Cos’è il DNS over HTTPS?
Il DNS over HTTPS (DoH) è un protocollo che cifra le query DNS inviandole all’interno di connessioni HTTPS standard invece che come testo in chiaro non cifrato. Ogni volta che digiti l’indirizzo di un sito web, il tuo dispositivo chiede a un server DNS di tradurre quel nome di dominio in un indirizzo IP. Tradizionalmente, questa richiesta viaggia in chiaro, il che significa che il tuo ISP, l’amministratore di rete o chiunque si trovi sulla stessa rete Wi-Fi può vedere esattamente quali siti web stai consultando. Il DoH avvolge quelle query nella stessa cifratura HTTPS che protegge le tue sessioni bancarie e di acquisto, rendendo le tue abitudini di navigazione invisibili agli osservatori di terze parti.
Approfondimento
Il problema della privacy del DNS tradizionale
Il DNS standard usa il porto UDP 53 senza cifratura. Quando visiti “example.com”, il computer invia una richiesta in testo in chiaro a un resolver DNS che dice, in sostanza, “qual è l’indirizzo IP di example.com?”. Chiunque monitori la rete – un ficcanaso in un bar, un firewall aziendale o il tuo ISP – può registrare ogni dominio che consulti. Questi metadati rivelano i tuoi schemi di navigazione anche quando i siti web stessi usano HTTPS. Una VPN cifra tutto il traffico incluso il DNS, ma il DoH offre una soluzione più leggera e specifica per il DNS che funziona senza l’overhead di un tunnel VPN completo.
DoH vs. DoT (DNS over TLS)
Il DoH non è l’unico protocollo di cifratura DNS. Il DNS over TLS (DoT) raggiunge lo stesso obiettivo ma usa una porta dedicata (853) con cifratura TLS. La differenza pratica:
- DoH (porta 443): Usa la stessa porta di tutto il traffico web HTTPS, rendendolo indistinguibile dalla normale navigazione. Difficile da bloccare per gli amministratori di rete senza interrompere l’accesso web del tutto.
- DoT (porta 853): Usa una porta distinta e identificabile che è più facile da rilevare e bloccare per i firewall.
I principali browser – Chrome, Firefox, Edge, Brave e Safari – hanno adottato il DoH come metodo preferito di cifratura DNS grazie alla sua resistenza al blocco e alla sua integrazione fluida con lo stack web esistente.
Impatto sulle prestazioni
Una preoccupazione comune è se la cifratura DNS aggiunga latenza. In pratica, l’overhead è minimo. L’handshake HTTPS iniziale richiede una frazione di secondo, e le query successive riutilizzano la connessione (multiplexing HTTP/2), rendendole altrettanto veloci o più veloci del DNS tradizionale su UDP. Le misurazioni di Cloudflare e Google mostrano che la latenza del DoH è comparabile al DNS convenzionale nella maggior parte delle condizioni di rete. In alcuni casi, passare a un provider DoH ad alte prestazioni come Cloudflare (1.1.1.1) accelera effettivamente la risoluzione DNS rispetto a un resolver ISP lento, perché l’infrastruttura del provider è geograficamente più vicina alla maggior parte degli utenti.
Come attivare il DoH
Attivare il DoH è semplice:
- Nel browser: Apri Impostazioni, vai a Privacy o Sicurezza, trova “Usa DNS sicuro” o “DNS over HTTPS” e seleziona un provider (Cloudflare, Google, Quad9, ecc.).
- A livello di sistema operativo: Windows 11, macOS, iOS e Android supportano tutti il DoH a livello di sistema. Nelle impostazioni di rete o DNS, inserisci l’indirizzo di un server compatibile DoH e abilita l’opzione di cifratura.
- Sul router: Alcuni router supportano DoH o DoT, cifrando il DNS per ogni dispositivo della rete senza configurazione per dispositivo.
Considerazioni e limitazioni
Il DoH non è una soluzione universale per la privacy. Cifra la query DNS, ma l’indirizzo IP a cui ti connetti in seguito è ancora visibile al tuo ISP e all’operatore di rete (a meno che tu non usi anche una VPN). Inoltre, la Server Name Indication (SNI) nell’handshake TLS può rivelare il nome host a cui ti stai connettendo; l’Encrypted Client Hello (ECH) è uno standard emergente che affronta questo problema. Alcune reti aziendali e sistemi di controllo parentale si basano sull’ispezione delle query DNS per applicare le policy. Abilitare il DoH su una rete aziendale potrebbe aggirare i controlli di sicurezza, quindi verifica con il reparto IT prima di attivarlo su un dispositivo di lavoro.
Come scegliere
1. Inizia dal browser
Il modo più rapido per ottenere la protezione DoH è abilitarla nelle impostazioni del browser. Richiede circa 30 secondi, non richiede installazione di software e cifra immediatamente tutte le query DNS effettuate da quel browser.
2. Scegli un provider DNS affidabile
Usando il DoH, affidi al provider DNS i dati delle tue query. Scegli con cura:
- Cloudflare (1.1.1.1): Si impegna a non vendere i dati e a eliminare i log delle query entro 24 ore. Sottoposto ad audit indipendenti.
- Google Public DNS (8.8.8.8): Estremamente veloce e affidabile; i log sono anonimizzati ma conservati per analisi limitate.
- Quad9 (9.9.9.9): Orientato alla sicurezza; blocca automaticamente i domini malevoli noti.
Esamina l’informativa sulla privacy di ciascun provider e scegli quello le cui pratiche sui dati corrispondono al tuo livello di comfort.
3. Abbina a una VPN per la protezione completa
Il DoH cifra solo le query DNS – non nasconde l’indirizzo IP né cifra il resto del traffico. Per una privacy completa su Wi-Fi pubblico o in ambienti di rete restrittivi, abbina il DoH a una VPN. Insieme, coprono sia la domanda “quale sito stai visitando” (DoH) sia “cosa stai facendo là” (VPN).
Adozione del DoH e slancio del settore
Il DoH ha guadagnato rapidamente diffusione dalla sua introduzione. Firefox è stato il primo browser principale ad abilitarlo di default (negli USA), seguito da Chrome, Edge e Brave. Apple ha aggiunto il supporto DoH a livello di sistema in iOS 14 e macOS Big Sur. Windows 11 supporta il DoH nativamente nelle impostazioni di rete. Questa ampia adozione significa che abilitare il DoH non è più un compito tecnico avanzato – è una funzione mainstream supportata da ogni piattaforma principale. La tendenza verso il DNS cifrato è chiara e irreversibile, spinta sia dalla domanda degli utenti di privacy sia dal consenso del settore che il DNS non cifrato è una vulnerabilità.
In sintesi
Il DNS over HTTPS è uno degli upgrade di privacy più semplici e impattanti che puoi fare. Cifrando le query DNS che rivelano quali siti visiti, il DoH colma una lacuna di lunga data nella privacy di internet – e ci vogliono meno di un minuto per attivarlo. Scegli un provider DNS affidabile, attiva il DoH nel browser o nel sistema operativo, e considera di aggiungere una VPN per una protezione a tutto campo. È una piccola modifica con un beneficio concreto.