DNS privati, come e perchè usarli

Internet deve il proprio funzionamento sui DNS pubblici, che sono dei servizi distribuiti in grado di fornire connettività e risoluzione degli indirizzi internet stessi. Tutto il traffico internet passa per i vari DNS che sono disponibili, che possono essere messi a disposizione dai provider di connettività oppure da aziende come Google o CloudFlare (che pero’ hanno caratteristiche diverse tra loro, all’atto pratico). Il primo passaggio di quasi tutte le connessioni su Internet è una query DNS, pertanto: un client, come ad esempio il tuo smartphone, in genere sfrutta un server DNS fornito dalla rete Wi-Fi o cellulare a cui siamo connessi. E come effettua questo passaggio? Il client chiede a questo server DNS di convertire un nome di dominio, come www.google.com, in un indirizzo IP, come ad esempio (IPv6) 2607: f8b0: 5002: 80e :: 2004. Una volta che il client ha l’indirizzo IP, può connettersi alla destinazione prevista e siamo tutti contenti perchè, a quel punto, siamo connessi.

Molti di questi servizi, tuttavia, sono soliti tracciare tutto quello che viene effettuato dai loro utenti, senza fare uso di terze parti che ne garantiscano la protezione e senza supporto alla crittografia. Se alcuni DNS lavorano prevalentemente con una connessione in chiaro, ce ne sono altri che sfruttano la connettività protetta da HTTP detta DoT e DoH.

Quando digiti un URL nel tuo browser, per capirci, e lo fai via smartphone, il tuo telefono si connetterà ad un DNS che hai impostato oppure ad un di default: questo si comporterà come una sorta di rubrica, sostituendo il nome che hai digitato (sitoesempio.com) con un indirizzo IP fisico o virtuale corrispondente (esempio: 123.343.212.123). Questa connessione è in genere non crittografata, quindi è potenzialmente leggibile ed intercettabile dall’esterno. Al di là dell’essere paranoici o meno, questo è importante da sapere perchè potremmo, in teoria, essere dirottati a nostra insaputa verso un IP fake, che potrebbe essere quello di un sito di spam o di phishing.

Cosa sono i DNS privati

Per venire incontro a questa esigenza, sono state create due tecnologie molto simili tra di loro che evitano l’insorgere di questa circostanza: tali tecnologie sono  il DNS over HTTPS (in sigla DoH) ed il DNS over TLS (DoT), che differiscono dal DNS standard proprio perchè la connessione tra client (telefono) e server DNS è crittografata e meno esposta a rischi di quel genere.

Per DNS privati si può intendere, pertanto, dei DNS con supporto alla crittografia.

Come funziona DoT

Un po’ come succede per HTTPS, DNS su TLS sfrutta il protocollo TLS per stabilire un canale sicuro per il server rispetto al client. Una volta stabilito il canale protetto, le query e le risposte DNS non possono essere lette o modificate da nessun altro che potrebbe monitorare la connessione.

Differenza tra DoT (DNS over TLS) e DoH (DNS over HTTPS)

I due protocolli sono simili, ma non uguali: la differenza tra i due protocolli di DNS protetto da HTTPS è più che altro tecnica, perchè DoT lavora sulla porta 853 mentre DoH usa la porta standard per HTTPS (443).

DNS privati su Siteground

In genere i DNS privati hanno anche un secondo significato specifico, ed è legato alla definizione ed all’uso dei cosiddetti Name Server (NS), i server che stabiliscono la risoluzione di un sito web in termini di record A, CNAME e così via. I DNS Privati non sono altro che name server che si mostrano come sottodomini del nome del dominio di riferimento, quindi in pratica invece di avere (per il sito pippo.it):

ns1.nameserver.com
ns2.nameserver.com

un DNS privato sarà semplicemente di questo tipo:

ns1.pippo.it
ns2.pippo.it

In genere i servizi di DNS privato vengono venduti da alcuni provider di servizio e si possono rivendere a propria volta (reseller), mentre a livello amministrativo il tutto verrà gestito da chi l’ha erogato, che fornirà all’utente anche un’interfaccia di amministrazione dello stesso. I servizi di questo tipo includono ad esempio la gestione del DNS dei domini, DNS primari e secondari, DNS statico e dinamico, gestione ed impostazione del TTL e così via.

DNS privati su Android 9

Dalla versione Android 9 in poi è disponibile l’uso di DNS con tecnologia DoT, che è possibile impostare direttamente dal proprio telefono. Dalla versione Android P Developer Preview in poi è incluso il supporto integrato per DNS su TLS.

Gli utenti possono inserire un nome host specifico, pertanto, se vogliono usare un DNS privato. Android invia quindi tutte le query DNS su un canale protetto a questo server o contrassegna la rete come “Nessun accesso a Internet” se non riesce a raggiungere il server. Dalla versione Android P in poi il supporto per DNS su TLS è automatico e già integrato. In futuro, speriamo che tutti i sistemi operativi includano trasporti sicuri per DNS, per fornire una migliore protezione e privacy a tutti gli utenti su ogni nuova connessione.

DNS privati CloudFlare su Android (dalla versione 9 in poi)

Per abilitare i DNS privati di cloudFlare sul tuo dispositivo:

  • Vai a Impostazioni → Rete e Internet → Avanzate → DNS privato.
  • Seleziona l’opzione Nome host del provider DNS privato.
  • Inserisci 1dot1dot1dot1.cloudflare-dns.com e premi Salva.
  • Visita 1.1.1.1/help (o 1.0.0.1/help) per verificare che “Utilizzo di DNS su TLS (DoT)” sia visualizzato con l’opzione “Sì” spuntata

1 voto