Introduzione
Nel mondo moderno, dove la privacy e la sicurezza dei dati stanno diventando questioni sempre più critiche, il protocollo DNS-over-HTTPS (o DoH in breve) rappresenta un importante sviluppo nel modo in cui comunichiamo su Internet. Questo protocollo è progettato per fornire un ulteriore livello di protezione per il traffico DNS, un componente essenziale e di base dell'infrastruttura di Internet che spesso viene trascurato in termini di sicurezza. Questo articolo spiegherà come funziona il DNS-over-HTTPS, quali sono i suoi principali vantaggi e perché è uno strumento particolarmente importante per le persone interessate a mantenere l'anonimato online.
Cos’è il DNS e perché ha bisogno di miglioramenti?
Prima di addentrarsi nel DNS-over-HTTPS, è importante comprendere il protocollo originale DNS (Domain Name System). Il DNS è fondamentalmente la “rubrica telefonica” di Internet, traducendo nomi di dominio facili da usare (come www.example.com) in indirizzi IP numerici (come 192.0.2.1) di cui i computer hanno bisogno per comunicare tra loro. Quando digiti il nome di un sito web nel tuo browser, viene inviata una richiesta DNS ai server DNS per “risolvere” il nome nell’indirizzo IP dove si trova il server.
Il problema principale del protocollo DNS tradizionale è che è stato creato quando Internet era ancora agli inizi, e la sicurezza e la privacy non erano considerazioni centrali nel design. Di conseguenza, le richieste DNS tradizionali vengono inviate in chiaro (non crittografate), il che significa che qualsiasi entità che può monitorare il tuo traffico di rete – che sia il tuo provider di servizi Internet, hacker o enti governativi – può vedere esattamente quali siti web stai cercando di visitare. Questo rappresenta un rischio significativo per la privacy, poiché la tua cronologia di navigazione può rivelare informazioni sensibili sulle tue preferenze, credenze, stato di salute e altre attività.
Come funziona DNS-over-HTTPS
DNS-over-HTTPS è un protocollo sviluppato per risolvere i problemi di privacy e sicurezza del DNS tradizionale. Come suggerisce il nome, DoH funziona crittografando le richieste DNS utilizzando il protocollo HTTPS (Hypertext Transfer Protocol Secure) – lo stesso protocollo sicuro usato per navigare su siti web sicuri.
Invece di inviare le richieste DNS in testo normale, il processo DoH funziona così:
Quando un utente digita un indirizzo web nel browser, il browser crea una normale richiesta DNS ma invece di inviarla direttamente attraverso la rete, la invia tramite il protocollo HTTPS. Ciò significa che la richiesta viene crittografata utilizzando TLS (Transport Layer Security), quindi il suo contenuto è criptato tra il browser e il server DNS che supporta DoH, come quelli gestiti da Google, Cloudflare o altri provider.
La richiesta crittografata viene inviata al server DoH tramite la porta 443 (la porta standard per il traffico HTTPS), il che significa che appare come qualsiasi altro normale traffico HTTPS a qualsiasi intermediario che osservi il traffico di rete. Questo rende difficile per i filtri dei contenuti o gli operatori di rete identificare e bloccare selettivamente il traffico DNS.
Il server DoH riceve la richiesta crittografata, la decritta, elabora la richiesta DNS e poi restituisce la risposta DNS (l'indirizzo IP richiesto) al browser, nuovamente crittografata tramite HTTPS.
Il browser riceve la risposta crittografata, la decritta e utilizza l'indirizzo IP ricevuto per stabilire una connessione con il server internet richiesto, proprio come farebbe con un DNS tradizionale.
Vantaggi di DNS-over-HTTPS per l'anonimato
DNS-over-HTTPS offre diversi vantaggi significativi nel contesto della privacy e dell'anonimato:
Crittografia dell’attività di navigazione: Il vantaggio più importante di DoH è che cripta le tue richieste DNS. Questo impedisce ai provider di servizi internet, agli hacker o ad altre entità che possono vedere il traffico della tua rete di sapere quali siti web stai visitando. Anche se possono vedere che stai comunicando con un server DNS specifico, non possono vedere il contenuto delle richieste – cioè i nomi dei siti web che stai cercando.
Prevenzione dell’avvelenamento DNS: Poiché il traffico è crittografato, DoH rende difficile per gli attaccanti eseguire attacchi di “DNS poisoning”, in cui interferiscono con le richieste DNS per reindirizzare gli utenti a siti web dannosi. Questo aumenta la certezza che quando navighi su un sito specifico, stai effettivamente raggiungendo il sito reale e non una versione falsa.
