#3 Hombre claro. Hasta los criminales tienen un limite, incluso el propio Joker  

#1 El tema del DNS cifrado se está explicando mal. El asunto no es que tu proveedor no sepa las peticiones DNS que haces, que da igual por que sabe todo a lo que accedes, el asunto es que en el rutado que hay entre el envio de la petición DNS desde el ordenador cliente y la ubicación donde esté el servidor DNS utilizado, nadie pueda interceptar esas peticiones.

Lo que han hecho es facilitar con DNS over HTTPs el uso de este sistema e incorporarlo en los navegadores y próximamente en los SO, cuyo servicio viene a ser algo similar a lo que desde hace años se podía hacer utilizando un cliente DNSCrypt.

A no mucho tardar va a aparecer Quad9 en la lista, Quad9 por cierto que a mi modo de ver es mas recomendable que Cloudflare, con servidores en España y protección para webs maliciosas que estén dadas de alta en alguno de sus proveedores antimalware.

pero.. quiere decir esto que firefox no usará el servidor dns que el PC tenga configurado, si no que cuando navegas será el propio firefox el que haga la consulta a cloudflare saltandose la configuración TCP IP ?

#16 Correcto, puedes tener todos los dominios que quieras utilizando una misma IP

#3 ¿El problema de negarle algo a un nazi es ...?

#9 Efectivamente...
Es una opcion que YA EXISTE en Firefox desde hace un tiempo y como usuario eliges si la usas o no, desactivar o activar y elegir qué DNS (que soporte dns sobre https) utilizar, no tienes por que usar los que proponen.
Lo que va a cambiar es que van a activar la opcion POR DEFECTO

#6 Y se ve que no hacen de policía. ¿O es que te molesta que traten peor a los nazis que a otros terroristas?

#9 sí

#9 eso mismo me pregunto yo. Eso NO me gusta. Yo tengo en el servidor DHCP del router las dns que quiero que use toda la familia, y las cambio cuando creo conveniente. Eso de que firefox, por muy "guay" que sean, decida por mi... pues no.

Nuevo record en la Ley de Godwin

#6 Suena poco ético pero es así... Totalmente de acuerdo contigo en esto. O todos o nada, sean Nazis, terroristas o lo que sea.

Firefox, por defecto, "regalando" datos a Cloudfare... de los usuarios.

#14 Una pregunta a ver si alguien sabe: en mi empresa tenemos un DNS local que sirve direcciones internas. ¿Esto significaría que firefox ya no tendrá acceso a esos nombres? o si falla el dns de Cloudflare utiliza los indicados por el DHCP?

Es que no me gustaría tener que estar diciéndole a cientos de personas cómo configuar su navegador...

#1 Mozilla prostituyendo a sus usuarios... No se a que me recuerda

Va a ser interesante preguntar si Cloudflare ha pagado por esto.

#55 Sí, tiene que soportarlo. En mi caso la página bloqueada está detrás de cloudflare, que sí lo soporta, así que va sin problemas y me ahorro usar una VPN. Las demás páginas también van sin problemas.

#1 Incorrecto. Tu proveedor no sabrá el nombre del dominio al que vas, pero, evidentemente, sabrá la IP en cuanto comiences a pedir paquetes. Ergo sí sabrá a dónde vas.

#22 Y los demás navegadores a Facebook, Microsoft, Google y operadores

#28 Mejor que Chrome, Edge y Opera si es, Explorer ni lo pongo eso es una negación de navegador aunque se siga usando.
Si no te gusta Firefox tienes Tor, Vivaldi y Brave

#13 Un poco incorrecto lo tuyo también. Tu proveedor también sabrá el nombre del dominio gracias al SNI, no llega con usar DNS cifrado, también has de cifrar el SNI, en firefox lo puedes activar en about:config buscando network.security.esni.enabled . Puedes hacer la prueba en www.cloudflare.com/ssl/encrypted-sni/

Con todo activado te saltas el bloqueo de los ISPs pero si solo activas el DNS cifrado, no consigues nada.

CC/ #1

#9 "Por defecto". Eso quiere decir que si lo desactivas, cogerá tu información local.

#16 Sí. Y eso dificulta que tu proveedor te corte el acceso a una web. De igual forma, para webs escurridizas como the pirate bay, pueden seguir con su dominio indefinidamente, que si cambian de ip con frecuencia eso dificulta que el proveedor sepa identificarla, y la censure.

