¿Deberían los usuarios ordinarios de la web implementar de alguna manera la protección de extremo a extremo de sus solicitudes de DNS?

He leído que, cuando los navegadores envían solicitudes de sitios web, la parte de búsqueda de DNS de la solicitud no está cifrada y, por lo tanto, es una vulnerabilidad de seguridad.

No es la parte de búsqueda la que no está cifrada; una conexión típica de cliente de DNS a resolver es completamente no cifrada. En cuanto al riesgo de seguridad, es principalmente una preocupación de privacidad, ya que cada entidad entre el cliente y el resolver puede espiar el tráfico para ver qué/dónde estás visitando. Sin embargo, existe la posibilidad de Secuestro de DNS aunque este es un riesgo relativamente pequeño.

En el Secuestro de DNS, un actor malintencionado puede redirigirte a un sitio que controlan para recopilar datos de autenticación, además significa que tienen que construir ese sitio lo suficientemente convincente como para que creas que es el sitio que tenías previsto visitar. Esto significa que tendrían conocimiento previo de a dónde ibas.

También, soy consciente de que los enrutadores tienen configuraciones de DNS, sobre las cuales los usuarios de WiFi no tienen control.

Esto es incorrecto. Sí, tu enrutador tiene configuraciones de DNS, probablemente proporcionadas por tu ISP, pero tú tienes control sobre los servidores DNS a los que realizas la solicitud.

¿Pueden y deben los usuarios comunes de Safari, que acceden a WiFi compartido en varios lugares, implementar protección de extremo a extremo de las solicitudes de DNS que se originan desde sus dispositivos móviles de Apple? Si es así, ¿cómo?

No. Probablemente romperás cosas. Los administradores de redes usan el puerto 53 para el tráfico de DNS, por lo que ese tráfico está permitido a través del firewall. Así es como pueden insertar anuncios, realizar filtrado de contenido y registro. El tráfico cifrado pasará por un puerto diferente (853) que probablemente esté bloqueado, lo que significa que romperás la capacidad de resolución de direcciones IP a dominios de tu cliente.

También necesitarás obtener un cliente de DNS que admita cifrado para que funcione. Por ejemplo, una de las herramientas de diagnóstico que usamos con DNS es dig sin embargo, para realizar consultas cifradas, necesitarás kdig de Knot DNS. En cuanto a tus dispositivos móviles, necesitarás un cliente como 1.1.1.1 App de Cloudflare

¿Ayudaría a la seguridad si los usuarios cambian a Firefox u otro navegador?

Ayudará a tu privacidad y a un nivel minúsculo, ayudará a la seguridad, pero todo eso es insignificante si las redes WiFi compartidas a las que te estás conectando no permiten ese tráfico. Hay una excepción a esto, sin embargo. Si tu navegador utiliza DoH (DNS sobre HTTPS), entonces se vería como tráfico HTTPS cifrado normal. El desafío aquí sería encontrar un cliente y un servicio de resolver que ofrezcan esto.

TL;DR

¿Deberían los usuarios cambiar a DNS cifrado? (En mi opinión) Sería bueno verlo, pero es poco probable que suceda en un futuro cercano porque los administradores de redes/ISP no están dispuestos a renunciar a la visibilidad y control que les brinda el tráfico de DNS no cifrado.

Distinción importante, pero las solicitudes de DNS no cifradas no son una vulnerabilidad de seguridad, sino más bien un problema de privacidad. Dicho esto, la privacidad es una buena razón para querer ocultar el tráfico de DNS.

También debes tener en cuenta que https cifra los datos enviados en una solicitud y en su respuesta, pero no oculta el sobre o la dirección IP de destino. Esto es al menos tan importante como el DNS desde el punto de vista de la privacidad.

Así que para los usuarios móviles que comparten Wi-Fi en varias ubicaciones no confiables, hay múltiples problemas de privacidad.

Y, por supuesto, los ataques a tu privacidad pueden aplicarse a más que simplemente tu navegación web. Por ejemplo, el correo electrónico.

Una solución a todos estos problemas es usar una Red Privada Virtual (VPN) que cifra y enrutala todo el tráfico de la red a través de un tercero de confianza.

Para el "consumidor ordinario" hay múltiples proveedores de servicios VPN a nivel de consumidor. Personalmente, uso Private Internet Access, pero hay muchos más para elegir. La confianza es la gran pregunta con dichos proveedores, ya que todo tu tráfico de internet (DNS, navegación, correo electrónico, etc.) pasa por sus servidores. La única recomendación que haría es evitar los servicios VPN gratuitos.

Cuando se utiliza con propósitos laborales, el empleador puede proporcionar su propio servicio VPN para acceder a la red de trabajo y proporcionar un uso seguro de internet. Discute esto con el departamento de IT.

Nótese que esto de ninguna manera es una discusión exhaustiva de formas de asegurar el acceso a Internet.

El DNS no encriptado es principalmente un problema de privacidad, porque cualquiera que esté husmeando en el tráfico de tu red puede ver los nombres de dominio a los que estás accediendo. Así que, para responder a la pregunta del título: sí, los usuarios que valoran su privacidad deberían encriptar las solicitudes de DNS.

Tanto macOS como iOS admiten DNS encriptado a través de perfiles de configuración. Perfiles predefinidos para muchos servidores DNS conocidos e instrucciones de instalación están disponibles en Github. Esto asegurará un DNS encriptado para todo el sistema, con la excepción de Google Chrome (y probablemente todos los navegadores de Chromium).

PD: Incluso con DNS encriptado, el servidor DNS en sí mismo sigue sabiendo todos los dominios a los que estás accediendo. Así que elige uno que al menos afirme que no registra las solicitudes.