DNS4EU, el nuevo servicio, cofundado por la UE, de resolución DNS público, privado, seguro y europeo, ya está disponible en su versión para el público y cuenta con servidor en España. Para su puesta en funcionamiento este proyecto, liderado por Whalebone, está siendo desarrollado y mantenido por un consorcio con la participación de nueve empresas de la Unión Europea. Este servicio es la gran novedad de este año 2025 en cuanto a servicios DNS públicos, privados y europeos.
INTRODUCCIÓN
DNS4EU, cofundado y financiado por la Unión Europea (número de proyecto 101095329 21-EU-DIG-EU-DNS) pretende ser el nuevo servicio europeo de resolución DNS que ofrezca servicio tanto a usuarios como a operadores de internet, instituciones públicas y empresas. Cuenta con el apoyo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y de mas empresas europeas.
Lo grandioso de este nuevo servicio es que es el primer DNS anycast puramente europeo y oficial de la Unión Europea. Hasta ahora lo que había era servicios DNS europeos con unos pocos servidores, ejemplos como DNS.sb, DNSForge o Mullvad DNS. También teníamos servicios DNS con sede en Europa de empresas venidas desde otros países. Por ejemplo, Quad9 que es un consorcio de IBM, PCH y Global Cyberalliance, DNS0.eu que es de los creadores de NextDNS o bien AdGuard, empresa original de Rusia traslada a Chipre en 2014.
DNS4EU es el primer servicio puramente europeo, oficial de la Unión Europea, que despliega una red de servidores anycast para dar servicio de resolución DNS en todos los países de la UE, incluyendo a España. Mi recomendación es que al menos le deis una oportunidad y lo probéis, yo ya lo tengo instalado en todos mis dispositivos.
VERSIONES DNS4EU DISPONIBLES
Esta versión de DNS4EU que ha sido hecha público y ya ha comenzado a funcionar, es la versión para usuarios finales. Según indican en su web, se van a crear otras versiones del servicio que serán las destinadas a proveedores de internet (ISP), instituciones públicas y para uso empresarial.
INFRAESTRUCTURA DE RED
La infraestructura de red que se ha utilizado para la red de servidores anycast en de momento 14 países, es la suministrada por una empresa muy conocida, Datacamp Limited. Esta empresa ofrece una red global de servicios y distribución de contenido que además ya está siendo utilizada por algunos otros servicios DNS con excelentes resultados.
DNS PRIVADO Y SEGURO
Según la información suministrada por la web de DNS4EU, el servicio pretende garantizar totalmente la transparencia y la privacidad de los usuarios que lo utilicen. También anuncian que ha sido realizado siguiendo unos altos estándares de calidad para promover la confianza en su utilización. Se han ubicado servidores en toda la Unión Europea.
La dirección IP del usuario se anonimiza completamente antes de iniciar sesión en el servidor DNS. No se recopilan datos privados, lo que garantiza la plena conformidad con el RGPD y otras normativas europeas de protección de datos. Para más información podéis consultar la política de privacidad de DNS4EU o sus términos de uso.
OBJETIVOS DEL PROYECTO
Los objetivos del proyecto DNS4EU son los siguientes, aunque el resumen es claro, la creación de un DNS europeo, creado y mantenido por empresas europeas, que no dependa de actores de fuera de Europa.
- Garantizar la soberanía digital de la UE proporcionando un DNS europeo privado, seguro e independiente.
- Mejorar la autonomía de la UE proporcionando una alternativa a los servicios públicos existentes de DNS no europeos.
- Mejorar el control de la Unión Europea sobre sus infraestructuras y reducir la dependencia de los proveedores extranjeros de DNS.
NIVELES DE FILTRADO Y PROTOCOLOS DISPONIBLES
Los niveles de filtrado disponibles así como las IPs y servidores DOH/DOT disponibles para cada uno de ellos son los siguientes. En lo referente al protocolo DoQ me han contestado que actualmente lo están desarrollando y que estará soportado próximamente. También hay disponible configuración por IPv6.