#24 si la gente usa el DNS local (y éste, luego tira de los que sea para resolver lo externo) cualquier servidor externo registrara que ese DNS (como cliente) es el que le pide resolver... vamos, que asociará todas las busquedas a la IP de la empresa y no asociada a un equipo concreto.. luego ya, que las paginas de destino se dediquen a sacar firmas únicas por equipo según lo que pueda ejecutar el navegador...

la idea al usar DNS over HTTPS es que el trafico va cifrado, así que tu proveedor no puede saber qúe estas preguntando

#36 pues no se.. no hay en la configuracíon ninguna opcion para "no usar dns publico en tu subred" o algo así.. pero yo estoy usando NextDNS (alternativa a Cloudfare) y no he tenido ningun problema con servidores internos que ningun dns publico conoce... aunque ahora que lo pienso, igual estoy haciendo una tontería porque si o si el http y https nos lo pasan por un proxy sin posibilidad de protesta

#42 en teoria todo lo que pido es https

#32 Bueno, Firefox es una fundación que tiene que financiarse. Es como cuando en la página de "nueva pestaña" meten amazon o similares. Si se puede deshabilitar, yo no veo problema.

#13 la IP de varias web, si comparten hosting, puede ser la misma, no?

Llamadme paranoico pero, ¿esto no facilita la labor a los censores/gran hermano? Antes tenían que lidiar con infinidad de proveedores de DNS y ahora ya solo tienen que tratar con cloudflare.

#1 Y Cloudflare es una empresa... ¿de qué país dices?

NextDNS también está integrado en firefox, no hace falta recurrir a Cloudfare. A ver si Proton se anima a sacar el servicio para combinarlo con su VPN sin tener que recurrir a terceros.

#9 Sip, es Firefox... el nuevo Microsoft/Google... hacen lo que les sale de los huevos...

De momento se podrá desactivar, pero a ver cuándo lo hacen casi imposible (como con los chequeos de actualizaciones).

#19 Claro, y le dan la información de las peticiones a ciertas empesas... así luego harán un bonito gráfico y lo podrán vender al mejor postor...

Qué buena idea, centralizar las peticiones DNS...

No estoy muy puesto, pero por lo poco que he leído, DoH no sirve para nada... excepto tocar los cojones...

Y a ver cómo se ve qué peticiones DNS hace una web o servicio (o lo que sea)... me da que es más inseguro que seguro.

Y todo sólo para evitar un MITM para peticiones DNS?...

#26 de peticiones DNS? lo dudo mucho... y, en todo caso, Firefox no es mejor que esos que nombras...

#27 A ver, vuelvo a explicarlo, no es que no sirva para nada, encripta las peticiones DNS entre el ordenador cliente y el servidor que resuelve.

El proveedor sigue viendo por donde navegas, eso está claro.

Y si, si le das las peticiones a una empresa pues dos cosas, o te fias de esa empresa, o te beneficias de algun servicio extra que da como filtro parental o protección malware o sigues con las DNS del proveedor ya que el proveedor ya sabe por donde navegas.

Y ahí esta el tema, encripta las peticiones DNS, que no sirve para nada mas que para lo que su propio nombre indica, encriptar las peticiones DNS.

Yo estoy con Quad9, lo que hagan con mis estadísticas, sinceramente me da igual, al menos me beneficio en todos los dispositivos de red de la protección que dan utilizando varios proveedores de seguridad.

#46 Es que, justamente, rompe los servicios de protección parental y demás, porque el sistema que tengas no puede ver las peticiones DNS... por lo que no puede bloquearlas.

Y, repito, según entiendo, lo único que evita es un MITM... y si alguien hace eso, tener cifradas las peticiones DNS es uno de tus menores problemas...

#37 Eso de que FF sea mejor, no estoy para nada de acuerdo (y Chrome me cae como el culo, pero puedo tener 15 ventanas con más de 20 pestañas cada una y no pasa nada, pero tengo 2 ventanas de FF con 6 pestañas y la RAM a tomar por culo... y más con el tiempo...)

Completamente de acuerdo con el último párrafo... no le veo ninguna ventaja a DoH.

