¿Respeta la privacidad tu navegador? Comprueba si utiliza Secure DNS, DNSSEC, TLS 1.3 y más en un clic

Software

La privacidad en Internet es un asunto que cada vez preocupa a más usuarios. Los graves casos de espionajes masivos o las diferentes brechas de seguridad de nuestros datos que se registran cada dos por tres, nos tienen bastante mosqueados. Por esa razón, debemos adoptar todas las medidas de privacidad que sean posibles, tanto relacionadas con nuestro comportamiento en Internet como medidas a nivel técnico. En este caso, vamos a ver cómo saber si nuestro navegador utiliza Secure DNS, DNSSEC, TLS 1.3 y más en un clic gracias a la herramienta Browsing Experience Security Check.

Existen una serie de tecnologías que buscan mejorar nuestra seguridad y privacidad en Internet. Algunas de ellas han sido adoptadas por los principales navegadores en sus versiones más recientes mientras que otras están en proceso, y sólo unos pocos nos aseguran tener el máximo nivel de privacidad. Entre las tecnologías, algunos nombres conocidos como DNSSEC o TLS 1.3.

Comprueba si tu navegador utiliza Secure DNS, DNSSEC, TLS 1.3…

Como ya hemos comentado, la privacidad es un asunto cada vez más importante para muchos usuarios, por lo que es recomendable comprobar si el navegador que utilizamos cuidad este aspecto o no. Para ello, es bueno saber si es compatible con las tecnologías más avanzadas que buscan proteger la privacidad de los usuarios y asegurar las comunicaciones.

privacidad

Browsing Experience Security Check es la herramienta gratuita que nos ofrece Cloudflare para comprobar que nuestros navegador tiene activado el soporte para Secure DNS, DNSSEC, TLS 1.3 y Encrypted SNI. El test se completa en unos pocos segundos y nos dice si cumplimos o no cumplimos cada uno de los cuatro punto, además de una explicación de las razones para no cumplirlo (en caso de no hacerlo).

Las tecnologías analizadas son:

  • Secure DNS: una tecnología que cifra las consultas DNS e incluye DNS-over-TLS y DNS-over-HTTPS.
  • DNSSEC: tecnología diseñada para verificar la autenticidad de las consultas DNS.
  • TLS 1.3: la última versión del protocolo TLS que incluye muchas mejoras y cierra brechas de seguridad de las anteriores.
  • Encrypted SNI: siglas de Server Name Indication cifrado que desvela el nombre del hostname durante una conexión TLS. Esta tecnología busca asegurar que sólo pueda filtrarse la dirección IP.

Ya os adelantamos que el único navegador que soporta las cuatro tecnologías es Firefox mientras que otros están trabajando en ello. Sin embargo, para activar algunas debemos acceder a about:config y activar network.security.esni.enabled, network.trr.mode (valor 2) y network.trr.uri (valor https://mozilla.cloudflare-dns.com/dns-query).

¿Qué resultado obtenéis en vuestro navegador?

Escrito por Claudio Valero

Fuente > ghacks

Continúa leyendo
  • Diego

    He seguido todos los pasos recomendados en Firefox y en el test de cloudflare todavía me falla una prueba: DNSSEC Your resolver does not appear to validate DNS responses with DNSSEC.

    ¿Qué me faltaría por configurar?

    Por lo demás es una buena recomendación, Gracias.

    • Te falta esperar a que chrome haga su trabajo xd

    • Miroctum

      Hay 2 servidores de Cloudflare
      1. El recomendado para Mozilla Firefox (El que indica este post) y que no tiene DNSSEC activado

      2. El genérico que se encuentra buscando «github dns over https», pulsas en el enlace de Github (el primero) y copia el específico de Cloudflare en el apartado correspondiente, ese SI TIENE DNSSEC activado

      Una vez seleccionado la segunda, cierra el navegador y cuando lo abras ve a «ESNI checker enabler» y te aparecerá que el DNSSEC lo tienes activado

      Por lo visto, el de Mozilla tiene mayor privacidad, pero no dispone de DNSSEC activado

      • Diego

        Gracias por tu respuesta.

        He probado con el 2, el genérico (que es el mismo que el 1, quitándole la palabra mozilla de la dirección), y me sigue fallando esa prueba.

        ¿Por qué dices que es más privado el de Mozilla (1) que el genérico (2)?

        • Miroctum

          Tienes que reiniciar el navegador, si no funciona debes borrar la caché

          En «Modo 2» el navegador funciona por 2 DNS, las que tienes puestas en tu sistema operativo y el servidor DNS que tienes configurado en Firefox.

