Portada
mis comunidades
otras secciones
#2:
#1 Exacto, no es cierto. Como bien explica un usuario en los comentarios del artículo en adslzone...
"eoiuijlkg:
"Tu ordenador le pregunta al DNS qué ip tiene adslzone*net y el DNS responde, todo eso va cifrado, pero luego tu ordenador se conecta a la ip de adslzone*net igual que siempre y si adslzone no tiene cifrado, tu conexión irá pelada."
"ni Google ni nadie podrá conocer cuáles son las webs que visitan los usuarios."
No es así. Google sabe tanto como antes cuáles son esas webs, de lo contrario ¿cómo sabría Google (el DNS de Google) qué debe responder? El usuario pregunta al DNS cómo resolver una dirección web y el DNS de Google responde con la IP de esa dirección y lo hace enviando la respuesta cifrada pero el DNS sabe por qué página le preguntaron y qué respuesta dió, si no no podría funcionar.
"implementase de manera forzada DNS por HTTPS a través de Google Chrome, de tal manera que todo nuestro tráfico en el navegador pasaría a través de sus servidores"
Tampoco es así. Con esto, el único tráfico que pasa por Google y además cifrado es la petición al DNS, todo lo demás va como siempre.
En cuanto al ISP, esto al ISP le da igual, no sabrá qué dirección quiere resolver el usuario porque la conexión con el DNS va cifrada pero sabe qué página visita después el usuario porque es el ISP el que se encarga de conectar al usuario con esa página, la conexión del usuario va a través de los cables del ISP.
La forma de que el ISP no sepa qué visita el usuario es usando un proxy de tal forma que el usuario se conecta al proxy y el proxy enlaza con la web pero eso no es DNS por HTTPS, porque el DNS por https consiste en que tú le preguntes de manera cifrada al DNS por la ip de una web, nada más, todo el resto de la navegación va como siempre."
"eoiuijlkg:
"Tu ordenador le pregunta al DNS qué ip tiene adslzone*net y el DNS responde, todo eso va cifrado, pero luego tu ordenador se conecta a la ip de adslzone*net igual que siempre y si adslzone no tiene cifrado, tu conexión irá pelada."
"ni Google ni nadie podrá conocer cuáles son las webs que visitan los usuarios."
No es así. Google sabe tanto como antes cuáles son esas webs, de lo contrario ¿cómo sabría Google (el DNS de Google) qué debe responder? El usuario pregunta al DNS cómo resolver una dirección web y el DNS de Google responde con la IP de esa dirección y lo hace enviando la respuesta cifrada pero el DNS sabe por qué página le preguntaron y qué respuesta dió, si no no podría funcionar.
"implementase de manera forzada DNS por HTTPS a través de Google Chrome, de tal manera que todo nuestro tráfico en el navegador pasaría a través de sus servidores"
Tampoco es así. Con esto, el único tráfico que pasa por Google y además cifrado es la petición al DNS, todo lo demás va como siempre.
En cuanto al ISP, esto al ISP le da igual, no sabrá qué dirección quiere resolver el usuario porque la conexión con el DNS va cifrada pero sabe qué página visita después el usuario porque es el ISP el que se encarga de conectar al usuario con esa página, la conexión del usuario va a través de los cables del ISP.
La forma de que el ISP no sepa qué visita el usuario es usando un proxy de tal forma que el usuario se conecta al proxy y el proxy enlaza con la web pero eso no es DNS por HTTPS, porque el DNS por https consiste en que tú le preguntes de manera cifrada al DNS por la ip de una web, nada más, todo el resto de la navegación va como siempre."
Comentarios
#10 va en los headers, tendría que repasar la documentación pero me aseguras que los headers no van encriptados? No tiene sentido, que yo sepa se encripta la conexión al puerto 443 y luego se manda la petición, no tiene sentido lo que comentas.
#12 tienes razón. TLS cifra todo lo que va por encima, incluidas cabeceras. Equivoquéme. Por no pensar antes de escribir.