Elusione della censura: In molti paesi, la censura dei siti web viene attuata a livello DNS, dove i provider internet locali bloccano semplicemente i nomi di dominio dei siti “non desiderati”. Usare DoH può bypassare questo tipo di censura perché i provider internet non possono vedere o bloccare query specifiche, specialmente se si utilizza un server DoH situato fuori dal proprio paese.
Coerenza tra dispositivi e reti: DoH funziona allo stesso modo indipendentemente dal dispositivo o dalla rete che stai utilizzando. Questo ti permette di mantenere un livello di privacy coerente sia che tu stia usando un computer domestico, uno smartphone o ti connetta tramite un punto di accesso Wi-Fi pubblico.
Integrazione con altri strumenti per la privacy: DoH funziona bene in combinazione con altri strumenti per la protezione della privacy come VPN o il browser Tor, fornendo un ulteriore livello di protezione.
Sfide e critiche
Nonostante i suoi vantaggi significativi, DoH non è una soluzione perfetta e ha i suoi critici:
Alcuni amministratori di rete aziendali sono preoccupati che DoH possa consentire agli utenti di bypassare le politiche di sicurezza aziendali. Ad esempio, se un’azienda si basa sul filtraggio DNS per bloccare siti dannosi o non legati al lavoro, gli utenti con DoH attivo possono aggirare questa politica.
Inoltre, mentre DoH cripta le tue query DNS, non nasconde l'indirizzo IP a cui ti connetti infine. Ciò significa che il tuo provider internet può ancora vedere a quale server ti stai collegando, anche se non può vedere il nome di dominio esatto.
Inoltre, devi fidarti del tuo fornitore di servizi DoH. Se stai usando, ad esempio, il servizio DoH di Google, devi essere consapevole che Google può vedere le tue query DNS. Questo sposta semplicemente il rischio dal provider internet al fornitore del servizio DoH.
Come usare DNS-over-HTTPS
Usare DoH è relativamente semplice oggi, poiché la maggior parte dei browser moderni supporta questa tecnologia:
Nel browser Firefox: vai alle impostazioni, scorri fino a “Impostazioni di rete” e seleziona l’opzione “Abilita DNS over HTTPS”.
Nel browser Chrome: vai alle impostazioni, seleziona “Privacy e sicurezza”, poi “Sicurezza” e abilita “Usa query DNS sicure”.
Nel sistema operativo Windows 10/11: ci sono opzioni per abilitare DoH a livello di sistema operativo tramite le “Impostazioni di rete”.
Su dispositivi Android e iOS: le versioni aggiornate di questi sistemi operativi offrono supporto integrato per DoH, anche se a volte è limitato ad applicazioni specifiche.
Inoltre, puoi configurare DoH a livello di router o utilizzare applicazioni dedicate che forniscono questa funzionalità.
Guardando al futuro
Sebbene DNS-over-HTTPS rappresenti un significativo miglioramento della privacy su internet, è solo una parte di una soluzione più ampia. Per un'anonimato completo, gli utenti dovrebbero considerare l’uso di una combinazione di strumenti, tra cui VPN, browser Tor e altri protocolli crittografati.
L’industria continua a evolversi con protocolli aggiuntivi come DNS-over-TLS (DoT) che offre un approccio alternativo per criptare le query DNS. Ci sono anche progetti come Encrypted Client Hello (ECH, precedentemente ESNI) mirati a criptare la parte SNI (Server Name Indication) nella connessione TLS, che chiuderà un altro punto di perdita di informazioni nella comunicazione criptata.
Conclusione
DNS-over-HTTPS rappresenta un importante miglioramento nella privacy e nella sicurezza della navigazione su internet. Criptando le query DNS, protegge la tua attività di navigazione dalla sorveglianza, dalla perdita di informazioni e dalla censura. È uno strumento particolarmente importante nella lotta per la privacy digitale e l’anonimato, soprattutto in aree con sorveglianza o censura aggressive. Tuttavia, come ogni strumento tecnologico, DoH non è una soluzione magica e dovrebbe essere visto come parte di una strategia più ampia per la privacy. Capendo come funziona DoH, quali sono i suoi limiti e come usarlo in combinazione con altri strumenti, puoi prendere decisioni più consapevoli sulla tua privacy e anonimato su internet.