- Protective – Filtrado de malware y phishing.
- Protective + Child – Protective mas protección para menores.
- Protective + Ad blocking – Protective mas bloqueo de publicidad y rastreadores.
- Protective + Child Protection + Ad blocking – Protective + protección de menores y publicidad.
- Unfiltered Resolution – Resolución sin filtrado.
OPCIONES DE CONFIGURACIÓN DISPONIBLES
| NIVEL DE FILTRADO | IPV4 | DOT | DOH |
| Protective (PR) | 86.54.11.1 86.54.11.201 |
protective.joindns4.eu | https://protective.joindns4.eu/dns-query |
| PR + Child (CH) | 86.54.11.12 86.54.11.212 |
child.joindns4.eu | https://child.joindns4.eu/dns-query |
| PR + Ad blocking (AD) | 86.54.11.13 86.54.11.213 |
noads.joindns4.eu | https://noads.joindns4.eu/dns-query |
| PR + CH + AD | 86.54.11.11 86.54.11.211 |
child-noads.joindns4.eu | https://child-noads.joindns4.eu/dns-query |
| Solo resolución | 86.54.11.100 86.54.11.200 |
unfiltered.joindns4.eu | https://unfiltered.joindns4.eu/dns-query |
GUÍA DE CONFIGURACIÓN
DNS4EU ofrece, en una sección de su web, las guías de configuración del DNS para Windows 10/11, MacOS, Linux Ubuntu, Android, iOS (iPhone/iPad), routers domésticos y navegadores. En la sección de los navegadores, los que han sido incluidos, al menos de momento, son Google Chrome, Mozilla Firefox, Microsoft Edge y Opera. Las instrucciones que vienen en estas guías son bastantes claras y detalladas para poder configurar cada uno de los dispositivos o navegadores.
QUE SERVIDORES DNS UTILIZAR SEGÚN DISPOSITIVO
La recomendación de que sistema utilizar es la siguiente. El par de IPs se configuran en el router para que transmita el DNS a la TVs, deco de tv y dispositivos smart home. En dispositivos android se configura DOT en la sección de ajustes, redes e internet. En los ordenadores bajo Windows 11 se puede configurar DOH directamente ya que ya está soportado. Para Windows 10, recomendable también para Windows 11 ya que funciona mejor, utilizar la utilidad utilidad YogaDNS y configurar DOH y mejor DOQ cuando lo activen. La diferencia entre DOH y DOQ es mínima, podéis ver las diferencias en este enlace, pero DOQ es el protocolo mas nuevo, eficiente y privado.
SOPORTE DE DNSSEC
Este servicio soporta completamente DNSSEC. DNSSEC es un conjunto de extensiones de seguridad que pretenden conseguir asegurar la devolución de la resolución del DNS hacia el cliente para garantizar que no haya ningún ataque de por medio que consiga alterar la respuesta. Es decir, DNSSEC busca asegurar el origen de los datos para que en caso de alteración de los mismos el cliente destino lo detecte. La web DNSCheck.tools nos confirma el soporte completo.
SIN SOPORTE ECS
Al menos por el momento, EDNS Client Subnet (ECS) no está soportado. Hay que tener claro que, en ausencia de ECS, lo que se hace es que las peticiones hacia servicios CDN/Akamai se resuelven al CDN mas próximo al servidor DNS que resuelve. Es por ese motivo por el que los DNS de los proveedores de internet ninguno tiene soporte para ECS ya que no lo necesitan. Cloudflare DNS hace lo mismo, no ofrece soporte ECS por que considera que siempre habrá al menos un solucionador DNS en el país de cada usuario. La ausencia de ECS también sirve para garantizar un poco mas la privacidad de los usuarios.
