En sus inicios, la navegación web se implementó como un sistema carente de privacidad que permitía a sus usuarios ver contenidos sencillos en modo texto. Hoy, este servicio ha evolucionado tanto en funcionalidad, permitiendo visionar complejos diseños, como en sus métodos de acceso, permitiendo la descarga de dicho contenido web cifrado.
Según Google, en enero de 2019 noventa y seis de los cien sitios web más populares de Internet eran accesibles mediante el protocolo SSL/TLS (HTTPS). Este permite el envío y la recepción de contenido cifrado, mejorando en privacidad y seguridad el protocolo HTTP original. Además, Google también estima que la penetración del protocolo SSL/TLS (HTTPS) para el acceso a contenido web cifrado a través de su navegador Google Chrome está entorno al 80% en 2019.
Sin embargo, y pese a la buena acogida del protocolo HTTPS, aún quedan por subsanarse varias deficiencias que ponen en riesgo la privacidad de los usuarios en Internet, dado que aún no se ofusca el dominio web hacia el que se está navegando.
A lo largo de este artículo, se expone la combinación de dos técnicas que permiten la ofuscación de los dominios web hacia los que se navega, dificultando a un tercero el análisis del tráfico generado.
1. DNS cifrado
La navegación por Internet suele comenzar con lo que se denomina la resolución de nombre de dominio y que consiste en la traducción del nombre de una web (www.ejemplo.com) en una dirección IP (55.55.55.55).
La resolución de dominio se hace mediante un protocolo denominado DNS (Domain Name Resolution). Desafortunadamente, el protocolo DNS permite interceptar cuáles son los nombres de dominio por los que un usuario de Internet navega, ya que carece de cifrado alguno desde su definición inicial.
Uno de los pasos a tomar para salvaguardar la privacidad en Internet es el cambio a una nueva versión de servidores DNS que permitan su acceso cifrado mediante TLS o HTTPS. De esta forma se conseguirá ocultar las resoluciones de dominio y cubrir este primer agujero de privacidad.
La solución para esta carencia está bastante avanzada, puesto que ya existen tanto definiciones aprobadas para estas nuevas técnicas, como implementaciones.
Los nombres de los nuevos protocolos aparecidos son DoH para DNS sobre HTTPS, especificado en la RFC 8484 de la IETF. Y DoT para DNS sobre TLS, especificado en la RFC7858.
También es interesante destacar que en septiembre de 2019 el popular navegador Firefox ha anunciado que gradualmente irá activando DoH en sus versiones distribuidas en EEUU , dirigiéndolos a servidores operados por Cloudflare.
2. ESNI en TLS
Una vez que se conoce la dirección IP de la web a la que se quiere acceder ya es posible comenzar la navegación. En caso de navegar mediante HTTPS, nos han convencido a través de muchos medios de que la navegación es segura. Sí, es cierto, en resumidas cuentas es una navegación cifrada y segura, pero de nuevo se puede analizar el nombre de dominio de la web a la que se está accediendo.
Esto es así porque en el acceso a una web mediante HTTPS, es necesario comprobar el certificado de la página web a la que se accede, que se solicita mediante la indicación del dominio al que se quiere acceder sin cifrar, a través de la extensión SNI (Server Name Indication) situada en el primer paquete del protocolo SSL/TLS. Esto se hace así porque un servidor web puede proporcionar varias webs o servicios diferentes a través una misma IP.
La solución para esta deficiencia se está describiendo desde el 2018 en el borrador draft-ietf-tls-esni de la IETF, en el cual se especifica la metodología para lograr que el campo SNI se envíe cifrado en primer paquete HTTPS, impidiendo su lectura. Este nuevo campo a través del cual se envía el SNI cifrado se ha denominado ESNI (Encrypted SNI).
La propuesta actual consiste en la distribución de las claves y certificados para cifrar el SNI a través del protocolo DNS, aunque se deja abierta la posibilidad de usar otros canales.
DNS cifrado + ESNI en TLS
El uso combinado de ambas técnicas se resume en la siguiente figura.
Como se puede observar, la resolución DNS cifrada se aprovecha para obtener las claves a través de las cuales se genera el ESNI para la posterior navegación web.
Gracias a la combinación de estas dos nuevas técnicas, cifrado de DNS y ESNI en TLS, se consigue mantener en todo momento la privacidad de los nombres del dominio por los cuales se navega. Un paso más en el camino hacia una Internet completamente cifrada.