Joder, esto parece demasiado bueno para ser cierto. ¿Volvería con esto la neutralidad de la red? Rel: El DNS cifrado podría ayudar a cerrar la mayor brecha de privacidad en Internet. ¿Por qué algunos están en contra? [ENG]
El DNS cifrado podría ayudar a cerrar la mayor bre...
eff.org#1 Exacto, no es cierto. Como bien explica un usuario en los comentarios del artículo en adslzone...
"eoiuijlkg:
"Tu ordenador le pregunta al DNS qué ip tiene adslzone*net y el DNS responde, todo eso va cifrado, pero luego tu ordenador se conecta a la ip de adslzone*net igual que siempre y si adslzone no tiene cifrado, tu conexión irá pelada."
"ni Google ni nadie podrá conocer cuáles son las webs que visitan los usuarios."
No es así. Google sabe tanto como antes cuáles son esas webs, de lo contrario ¿cómo sabría Google (el DNS de Google) qué debe responder? El usuario pregunta al DNS cómo resolver una dirección web y el DNS de Google responde con la IP de esa dirección y lo hace enviando la respuesta cifrada pero el DNS sabe por qué página le preguntaron y qué respuesta dió, si no no podría funcionar.
"implementase de manera forzada DNS por HTTPS a través de Google Chrome, de tal manera que todo nuestro tráfico en el navegador pasaría a través de sus servidores"
Tampoco es así. Con esto, el único tráfico que pasa por Google y además cifrado es la petición al DNS, todo lo demás va como siempre.
En cuanto al ISP, esto al ISP le da igual, no sabrá qué dirección quiere resolver el usuario porque la conexión con el DNS va cifrada pero sabe qué página visita después el usuario porque es el ISP el que se encarga de conectar al usuario con esa página, la conexión del usuario va a través de los cables del ISP.
La forma de que el ISP no sepa qué visita el usuario es usando un proxy de tal forma que el usuario se conecta al proxy y el proxy enlaza con la web pero eso no es DNS por HTTPS, porque el DNS por https consiste en que tú le preguntes de manera cifrada al DNS por la ip de una web, nada más, todo el resto de la navegación va como siempre."
#2
Ni Google ni nadie podrá conocer cuáles son las webs que visitan los usuarios
Casi echo el café de la risa.
#2 como que no hay webs con IPs compartidas verdad...
#6 da igual que haya ips conpartidas, el isp sabe a que web vas. Los bloqueos de webs que estan haciendo los isps no te los saltas ni aunque el DNS este en tu ordenador. En la peticion al servidor de la web va la direccion a la que quieres acceder.
#8 como lo sabe? Que yo sepa haces una conexión encriptada al puerto 443 y luego mandas los headers con el get, post o lo que sea por tanto el ISP solo vería una conexión a un puerto TCP de una IP concreta, punto.
#13 en el mismo servidor hay webs cifradas y sin cifrar, y dentro de las cifradas, cada una con su certificado. Para saber como actuar, el servidor tiene que recibir sin cifrar a que web quieres entrar y actuar en consecuencia.
#15 estas seguro de eso? Entonces porqué unas van por el puerto 80 y otras por el 443
Esto de que hay "cifradas y sin cifrar" en un mismo servidor es falso, entendiendo como servidor un puerto TCP que da servicio, claro, no un "único" apache, nginx o lo que quieras, que no és lo mismo.
#16 por defecto todas se inician en el puerto 80.
Por poder puedes tener parte del dominio cifrado y otra parte sin cifrar.
#17 eso no es cierto... En que te basas? Si trenes dos dominios, uno cifrado y otro sin cifrar, los configuras dos veces, si fuera como tu dices eso no tendría sentido.
Además, solo tienes que hacer la prueba, instala un apache o nginx o lo que quieras sin puerto 80 y verás como funciona igualmente (si pones https:// en el navegador, evidentemente)
#18 y si le dices dominio.com:666 se conectara al puerto 666 pero todo el mundo pone dominio.com, ni siquiera le ponen el www, como para indicarle el https
Cada dominio se configura en el archivo de configuracion indicandole los parametros, en que carpeta estan los archivos, etc. Tu vas a la ip, le indicas a que dominio te refieres y el apache te envia la web que pediste, cifrada o sin cifrar segun este en la configuracion.