#41 Es la mentalidad de FF de los últimos tiempos, al igual que Google, ellos saben mejor que tú lo que tú quieres...
No hay más que ver el sistema de actualizaciones, que de hace varias versiones quitaron la opción de no chequear actualizaciones... así ellos saben qué versión tiene la gente y hacen sus estadísticas...

#47 Es que tu te adelantas demasiado, es un añadido, quien quiera lo usara, quien no pues no, habrá quien quiera y no pueda por algún motivo y ya está. ¿Aporta algo?, si, por supuesto, pero tampoco es una varita mágica que lo solucione todo.

Cualquier avance es bueno, lo cual no quiere decir que cualquier avance deba ser usado por el 100% de los usuarios.

Yo por ejemplo, aunque Quad9 por DoH va perfectamente, voy a seguir usando el método normal de toda la vida.

#44 Reconoceras que hay una diferencia sustancial entre dejarte un folleto en el parabrisas a seguirte en coche hasta en el puticlub.

#6 woops.

#8 si le entiendo bien, le molesta que apoyen al terrorismo usando la excusa de que solo son una herramienta neutral.

Y utiliza el caso de los nazis para demostrar que lo de ser una herramienta neutral es una excusa porque pueden tomar partido y toman partido en otras ocasiones.

Así que el compañero no está defendiendo a los nazis, sino atacando a los terroristas y a sus complices.

#13 Y para eso necesitas una VPN por medio.

#24 Interesante pregunta, asi que he buscado info.
arstechnica.com/information-technology/2020/02/firefox-turns-encrypted

En los comentarios con mas votos comentan que
1) Si firefox detecta 'enterprise policies' en el equipo no activa DoH por defecto.
2) El DNS normal se usa como 'fallback' si DoH no da respuesta.

En principio no hay que hacer nada. Aunque a futuro y si el DoH triunfa, lo suyo sera que las empresas también actualicen sus DNS internos.

#33 luego ya, que las paginas de destino se dediquen a sacar firmas únicas por equipo según lo que pueda ejecutar el navegado

No me preocupa la privacidad. Eso ya se que no existe. A ver, si tu dentro de la empresa accedes a zaraza.zaza, el DNS local lo resuelve y te funciona correctamente. Si pones google.com lo resulve externamente y funciona también.

Lo que me preocupa es que llegue el momento en que se actualice Firefox y cuando la gente ponga zaraza.zaza Firefox lo consulte contra Cloudflare, (que obviamente no sabe lo que es zaraza.zaza) y la gente empiece a quejarse de que no le funcionan las cosas. Claro, que se puede desactivar. Pero ponte tu a explicarle cómo se hace a cientos de personas a las que de un día para otro dejó de funcionarle la página de la intranet mientras la llamada en espera pita insistentemente y el Telegram no deja de avisar de mensajes nuevos.

#28 Si, de peticiones DNS... previo pago a los ISP, claro. Y Firefox SI es mucho mejor que todos esos.

Otro tema es si realmente esto del DoH sirve para algo. De momento las cabeceras HTTPS todavía incluyen en texto claro el hostname principal, por lo que el beneficio no es que sea mucho.

#35 2) El DNS normal se usa como 'fallback' si DoH no da respuesta.

Ah, genial. Eso solucionará muchos problemas.

lo suyo sera que las empresas también actualicen sus DNS internos.

Eso no sería problema. Pero si Firefox pregunta siempre a Cloudflare, no servirá de nada.

#30 Hay una lista de proveedores DoH. Coudflare es el que esta puesto por defecto, pero hay un par mas. Y la idea es que esa lista crezca, claro.

#40 Ah, claro. Si te pasan por un proxy entonces no utilizas DNS. Todo lo que pida el navegador por http va directo al proxy y es éste el que resuelve la dirección como quiera. El https es diferente. El navegador lo que hace es pedir al proxy que abra un socket y pase de forma transparente el tráfico... A no ser, claro que tengas instalado en tu PC un certificado propio de la empresa que permita interceptar el tráfico y analizarlo.

#48 Creía que hablábamos de ética, no de rendimiento. Si es lo segundo es cierto que FF es mejorable. Aunque la verdad es que no soy de abrir mil pestañas y con 16GB de RAM no creo que se fuera a notar mucho en cualquier caso.

#53 Lo mejor es Unbound mas lista de hosts. Capas todo lo relacionado con anuncios y rastreo para todos los programas.

#34 Pero... el SNI cifrado no lo tiene que soportar también el servidor?