de DNS" o los resolutores de DNS de terceros registren su actividad.
Entonces, sí, sus solicitudes de DNS seguirán siendo legibles ya que solo están autenticadas y no encriptadas.
Lo que hace que la solicitud de DNS sea legible es que no es un protocolo cifrado para empezar. En el caso de la sesión TLS, la IP del servidor (que obtuvo de la respuesta del DNS) se usa para establecer la conexión. Por lo tanto, una búsqueda DNS inversa puede revelar la dirección del servidor al que se está conectando de todos modos. Aunque el contenido de la comunicación se mantendrá confidencial en condiciones normales de operación.