Come funziona il DNS-over-HTTPS (DoH)?

Come funziona il DNS-over-HTTPS (DoH)?

In questo articolo cercheremo di chiarire come funzioni e a che cosa serva il protocollo DNS-over-HTTPS, di cui molti (nell’ambiente web) discutono da almeno un anno. Se i dettagli del funzionamento del DNS sono noti, in genere, e se sappiamo che esso regola e definisce la connettività tra browser e siti sul web, è meno risaputo che questo tipo di connettività sia, in genere, priva di crittografia ovvero in chiaro. In pratica, quindi, si parte da questo problema e dal fatto che il protocollo in questione cerchi di risolverlo: DNS over HTTPS aggiunge un livello di protezione aggiuntivo tra client e server, quindi nel momento in cui ci connettiamo ad un sito da un browser con questa tecnologia la trasmissione sarà protetta dall’esterno da eventuali intercettazioni ed attacchi man-in-the-middle.

Che cos’è DNS-over-HTTPS

DNS-over-HTTPS, detto per brevità DoH, è un protocollo internet per risolvere le chiamate al DNS mediante HTTPS. L’obiettivo è quello di proteggere la privacy della connessione ed evitare dirottamenti che, ad esempio, potrebbero portare il client su un sito diverso da quello che è stato digitato senza che l’utente se ne accorga.

A cosa serve DNS-over-HTTPS

Grazie a DNS-over-HTTPS, nella pratica, si può inviare una richiesta HTTPS crittografata a un server DNS, che evidenzierà il supporto a DoH qualora si immetta un nome di dominio all’interno del browser. Il protocollo HTTPS verrà quindi decrittografato sul server DNS in cui viene elaborata la richiesta, ed infine la risposta viene inviata nuovamente crittografata, in modo da completare il giro.

Come verificare se il proprio browser supporta DoH

È molto semplice, infatti (da Chrome, Firefox ed altri browser) basta andare su:

https://1.1.1.1/help/

e controllare la risposta che ci verrà fornita dopo qualche istante. In genere, comunque, DoH non è supportata di default ed andrebbe abilitata aprendo il browser medinate linea di comando:

google-chrome.exe –enable-features=”dns-over-https<DoHTrial” –force-fieldtrials=”DoHTrial/Group1″ –force-fieldtrial-params=”DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST

Dove è supportato il DNS-over-HTTPS?

A livello di client, ad oggi, i principali browser (nelle versioni più aggiornate) come Chrome e Firefox non abilitano nè supportano di default connessioni ai siti in DoH. Per sfruttare adeguatamente il protocollo in questione è inoltre necessario appoggiarsi ad uno dei tanti servizi resolver, come ad esempio quello offerto da CloudFlare, che lo mettono a disposizione per la gestione del DNS di un sito.

Devi cambiare hosting sul tuo sito?

Guarda questa offerta:


V-Hosting

Problemi legati a DNS-over-HTTPS

Il problema di fondo legato a DoH è che si tratta di un sistema centralizzato e, neanche a dirlo, crea solo l’illusione di maggiore privacy; se infatti decidessi di sfruttare un DNS su HTTPS dovrei fare uso di un server DoH, che sarebbe a conoscenza di quello che sto facendo (siti che visito, durata, ecc.), nonostante mi stia connettendo in HTTPS. Tutto ciò non è troppo coerente con la natura del DNS classico, che è invece decentralizzato – cioè distribuisce il carico di richieste su più server, anche per una maggiore efficenza delle chiamate. Se si verifica, in altri termini, quella che viene chiamato problema del single point of failure (SPOF), ovvero singolo punto in cui convergono tutte le richieste, il sovraccarico di richieste può essere molto frequente e rendere, di fatto, impossibile navigare per gli utenti finali.

Peraltro, per quanto risolva il problema (almeno in parte) della possibilità di essere spiati mentre si naviga, non risolve il problema dell’autenticità della risposta restituita, che potrebbe comunque essere stata manipolata come avviene nei casi di phishing.


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.