Cloudflare, Apple y Fastly han comenzado el proceso de estandarización de la tecnología ODoH (Oblivious DNS over HTTPS) con la implementación de la opción DNS sobre HTTPS, que preserva la privacidad del usuario y no permite que el resolutor conozca su dirección IP.

Uno de los problemas con DNS y DNS sobre HTTPS es la fuga de datos. Se produce porque el servidor DNS tiene la capacidad de asignar las solicitudes salientes a la dirección IP del usuario. Dado que el cliente envía solicitudes directamente, el servidor DNS inicialmente conoce su dirección IP y todos los dominios a los que el usuario está intentando acceder.

ODoH: DNS con proxy

Para resolver este problema, ODoH introduce un nodo intermedio, un proxy que redirige las solicitudes de los clientes a un servidor DNS y transmite las respuestas a través de sí mismo. Las solicitudes y respuestas se cifran adicionalmente mediante claves públicas, lo que evita que los proxies detecten contenido o falsifiquen mensajes DNS. Por tanto, el proxy conoce la dirección IP del usuario, pero no puede determinar qué dominios solicita el usuario. Por su parte, el servidor DNS ve los dominios solicitados (puede descifrar la solicitud y enviar una respuesta encriptada), pero no sabe quién los solicitó, ya que todas las solicitudes provienen de la dirección IP general del proxy.

Una característica importante es que el cliente puede elegir el proxy y el servidor. Por lo tanto, también usa la clave asociada con el servidor. Gracias a esto, el proxy no puede redirigir secretamente la solicitud a otro servidor.

Suena, en principio, nada mal, lo único molesto es que los desarrolladores de todo esto son corporaciones grandes: Cloudflare, Apple y Fastly. Sin embargo, mucho depende de la elección del proxy y el servidor.

DNS, TLS y TOR

Por otra parte, existe una implementación aún más anónima – DNS sobre TLS y TOR. Encripta las solicitudes de DNS entre un cliente y su proveedor de DNS para que solo ellos sepan qué solicitudes se realizan. Al agregar TOR a la cadena, nadie podrá acceder a su solicitud y su dirección IP. El proveedor de DNS verá que el nodo de salida de Tor realiza la solicitud, y el nodo de salida de Tor verá un mensaje cifrado que se envía al proveedor de DNS.

En esta implementación TOR es mejor que cualquier proxy controlado por las empresas grandes.