#19 te estás confundiendo mucho, lo que se hace es configurar igualmente el dominio en la parte sin encriptar con una redirección, normalmente una 301, a la parte encriptada, lo que provoca OTRA CONEXIÓN.
Eso que se connecta por defecto al 80 te lo sacas del bolsillo, se connecta al puerto que le indica la URI, si es http al 80, si es https al 443, con un simple netstat lo puedes ver pero claro, es más fácil hablar si saber, esto es meneame.
Por cierto, tu que carajo sabes de lo que "pone todo el mundo"? Para empezar lo que hace "todo el mundo" es ponerlo en el Google, no en la barra de direcciones, de echo si le hablas de la barra de direcciones a un usuario "normal" la mayoría no sabrán ni de que hablas.
#20 una redireccion desde la parte sin cifrar, bravo, y no crees que ahi ya te pillaron la url?
Va a donde le indicas, si http a un sitio, si https a otro, bravo, y cuando no le indicas nada, que es lo normal, a donde va por defecto?
#22 que no te enteras, paso, cada vez tengo más claro que no sabes de lo que hablas.
Además, si es una redirección permanente tu navegador seguramente el resto de veces ya connectará directamente por https (a menos que borres la cache, claro)
#24 obviamente, donde dije yo lo contrario? Y en que me contradice eso?
#25 como funciona entonces? y tu cuanto llevas? Espero que poco.
#26 aha, y? Como fue la primera vez? Cuentame.
#27 mira paso, solo una cosa, piensa que ocurre si en el navegador pones ftp://loquesea, ftps://loquese o incluso ftp://loquesea:25
En los tres casos el navegador utilizará el protocolo FTP (en lugar del http, que es el asociado tanto a http como https). En el primer caso se connectará al puerto 21, en el segundo en el 990 y si se entienden los certificados bien y en el tercero le contestará un servidor SMTP pero como la petición vendrá en protocolo FTP no se entenderán. (Nota, lo de ftps es como ejemplo porqué la mayoría de navegadores no lo implementan pero si lo hicieran sería así, en cambio si pones sftp:// también utilizará protocolo ftp pero sobre el puerto 22)
Resumiendo, no sabes de lo hablas, una cosa es el puerto donde conectas y otra el protocolo que utilizas, realmente no sabes de lo que hablas por tanto paso de contestar más
#28 tienes razon en todo eso que dices. Ahora contestame tu a mi, ¿Y si no pones nada? ¿Si solo pones meneame.net? ¿A donde va por defecto, a ftp, a https por el puerto 666? ¿A donde va por defecto?
#30 depende, donde lo pones? Si lo haces en un navegador moderno seguramente te mandará a Google donde seguramente aparecerá el link a https, le darás clic y todo será encriptado.
A ver si lo pillas, hay un cosa que se llama URI que indica el protocolo y normalmente el puerto pero este último se puede modificar, por ejemplo, si pones https : / / loquesea:80 te va ha decir que no funciona porqué dices que quieres utilizar protocolo TLS pero te conectaras a un puerto donde el servidor no "escucha" en TLS... Lo vas pillando?
Y sobre qué hace tu navegador si no pones URI, púes depende da cada uno, unos te mandan a Google, otros utilizarán lo que los desarrolladores hayan configurado como protocolo por defecto o incluso podría ser que algúno, echo por algún programador muy puritano, simplemente no funcione.
#31 donde va a ser, en cualquier navegador de ahora que sea relevante. Si quieres que especifique, firefox en su ultima version.
A google te manda si pones meneame a secas pero si pones meneame.net ya sabe que es un dominio y te manda al sitio, no a google.
A ver si lo pillas tu, no ponemos ni el www, como para poner el https y el puerto.
Repito, si no pones nada de eso, a donde te manda por defecto?
#32 insisto, depende, yo estoy harto de que el Firefox me mande a Google incluso cuando pongo http porqué tiene la puñetera manía de poner el autocompletar y como tengas el ratón justo debajo de la barra al hacer enter en el fondo te clica en la barra donde seguramente salía "buscar en goglee..."
En serio, no insistas, tengo Firefox, Firefox Aurora, Chrome, Chromium, Opera, Midori, Brave, Konqueror... incluso Lynx, y cada uno hace lo que sus desarrolladores han querido, no me vengas con pallasadas sólo porqué quieras tener razón, paso, no pienso contestar más por tanto si lo que quieres es la última palabra aprovecha que ya te digo ahora que no contestaré más.
