Hasi baino lehen, baliteke gai hau normalean lantzen ditudanak bezain dibertigarria ez izatea (gehitu hemen zuen gustokoena den emotikono ironikoa), baina saia gaitezen behintzat gai hau ahalik eta ulergarri eta ulerterrazen egiten, ea lortzen dudan. 

Gaurko artikuluan DNSari buruz hitz egingo dugu. Ez egin ihes, mesedez, bestela ere egun hauetako konfinamenduarekin nora joan askorik ez duzu eta. Bai, DNSa, eta bere eboluzio berria. DNSa zer den ez dakizula? Lasai, artikulu honetan oinarrizko azalpena emango dugu eta.

DNSa (Domain Name System, ingelesez) domeinuen funtzionamenduan funtsezkoa den sistema bat da. DNSaren bitartez jakiten dute interneteko arakatzaileek non topa dezaketen domeinu-izen bati lotutako webgunea, edo helbide elektroniko baten posta zerbitzaria. 

DNSrik gabe domeinu-izena izen huts bat da, ezertarako balio ez duena. Domeinu-izenak guri interneten erabileran laguntzeko existitzen dira, baina arakatzaile eta zerbitzariek IP helbideekin lan egiten dute. Domeinu-izenei esker ez dugu buruz oroitu behar berria.eus webgunea 145.239.192.54 IP helbidean dagoela. Ip helbide bat oroitzea zaila bada, imaginatu erabiltzen dituzun webgune guztiekin hori egin beharra.

Guk gure ordenagailu edo beste edozein gailutan webgune bat bisitatu nahi dugun bakoitzean, interneteko arakatzaileak DNS zerbitzariak kontsultatzen ditu, eta hauek itzultzen diote webgune horren IP helbidea zein den. DNS zerbitzari horiek aurkibide erraldoiak dira, domeinuen IP helbideak eta bestelako konfigurazio informazioa gordetzeko erabiltzen direnak.

Beti bezala, bost paragrafo pasa dira eta oraindik ez naiz artikuluaren muinera iritsi. Ea ba. 

Aipaturiko DNSak daukan arazoetako bat da enkriptatu gabe bidali eta jasotzen direla eskaera/erantzunak eta komunikazioaren kautotasuna, konfidentzialtasuna eta integritatea ezin direla ziurtatu. Horrek zein ondorio dauzka? Adibidez, norbaitek gure arakatzailetik egindako eskaera bat atzeman dezakeela, eta erantzuna faltsutu, guk eskatu ez dugun webgune batera bideratuz. Webgune faltsutu hori guk berez bisitatu nahi genuen webgunearen kopia maltzur bat izan daiteke, gure informazio pertsonala erauztera bideratua.

Beste adibide bat. Jar gaitezen 2017an Katalunian egindako erreferendumaren garaietan. Erreferendumaren berri ematen duten webguneetako batera sartu nahi dugu, baina gure internet hornitzaileak gure eskaera blokeatu du (espainiar estatuko gobernuaren zentsura agindupean, bide batez). Blokeo hori egitea posiblea da guk bisitatu nahi ditugun webguneen eskaerak gure internet hornitzaileak ikus ditzakeelako.

Arazo horiei aurre egiteko bi alternatiba nagusi daude eztabaidagai: DoT eta DoH. Zein da bakoitzaren funtsa? Orain ikusiko dugu.

DoT (DNS over TLS) aukerak DNS-aren funtzionamendu berdina dauka baina TLS bidez enkriptatzen dira eskaera/erantzunak. DNSan eta DoT-an erabiltzen diren DNS zerbitzariak berdinak dira, normalean gure internet hornitzaileak kontrolatutakoak izaten direnak. Bide batez, aipaturiko TLS protokoloa protokolo kriptografiko bat da, eta HTTPS-agatik da ezaguna, batez ere. 

Konparaketa bat egiteko, HTTPS webguneekin modu seguru batean komunikatzeko erabiltzen den bezala (HTTP protokolo ez-segurua hobetuz), DoT DNS zerbitzariarekin modu seguru batean komunikatzeko erabiltzen da (DNS protokolo ez-segurua hobetuz). Lehengo bi adibideen kasuan, ekidin egingo luke norbaitek gure eskaeraren erantzuna faltsutzea. Erreferendumaren kasuan, baina, berdin blokeatuko lukete eskaera, erantzuna ematen digun DNS zerbitzariak lehengo berdina izaten jarraitzen duelako.

DoH (DNS over HTTPS)-ak gure eskaera HTTPS-rekin enkriptatzeaz gain aldaketa sakonagoak dakartza. Izan ere, gure eskaerak internet hornitzailearen DNS zerbitzarira joan ordez, zuzenean DoH-rekin lan egiteko prest dauden DNS zerbitzari batzuetara joango dira. 

DoH-a bultzatzen dabiltzan eragile ezagunenen artean Google eta Mozilla fundazioa daude, baita Microsoft ere, beste askorekin batera. DoH-ak dakarren paradigma aldaketak botere borroka bat sortu du internet hornitzaile (orain arte erabiltzen diren DNS zerbitzarien jabeak) eta DoH-aren sustatzaileen artean (DoH-arekin indarra hartuko duten DNS zerbitzarien jabeak). Izan ere, internet hornitzaileek kontrola galduko dute eta bere erabiltzaileen erabilera datuetarako sarbidea galduko dute, beraiek ere DoH-rekin funtzionatzen hasi ezean.

Lehengo bi adibideetara bueltatuz, DoH-ak bi arazoak konponduko lituzke. Inork ezingo luke gure eskaera bati egindako erantzuna faltsutu eta, erabiltzen dugun DoH zerbitzariaren kudeatzaileak Espainiako gobernuaren aginduei kasurik egingo ez diela suposatzen badugu, ezingo dituzte gure eskaera horiek blokeatu. Kudeatzaile horiek atzerrian egonik, gobernuarentzat zailagoa litzateke enpresa horiek zentsura agindu horiek betetzera behartzea.

Hala ere, badago beste puntu bat DoH-aren inguruan. Babesten dutenek esaten dute erabiltzaileen pribatutasuna babesteko aukera ona dela, gure internet hornitzailearengandik babesten dituelako gure datuak, beraiei datu horien erabilera komertzial bat egitea ukatuz. 

Enpresa batzuengandik babestuko gintuzke, bai, baina datu horiek orain beste batzuek ikusi ahalko dituztenez, ikusteko dago datuen erabilera komertzial hori eteten den ala ez. Guk erabili nahi dugun DoH hornitzailea aukeratzeko hautua dugun heinean, ez legoke arazorik…

Oharra: Gaur egun DNS-a babesteko erabiltzen den DNSSEC ere erabili daiteke gure domeinuaren DNS ezarpenak babesteko. Zehazki, gure domeinua bisitatu nahi dutenen DNS eskaeraren erantzuna kautotua eta integroa (gu eta erabiltzailearen artean inork fede txarrez aldatu ez dituela, alegia) dela ziurtatzeko erabiltzen da. DNSaren luzapena den DNSSEC ez dago oso zabalduta, baina domeinu-izen gehienetan jartzeko aukera dago, .EUS-en barne. Honekin lehen jarritako lehen adibideko arriskuaz (gure eskaera norbaitek faltsutsearena) babestuko ginateke, baina ez bigarrenaz (erreferendumarena).