SOPORTE PARA ENCRYPTED CLIENT HELLO (ECH)
DNS4EU ofrece soporte para Encrypted Client Hello (ECH), lo único a tener en cuenta es que hay que mirar a ver, según el navegador que se use, si el navegador activa ECH siempre, lo activa solo cuando se configura DNS sobre DOH, o es seleccionable mediante alguna opción. Una de las webs que podéis utilizar para comprobar si ECH está activado es la de Defo.ie, la cual es una web muy conocida para este tipo de comprobaciones. Lo que os devuelve la anterior web cuando ECH está soportado sería lo siguiente.
TECNOLOGÍA EMPLEADA
El Servicio Público DNS4EU utiliza el solucionador DNS de Whalebone, basado en Knot Resolver 6, desarrollado por CZ.NIC. Los solucionadores se ejecutan en una infraestructura dedicada y escalable proporcionada por el proveedor europeo Datapacket. Los sistemas backend operan en un entorno Kubernetes alojado por el proveedor europeo de nube Scaleway.
Se puede acceder a los solucionadores mediante direcciones IP anycast, lo que garantiza una distribución óptima de la carga y una latencia mínima, independientemente de la ubicación del usuario. El protocolo de seguridad DNSSEC está habilitado en todos los solucionadores.
ALERTA TEMPRANA E INTELIGENCIA ARTIFICIAL
DNS4EU no solamente va a integrar fuentes de urls maliciosos y actualizar a tiempo real para sus DNS. El objetivo de DNS4EU es integrar también datos de urls maliciosas provenientes de numerosos actores europeos desde ISPs, pasando por todo tipo de equipos de seguridad europeos que aporten datos para la inteligencia colectiva de DNS4EU. Además de lo anterior, mediante algoritmos de inteligencia artificial que analizan resoluciones y monitorizan dominios, se añade en tiempo real urls maliciosas. DNS4EU aportará un beneficio global, no solo a usuarios, si no a todos los equipos de empresas de seguridad que se unan al proyecto.
En su web ofrecen la descarga del libro blanco sobre la inteligencia aplicada para detectar las amenazas. Todo el que lo desee puede descargarse el white paper y descubrir los motores de inteligencia de amenazas que brindan protección superior a millones de usuarios en todo el mundo.
SERVIDORES DISPONIBLES, PUNTOS DE PRESENCIA (POP)
DNS4EU se ha iniciado con un total de 14 servidores repartidos en 14 países de la Unión Europea incluido uno en España, concretamente en Madrid. Actualmente las resoluciones desde bastantes proveedores de internet españoles están ya enrutándose hacia el servidor que tienen resolviendo desde Madrid, aunque no todos todavía.
Podéis confirmar a través de webs como DNSCheck.tools para comprobar que servidor nos está atendiendo las resoluciones.
PANTALLAS DE BLOQUEO
En el caso de la configuración de malware (protective) y la de protección parental (child protection) se muestran pantallas de bloqueo para informar de que una url está bloqueada por DNS4EU. Personalmente prefiero este sistema a lo que hacen otros servicios que simplemente no resuelven y no se sabe si la web ha sido filtrada o bien es que no funciona. De momento en ambos casos la pantalla de bloqueo mostrada es la misma, no han personalizado, aunque suficiente para cumplir a nivel informativo y que el usuario sepa que la web ha sido filtrada por DNS4EU.
COMPROBACIÓN DE CORRECTA CONFIGURACIÓN
Las anteriores urls se pueden utilizar para comprobar si se tiene correctamente configurado el DNS, pero en el caso de la configuración sin filtrado no serviría. Para ese caso, o bien como alternativa a las urls anteriores, para no depender de una url que esté filtrada, se puede utilizar la url de test que han creado para las comprobaciones de configuración.
