Estoy pensando en pasarme a los DNS de Mullvad, ya que sus DNS son públicos y no hace falta tener su VPN. Mi duda es, aunque creo que conozco la respuesta ¿los DNS de Mullvad tienen cifrado el SNI o me hace falta su VPN para que lo haga?
- 💬 Foros
- Servicios
¿Los DNS de Mullvad tienen cifrado el SNI?
El SNI cifrado no es una característica del servidor DNS.
Ya me expliqué mal hablo de DoH
Si buscas "mullvad doh" el primer resultado de Google (en la web de mullvad) dice
Our encrypted public DNS service uses DNS over HTTPS (DoH) and DNS over TLS (DoT).
El SNI sólo se aplica a HTTP.
No sé qué tienen que ver las DNS en todo esto, al no ser que estés haciendo una referencia vaga sobre el DoH.
Aclara qué tipo de configuración estás realizando.
Si , hago referencia a DoH ya que lo quiero evitar es es que el operadorar vea mis peticiones
Con DoH o DoT, tu operadora no va a ver las peticiones ya que no se utiliza SNI.
Pero una vez resuelta la DNS, evidentemente la petición hacia el servidor final va a implicar mandar el SNI… Y ECH (que es a lo que haces referencia) es una función experimental, con lo que lo más probable es que el SNI vaya en claro y no puedas hacer nada que no sea con una VPN.
No ve las peticiones, pero ve a donde conectas, DoH es una función de seguridad, no de privacidad.
A no ser que haga domain fronting (que es decirle a la web que te conectas al dominio pepito.com a nivel del túnel HTTPS, pero luego dentro del túnel cifrado pides páginas al dominio paquito.net) que es algo que solo funciona en alojamientos compartidos tipo Cloudflare y Azure para cosas muy específicas… todos los que estén entre el punto de envío y recepción pueden ver (y en teoría bloquear con DPI) el dominio en el primer paquete HTTPS. Para eso existe ECH; no desvelar el dominio por fuera del túnel.
La VPN cambia el punto de envío.
Mi opinión es que los DNS "privados" tipo DoH son una engañufa que solo beneficia a Google, al hacer el bloqueo de anuncios a nivel de red local más complicado para cacharros tipo Chromecast.
Una aplicación o televisión inteligente que decida no permitir cambiar su servidor DoH puede evadir gran parte de bloqueadores de contenidos. No está al servicio del usuario, al revés, se protege de él.
doh estuvo bien durante un tiempo, cuando muchas operadoras bloqueaban a nivel DNS pero no hacían dpi para ver el sni.
Hoy día las operadoras se han puesto "serias" al respecto.
Estoy de acuerdo , pero tema TV lo mejor es un pihole
No está al servicio del usuario, al revés, se protege de él.
Me gusta ese punto de vista y cómo lo has expresado.
No te recomiendo mullvad ya que no soportan ECS ni tienen servidor en España así que las resoluciones hacia CDN vas a acabar enrutado a la ubicación más próxima al CDN que te resuelva. Para colmo, hoy no he probado, estos días andaban enrutando hacia el servidor en USA en vez de el de Frankfurt que es el que debería corresponder.
Si quieres usar DOH usa otro, incluso mejor DOQ si te cuadra alguno, dependiendo de si quieres solo resolución o algún tipo de filtrado como publicidad o malware.
Yo actualmente tengo cloudflare con de DoH pero me quedaré como estoy , ya que los de mullvad no me va a dar nada
Por velocidad de resolución cloudflare suele ser algo más rápido que Google, el tema es que Google es más amigable con CDNs y puede darse el caso de que con Google acabes, en la resolución a webs distribuidas, mejor enrutado que con Cloudflare.
Ya que se ha creado el hilo aprovecho para comentar una cosa por si algún otro usuario buscando acaba en el. Me he puesto en contacto con soporte de Mullvad y me han contestado confirmando que si, que parece que el rutado al servidor que resuelve va a parar a NYC. Así que de momento no lo uséis por que, mínimo desde Movistar, al acabar en NYC, tenéis 110ms.
Si vais a probar desde otro ISP, pues lo mas fácil es que le hagáis un ping a alguno de los servidores que tienen, dns.mullvad.net mismamente, si todo fuera bien os tendría que dar unos 35ms si enruta a algún servidor europeo.
Les he vuelto a contestar por que si, confirman el asunto, pero no aclaran si van a hacer a algo o simplemente es así y no hay mas.
Ya que comente sobre el tema, he estado investigando más, y vuelvo a aportar info de Mullvad DNS. Por si sirve a alguien.
Desde Movistar confirmado que enruta a USA, se lo comunique a Mullvad pero es posible, como ha pasado otras veces con otros servicios, que Mullvad poco pueda hacer.
No he mirado con exactitud rutados pero si lo suficiente, les he dicho que hicieran alguna prueba a usuarios de esas operadoras y Vodafone y Digi enrutan hacia como debe ser a los servidores de Mullvad DNS en Europa. Orange/Jazztel tambien enruta hacia USA.
En el caso de Movistar, nada nuevo, la típica de Movistar, en otra similar estuve mes y pico intentándolo y contactando por todos los lados que encontré y no hubo forma. Estás cosas MV las arregla… cuando le cuadre bien, igual mañana, igual dentro de x meses o algún año de estos.
Pues eso, por si le viene bien a alguien saberlo. Mullvad DNS es buen servicio, muy transparente y seguro, con buena selección de listas en sus configuraciónes con filtrado, pero no desde cualquier ISP.
Si alguien quiere verificar es facil, con un ping es suficiente, a Europa serán unos 30ms y a USA algo mas de 100ms.