          Por esa razón, las pruebas eSNI te pueden salir bien o mal, de todas formas puedes repetir la prueba «Run the test again» y comprobarás que las 4 secciones están en verde

          Si quieres usar solamente el servidor DoH (Cosa que no recomiendo) debes cambiar el parámetro «network.trr.mode» a 3, para que no use los servidores DNS configurados en el sistema operativo

          • Diego

            He probado borrando la caché y reiniciando y sigue sin pasar esa prueba xD

            Ya tenía configuradas de antes las DNS de cloudflare en el SO, así que supongo que no perdería privacidad por poner el genérico.

            Estoy usando Firefox 66.0.3 en Ubuntu 18.04.

            Gracias de todos modos.

            • Miroctum

              Uso Firefox y Ubuntu 18.04, el mismo sistema operativo.

              Lo que sucede es lo siguiente:
              Los servidores de Cloudflare tienen miles de IPs repartidas por todo el mundo, por ejemplo el servidor 1.1.1.1 es un «Proxy» que redirige la petición al servidor DNS de Cloudflare mas cercano disponible, si ese servidor tiene activado el DNSSEC te aparecerá activado, si no lo tiene, no aparecerá activado.
              Utiliza tecnología ANYCAST

              De hecho poniendo el servidor DNS de Mozilla, me aparece que tengo el DNSSEC activado.

              Esto se aplica a los servidores DNS de Cloudflare, los normales y los de DNS over HTTPS.

            • Miroctum

              Yo por ejemplo mi sitio web utiliza la tecnología de Cloudflare.

              Tengo habilitado un subdominio que lo que permite es detectar a que servidor Cloudflare web se está conectando.

              Por supuesto está ubicación cambia dependiendo de donde se sitúe el usuario que visite mi sitio web

          • Diego

            Es curioso, porque el DNS leak test me informa de que estoy usando el mismo servidor DNS en ambos casos, con trr.mode 2 o 3. Pero la prueba sólo la pasa en el modo 3. Lo dejaré en el 3 para no complicarme más.

    • EVILGROUP

      Teniendo Firefox actualizado, métete en about:config y cambia:

      network.trr.uri -> https://1.1.1.1/dns-query
      network.trr.mode -> 2
      network.trr.bootstrapAddress -> 1.1.1.1
      network.security.esni.enabled -> true

      • Miroctum

        Se me olvido ponerlo en el post.
        Diego debe cambiar el valor «network.trr.uri» y poner el DNS genérico de cloudflare (el de Mozilla no soporta DNSSEC) y reiniciar el navegador para que el DNSSEC se encuentre habilitado.

        La IP no sirve para Movistar

        • EVILGROUP
          • Miroctum

            Poniendo la IP 1.1.1.1 no funciona, sin embargo poniendo 1.0.0.1 funciona bien.

            De todas formas con el servidor DNS puesto en este post, el genérico de Cloudflare y el 1.0.0.1, el resultado sale que «Secure DNS» está configurado como 1.1.1.1

            • EVILGROUP

              ?? A mi con la 1.1.1.1 me funciona 🙂

              • Miroctum

                Depende del router que tengas, es posible que tu Router no bloqueé el uso de la IP 1.1.1.1
                En mi caso el HGU no permite el uso de la IP 1.1.1.1, pero si permite el 1.0.0.1

      • Diego

        Gracias por tu respuesta.

        He probado todo lo que propones y sigue fallando esa prueba. Qué raro

        Estoy usando Firefox 66.0.3 en Ubuntu 18.04. Ya tenía configuradas de antes las direcciones DNS de clouflare en el SO

        • EVILGROUP

          Fuerza como dice @Miroctum:disqus el network.trr.mode -> 3 y vuelve a probar, cuando salga verde lo cambias a 2

          • Diego

            En modo 3 funciona, pero al poner otra vez el 2 vuelve a fallar la prueba.

            ¿Tan malo sería dejarlo en 3?

            • Miroctum

              Dejarlo en 3 indica que solo se usará los servidores DNS configurados en el navegador Firefox.

              La segunda web dnsleak .com te permite ver a que servidores DNS te estás conectando, si lo tienes en modo 2 te aparecerán los de Cloudflare y los que tienes configurados en el sistema operativo, provocando que salga el error el DNSSEC

              Si lo configuras en modo 3, solo te aparecerán los de Cloudflare y no te saldrá el error del DNSSEC

  • Nacho Laciar
    • Nacho Laciar

      Por cierto, de Firefox en MacOS.