TEST DE VELOCIDAD DE RESOLUCIÓN (DNS BENCHMARK)
A continuación os pongo la captura del DNS Benchmark Test con una prueba de velocidad a una recopilación de los servicios DNS mas conocidos. Hay servicios que no son tan usados en España pero por completar la prueba he añadido una selección de servicios bastante amplia por si alguien quiere buscar alguno en concreto. Para leer un análisis de la prueba podéis hacerlo desde el artículo dedicado a la prueba de velocidad de resolución DNS. El ping es algo mas relativo ya que depende de la distancia al servidor, en mi caso DNS4EU me da 7 ms.
ATENCIÓN AL USUARIO Y SOPORTE TÉCNICO
La web también dispone de un formulario de contacto desde el que se pueden reportar dominios maliciosos, errores en la categorización de dominios, falsos positivos de dominios maliciosos o consultas a soporte técnico. Me indican desde su servicio de soporte que, al menos por el momento, no prestan atención en castellano.
Aunque en estos servicios no hay mucho que consultar, yo he hecho tres consultas y el servicio de atención al usuario ha sido rápido, eficiente y muy bueno. Posiblemente el objetivo de la Unión Europea sea no sólamente el servicio en si si no también dar un buen servicio de atención al usuario.
ÍNDICE DE ARTÍCULOS SOBRE SERVICIOS DNS PÚBLICOS
En este blog ya se han publicado bastantes artículos sobre servicios DNS públicos, así que he decidido hacer un indice para poder tenerlos ordenados y localizados. En el índice de artículos sobre servicios de DNS tenéis todas las pruebas realizadas en esta web tanto a DNS públicos como a, en algunos casos, sus versiones de DNS privado de pago.
Buenas tardes Alvaro.
Muchas gracias por tú análisis.
Un saludo.
Jose Manuel, este era mas que obligado, hice el artículo ayer según me enteré. Sabía que estaban en ello pero… pensaba que igual para el 2030. 😀
Ya lo tengo instalado en todos los dispositivos que tengo. 🙂
Enorme la Unión Europea, un servicio útil e importantísimo, ahora mismo me lo configuro yo también. 🙂 ¡¡¡A tope con DNS4EU!!!.
Pues si Luis, posiblemente el servicio europeo mas importante del año, un auténtico notición.
Gracias por la información ahora mismo me lo pongo yo también
De nada GTI, configuratelo y ya verás, van muy bien.
Me ha sorprendido el test de velocidad, empiezan fuerte. Ahora me lo pongo.
Jesús, prueba sin dudar, ya verás que bien funciona.
Me he cambiado a este creo que hay que apoyarles
Jon, te funcionará bien, ya veras…. prueba sin pega.
Actualizo la captura del DNS Benchmark con un test a 15 servicios.
Añadido también la segunda IP a cada nivel de filtrado.
Añadidas capturas de soporte DNSSEC y servidores resolviendo desde España.
Añadido un resumen con la explicación al resultado de DNSBench.
Añadido apartado de información sobre las pantallas de bloqueo.
Buen trabajo muchas graciass
Gracias a vosotros por leerme.
Añadido apartado con la política de privacidad.
Voy a probar estos a ver que tal van, gracias por la info
De nada Jordi a vosotros por leerme.
Añadido apartado sobre tecnología empleada.
Ampliado el DNS Benchmark con pruebas a mas servicios.
Añadido verificación del soporte Encrypted Client Hello (ECH).
Añadidos los términos de uso.
Gracias por la información, grandísimo artículo. :O
¿Como queda el filtro de publicidad comparado con Adguard o ControlD?. Muchas gracias por el post.
Unai, yo creo que ControlD es mucho mas intrusivo, filtrado mas intenso y con mas falsos positivos. DNS4EU bloquea menos pero hace un filtrado mas comedido y equilibrado al estilo de Adguard.
En cuanto al filtrado de malware yo creo que es lo mismo, ControlD es mas intensivo, bloqueando a la mínima, mientras que DNS4EU y Adguard bloquean menos pero buscan priorizar el no dar falsos positivos.