Configurar DNS sobre HTTPS (DoH) en Windows puede ser un poco complicado, sobre todo porque, por defecto, el tráfico DNS se envía en texto plano, lo que deja mucho margen para la interceptación o manipulación de terceros. Si te preocupa la privacidad o simplemente quieres deshacerte de la etiqueta de «no cifrado», habilitar DoH significa que tus consultas DNS se encapsulan en una conexión HTTPS cifrada. Pero, a decir verdad, el proceso no es del todo sencillo, sobre todo en Windows 11, que finalmente añadió compatibilidad. Así que, aquí tienes un resumen de lo que me funcionó y qué puedes probar si las cosas parecen extrañas o no funcionan como deberían.
Cómo habilitar DNS sobre HTTPS desde la GUI de Windows
Utilice el menú Configuración para activar DoH para su red
- Dirígete a Configuración —> Red e Internet —> selecciona tu interfaz de red (Ethernet o Wi-Fi).
- Haga clic en Propiedades (no sólo en el nombre de la conexión, haga clic en los detalles).
- Desplácese hacia abajo hasta la sección de asignación del servidor DNS y haga clic en Editar.
- En el menú desplegable para Editar DNS, elija Manual, active IPv4 o IPv6 según sea necesario y luego ingrese las direcciones IP del servidor DNS que admiten DoH, como 1.1.1.1 y 1.0.0.1 de Cloudflare o 8.8.8.8 y 8.8.4.4 de Google.
- Ahora bien, aquí viene la parte complicada: la configuración para habilitar DoH específicamente en la interfaz gráfica de Windows no es obvia. A diferencia de Windows Server o algunos navegadores, Windows 11 no tiene un interruptor explícito en la interfaz de red para «Habilitar DNS cifrado».
- Sin embargo, puedes forzarlo en Windows 11 ejecutando comandos de PowerShell (ver más abajo).En algunas configuraciones, Windows usará tu servidor DNS con DoH si reconoce que el servidor lo admite, pero no está garantizado sin ajustes adicionales.
Nota: Si desea que Windows prefiera explícitamente DoH, es posible que deba modificar la configuración del registro o usar herramientas de línea de comandos. Porque, por supuesto, Windows tiene que complicarlo más de lo necesario.
En Windows 11, configure a través de PowerShell
Esto es lo que me ayudó a que DoH funcionara. Puedes agregar tu servidor DoH preferido al sistema y controlar su uso mediante líneas de comandos. Por otro lado, algunos usuarios informan que, en ciertas computadoras portátiles o configuraciones, estos comandos deben ejecutarse con privilegios de administrador y reiniciarse después. Por ejemplo, para agregar el servidor DoH de Cloudflare con la URL para el filtrado (modo familiar):
$DNSServer = "1.1.1.3" # or 1.0.0.3 for family DNS Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://family.cloudflare-dns.com/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $TrueEsto debería agregar el servidor DoH y hacer que Windows lo use para consultas cifradas. Después, actualice la configuración de la interfaz para que prefiera este servidor:
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses $DNSServerY luego, imponga explícitamente el uso de DoH modificando el registro o mediante la directiva de grupo. Para el registro (de nuevo, ejecute como administrador):
New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Dnscache\Parameters" -Name "EnableAutoDoh" -Value 2 -PropertyType DWord -ForceEsta bandera (valor 2) activa la compatibilidad automática con DoH. En algunas máquinas, falla la primera vez, pero funciona tras reiniciar. No sé por qué, pero vale la pena intentarlo.
Cómo verificar que DoH funciona en Windows
Consulte con el monitor de tráfico de red
En Windows, puedes usar la herramienta integrada pktmon.exepara comprobar si las consultas DNS están cifradas. Es un poco engorroso, pero funciona. Primero, elimina los filtros existentes:
pktmon filter removeLuego, agregue un filtro para el puerto 53 (DNS normal, UDP o TCP):
pktmon filter add -p 53Iniciar el monitoreo en tiempo real:
pktmon start --etw -m real-timeSi todo está configurado correctamente, debería ver poco o ningún tráfico DNS en el puerto 53, lo que sugiere que todo el tráfico DNS se envía por el puerto 443 cifrado en HTTPS. A pesar de los ocasionales errores o retrasos confusos, esto generalmente indicaba que DoH funcionaba correctamente en mi configuración.
Otra forma es visitar la comprobación de DNS seguro. Esta herramienta te indicará si tus consultas DNS están cifradas y si DoH está activo.
Y, por supuesto, navegadores como Chrome, Firefox y Edge tienen su propia configuración para habilitar DoH, lo que añade otra capa de cifrado al DNS específico de cada navegador. Pero ese es otro tema aparte.
Sinceramente, todo el proceso es un poco lioso, sobre todo porque Windows, en el mejor de los casos, mantiene la implementación vaga. Aun así, si consigues que funcione, te preocuparás mucho menos de que terceros fisgones espíen tu tráfico DNS. O al menos, esa es la idea.
Resumen
- Utilice comandos de PowerShell para agregar y aplicar servidores DoH.
- Modifique la configuración de DNS del adaptador de red para utilizar IP compatibles con DoH.
- Verifique el tráfico con pktmon.exe para ver si las consultas DNS están cifradas.
- Algunos ajustes pueden requerir reiniciar o editar el registro (¡tenga cuidado!).
- Los navegadores manejan DoH de forma independiente, así que asegúrese de habilitarlo allí también si es necesario.
Resumen
Configurar DNS sobre HTTPS en Windows no es muy intuitivo, pero se puede lograr con un poco de magia en la línea de comandos. A veces, la configuración no se soluciona al instante, así que reiniciar el sistema o revisar la configuración de DNS puede ser útil. Una vez configurado, las consultas DNS serán mucho más difíciles de interceptar para intrusos, lo cual es un alivio. Crucemos los dedos para que esto ayude a que alguien finalmente consiga que ese DNS cifrado funcione sin problemas.¡Mucha suerte!