El otro día en una noticia de ADSL Zone se comentaba: “Los operadores critican a Firefox por usar DNS-over-HTTPS: ya no pueden bloquear webs“. Tras este titular tan llamativo se puede leer un artículo en el que además de contar cuatro pinceladas sobre DNS sobre HTTPS se contaba que los operadores no podrían bloquear webs al no poder interceptar el tráfico de DNS.

Sólo para que lo sepáis cuando se bloquea una web lo que se hace es cambiar los DNSs del dominio, los que se definen en el registrador, cualquier otro cambio es inútil pues el usuario puede cambiar los DNSs que usa, puede tunelizar el tráfico contra los DNSs o incluso usar una VPN.

A un operador le da exactamente igual las páginas que visites, excepto por temas de optimización, que luego os cuento. El bloquear webs no es algo que a un operador le apetezca en lo más mínimo, al menos yo jamás he visto que se bloqueen webs sin una orden judicial y por supuesto tampoco he visto que se interfiera en el tráfico de DNS, aunque hay cosas parecidas, como lo que hace Orange, entiendo que sin querer, también os lo cuento luego.

Pues lo dicho, en el programa de hoy voy a tratar de contaros un poco qué es eso del DNS sobre HTTPS porque desde luego lo importante de esto no es si se pueden bloquear webs o no.

Antes de nada aclarar lo que os he contado hace unos segundos. Al operador le interesa saber donde te conectas para optimizar su tráfico, pero para eso no necesita el DNS, relamente no lo mira, es decir, como si no existiera.

Para optimizar el tráfico se mira a qué AS hay más tráfico, por qué tránsito se sale y si es el camino óptimo, si la cantidad de tráfico lo merece y se puede optimizar se realizan los cambios pertinentes, normalmente modificando la local preference para ese prefijo. Se busca reducir latencias, ya sabéis a menos latencia más ancho de banda efectivo y mejor percepción por parte del usuario.

A lo mejor le interesa optimizar para ahorrarse un dinero o para apretar al proveedor de tráfico y la decisión de por donde se saca el tráfico ya no es la percepción del usuario, sino otra.

Pero aquí como veis el DNS da exactamente igual y aunque no se pueda ver el tráfico de DNS nos da igual porque lo que vemos es el netflow, que es lo que nos interesa.

Y lo que hace Orange, al menos en mi caso es forzar los DNSs que ofrece el servidor de DHCP del Livebox que te ponen, obviamente puedes forzarlos a mano en los PCs, pero mucha gente no sabe hacer eso.

Pero lo que hacen peor es haber puesto dentro del router la IP 1.1.1.1, así que si intentas resolver con el resolver de la 1.1.1.1 realmente quien te estará resolviendo es el Livebox de Orange. Me consta que en Orange se conoce el problema, pero no deben de considerarlo importante, una pena y una lástima que hagan eso.

Bueno, pues si os parece, vamos a ir entrando en materia sobre el tema que nos ocupa el día de hoy.

DNS sobre HTTPS no es más que el DNS de toda la vida, pero utilizando HTTPS, Esto nos permite tener unas respuestas a las peticiones más rápidas, básicamente porque necesitamos menos envíos de información para ello. Esto repercute directamente en la carga de las webs, que es realmente lo que le importa a la gente.

Una web además de tener lo que está en el servidor puede tener el widget de facebook, tendrá que cargar también de facebook, luego el de twitter, lo propio con twitter, además los anuncios, de donde sea, el google analytics, etc….

Es decir,