#33 para pallasada la tuya. No depende de nada, es un comportamiento claro, lo que te ocurre a ti es una particularidad debido a que tienes raton en no se donde. No jodas, eso es culpa tuya, saca el rato de ahi.
Por defecto firefox te manda a http sin cifrar y por el puerto 80
#33 A parte de lo que ya dije, añado:
1.Con el uso del protocolo HTTP toda la información viaja de manera pública.
2. Con la utilización del protocolo HTTPS todo está cifrado excepto el dominio solicitado que contienen el documento web.
3. Al conectarse con HTTPS y una Indicación de Nombre de Servidor Cifrado (ESNI) también se protege el nombre del sitio.
https://es.wikipedia.org/wiki/Server_Name_Indication#Funcionamiento_de_ESNI
https://web.archive.org/web/20190508134323/https://www3.trustwave.com/software/8e6/hlp/r3000/files/1system_filter.html
Quizás deberías repasar tus apuntes.
#19 otro error en tu explicación, dices que si pones 666 se connecta a ese puerto y eso es verdad pero depende de ti si ese puerto lo tienes configurado con TLS y si fuese así la conexión sería encriptada, no es por el puerto, los números solo son "estándares" pero tu puedes hacer lo que quieras en cada puerto, incluso configurar un servidor web seguro en el puerto 80
#21 obviamente, cual es mi error? Por poder puedes hacer lo que quieras pero por defecto el 80 va sin cifrar.
#23 que no funciona así joder, te dedicas a esto? Cuanto tiempo llevas?
#19 y un tercer error, si configuras el apache como seguro y no pones la configuración de los certificados el apache directamente no arranca, te da error de configuración porqué son dos servidores distintos, uno escuchando el puerto 80 y el otro el 443, aunque por comodidad se utilice el mismo fichero de configuración (y por eso lo de los condicionales para incluir la configuración solo si el módulo ssl está cargado)
#2 Perfecto, sólo añadir que, aunque la conexión al servidor web sea cifrada, el ISP sabe a donde vas por el SNI.
Si no no podríann filtrar webs por orden judicial.
Solución: VPN, para que te espien desde otro pais, o ya TOR y esas cosas
#9 Para eso también está la encriptación del SNI jeje pero si, lo mejor es VPN o TOR
#1 Google es el primero que vive de saber lo que visitamos. No me creo que tire piedras sobre su propio tejado.
#3 al contrario, así se asegura sus solo él lo sabe y no el ISP, el qual ahora sólo sabrá la IP pero si es una IP compartida no sabrá el dominio.
#3 #5 matizo, lo sabrá si utilizas sus servidores dns, evidentemente....
#5 en la petición HTTP o HTTPS va incluido el dominio, precisamente para poder compartir direcciones IP; por tanto el ISP puede también saber eso analizando los paquetes en capa de aplicación.
El autor del artículo de ADSLZone parece ignorar que Cloudflare, con una política de privacidad a años luz de la de Google, tiene DNS encriptados desde hace tiempo... y que pueden usarse varios servidores DNS, no sólo los de Google o Cloudflare. En mi caso tengo DoH (DNS over HTTPS) a nivel de LAN y eSNI (Encrypted SNI) a nivel de navegador. Sin este último no se consigue nada. La razón estriba en que el nombre del sito al que se va aparece en claro en el handshake del SSL, cuando se establece la conexión HTTPS. Da igual que después el tráfico de datos esté cifrado y que las DNSs hayan sido cifradas si el sitio aparece cuando se establece la conexión con el sitio.
Corea del Sur banea sitios no por DNS, sino por inspección profunda de paquetes (por SNI, vamos), donde aperece a dónde estás yendo. Si eso se elimina, el censor, proveedor, etc, quedan ciegos: no saben a dónde queremos ir, no saben a dónde vamos y no ven qué datos movemos. El lógico que eso no guste a mucha gente.
Enlaces útiles:
https://blog.cloudflare.com/encrypted-sni/
https://1.1.1.1/help