Aplicaciones DNS

DoH y DoT son protocolos modernos diseñados para cifrar las consultas DNS, aumentando la privacidad y evitando que terceros puedan leer o manipular qué dominios consulta un usuario.

 ¿Qué es DoH?

✔ DoH = DNS over HTTPS

Significa que las consultas DNS se envían dentro de una conexión HTTPS cifrada.

Usa:

• HTTPS (HTTP/2 o HTTP/3)

• Puerto 443

• Cifrado TLS 1.2 / 1.3

¿Consecuencia?
A simple vista parece tráfico web normal.
Nadie en el camino puede ver qué dominios estás consultando.

 ¿Qué es DoT?

✔ DoT = DNS over TLS

Es similar a DoH, pero el DNS va cifrado directamente sobre TLS sin usar HTTP.

Usa:

• TLS 1.2+

• Puerto 853

¿Consecuencia?
El tráfico DNS sigue distinguible (por el puerto), pero va totalmente cifrado.

Tabla Comparativa de DoH vs DoT.

¿Por qué existen DoH/DoT?

Porque el DNS tradicional:

• usa UDP/53

• va en texto claro

• cualquiera entre el cliente y el servidor puede ver, modificar o censurar la consulta

Ejemplo de filtrado tradicional:

• bloquear facebook.com

• redirigir sitios

• forzar el uso de DNS específico

Con DoH/DoT eso se vuelve mucho más difícil.

¿Por qué complican el trabajo de administradores de red?

Porque:

• ya no se pueden ver las consultas DNS en un firewall (a menos que se haga MITM, cosa que no se hace en redes normales)

• no se puede saber qué sitios consulta un usuario

• bloqueos por DNS filtering dejan de funcionar

• complican Packet Shaping, DPI, acceso parental, filtrado de contenido

En algunas empresas se deshabilita QUIC y DoH para poder aplicar políticas.

¿Quiénes usan DoH/DoT hoy?

Muchos sistemas y apps:

• Firefox (por defecto en varios países)

• Google Chrome (opcional)

• Android 9+ (DoT por defecto en varios modos)

• iOS y macOS lo soportan

• Navegadores modernos

• Cloudflare (1.1.1.1)

• Google Public DNS (8.8.8.8)

• NextDNS

• OpenDNS

DNS tradicional:

UDP 53 → "facebook.com"

DoH:

HTTPS (443) → *no se ve nada dentro*
tls-host: "cloudflare-dns.com"

DoT:

TLS 853 → *cifrado*