Il Domain Name System (DNS) è una soluzione valida e col­lau­da­ta: è suf­fi­cien­te che gli utenti in­se­ri­sca­no un indirizzo web me­mo­riz­za­to nel loro browser e il sistema trova l’indirizzo IP ap­pro­pria­to in breve tempo. A tale scopo vengono uti­liz­za­ti diversi name server che hanno me­mo­riz­za­to l’indirizzo numerico cor­ri­spon­den­te all’URL. Sebbene il DNS sia in linea di massima ancora pie­na­men­te fun­zio­nan­te, è stato nel frattempo superato. Durante lo sviluppo del sistema, che risale a diversi decenni fa, gli svi­lup­pa­to­ri non hanno con­tem­pla­to i problemi in materia di sicurezza.

In effetti, il DNS è con­si­de­ra­to oggi molto insicuro. Le richieste e le risposte vengono di norma trasmesse senza cifratura e possono quindi essere lette da chiunque; in pratica, un criminale in­for­ma­ti­co può fa­cil­men­te in­ter­cet­tar­le con il proprio server. Il co­sid­det­to DNS Hijacking è un attacco in cui gli indirizzi DNS vengono dirottati e il traffico viene rein­di­riz­za­to verso falsi server DNS, dove può essere colpito da malware, uti­liz­za­to per il phishing o ricevere una quantità smisurata di annunci pub­bli­ci­ta­ri. Per questo motivo il DNS over HTTPS (DoH) viene at­tual­men­te chiamato in causa dagli esperti. Questa tec­no­lo­gia è più indicata per rendere Internet più sicuro?

A cosa serve il DNS over HTTPS?

Con DoH si vogliono rag­giun­ge­re diversi obiettivi con­tem­po­ra­nea­men­te: eseguendo il DNS at­tra­ver­so il pro­to­col­lo sicuro HTTPS l’obiettivo prin­ci­pa­le è raf­for­za­re la sicurezza e la privacy degli utenti. At­tra­ver­so la con­nes­sio­ne HTTPS crit­to­gra­fa­ta, non dovrebbe essere possibile in­fluen­za­re o spiare la ri­so­lu­zio­ne da parte di terzi. Ciò significa che un terzo, che non può essere ef­fet­ti­va­men­te coinvolto nel nome del dominio, non può sapere quale URL è richiesto e quindi non può mo­di­fi­ca­re la risposta.

Da un lato questo aiuta a con­tra­sta­re la cri­mi­na­li­tà in­for­ma­ti­ca, dall’altro rende la censura su Internet più difficile da rea­liz­za­re. Alcuni governi usano il Domain Name System per bloccare alcuni siti web. Di norma, ciò viene fatto limitando la libertà di espres­sio­ne o cercando di estendere le regole locali a Internet, come le leggi contro la por­no­gra­fia.

Anche alcuni fornitori di servizi Internet (ISP) uti­liz­za­no la tec­no­lo­gia che si nasconde dietro al DNS hijacking: se un utente inserisce un indirizzo web che non può essere risolto (ad esempio a causa di un errore di battitura), il server dei nomi nor­mal­men­te invia un messaggio di errore. Alcuni ISP prendono questo errore e rein­di­riz­za­no l’utente al proprio sito web, che pub­bli­ciz­za prodotti propri o di terze parti. Tale azione non è illegale, né danneggia di­ret­ta­men­te l’utente o i suoi di­spo­si­ti­vi, ma il rein­di­riz­za­men­to può essere percepito come elemento di­stur­ban­te.

L’obiettivo è anche quello di mi­glio­ra­re le pre­sta­zio­ni del DNS. Il pro­to­col­lo uti­liz­za­to per il Domain Name System è con­si­de­ra­to inaf­fi­da­bi­le. Con DoH, invece, viene uti­liz­za­to il pro­to­col­lo TCP, che reagisce molto più ve­lo­ce­men­te in caso di perdita di dati durante la tra­smis­sio­ne.

N.B.

Tuttavia, il DNS over HTTPS non è uno standard uti­liz­za­to in Internet a livello uni­ver­sa­le. La maggior parte delle con­nes­sio­ni funziona ancora con la versione tra­di­zio­na­le del DNS. Finora, so­prat­tut­to Google e Mozilla hanno fatto passi avanti in tale ambito. A partire dalla versione 62 di Firefox, ad esempio, si può attivare DoH op­zio­nal­men­te. Google sta testando il sistema con utenti se­le­zio­na­ti. Ci sono anche alcune ap­pli­ca­zio­ni per di­spo­si­ti­vi mobili, che rendono possibile la na­vi­ga­zio­ne tramite DoH. Anche Android Pie offre un’opzione per DNS over HTTPS nelle im­po­sta­zio­ni di rete.

Immagine: Opzione per DNS over HTTPS in Firefox
Gli utenti della versione corrente di Firefox possono attivare DoH nelle im­po­sta­zio­ni.

Come funziona il DNS over HTTPS?

Alcuni nomi di dominio possono essere risolti di­ret­ta­men­te a livello utente: le in­for­ma­zio­ni cor­ri­spon­den­ti si trovano infatti nella cache del browser o del router. Tutto ciò che deve essere inviato via Internet, tuttavia, di solito avviene tramite un col­le­ga­men­to UDP, che però, pur con­sen­ten­do uno scambio di in­for­ma­zio­ni molto rapido, non è né sicuro, né af­fi­da­bi­le. Quando si utilizza questo pro­to­col­lo i pacchetti di dati vengono spesso persi, poiché non ci sono mec­ca­ni­smi che ne ga­ran­ti­sco­no la tra­smis­sio­ne.

DoH, invece, si basa su HTTPS e quindi sul Tran­smis­sion Control Protocol (TCP). Questo pro­to­col­lo viene uti­liz­za­to molto più fre­quen­te­men­te su Internet, in quanto da un lato le con­nes­sio­ni possono essere criptate, dall’altro il pro­to­col­lo assicura una tra­smis­sio­ne sicura dei dati.

Con DNS over HTTPS, la co­mu­ni­ca­zio­ne avviene sempre tramite la porta 443. Poiché tutto il traffico web passa at­tra­ver­so questa porta (ad esempio per l’accesso ai siti web), un terzo non può di­stin­gue­re tra una richiesta DNS e altre co­mu­ni­ca­zio­ni. Ciò consente un ulteriore livello di privacy per l’utente.

Fatto

DNS over HTTPS è stato definito nel RFC 8484.

Vantaggi e svantaggi del DNS over HTTPS

I vantaggi del nuovo sistema sono evidenti: la tec­no­lo­gia promette di fornire maggiore sicurezza e privacy. Poiché il DNS tra­di­zio­na­le non contempla alcun tipo di crit­to­gra­fia, DoH è in questo senso più van­tag­gio­so. Tuttavia, anche il DNS over HTTPS non è né com­ple­ta­men­te sicuro, né com­ple­ta­men­te privato: sui name server, dove si trovano i nomi di dominio, tutte le in­for­ma­zio­ni diventano visibili come in pre­ce­den­za. Poiché nel DNS sono spesso coinvolti diversi livelli ge­rar­chi­ci, un numero re­la­ti­va­men­te elevato di server è anche in grado di ap­pren­de­re chi richiede de­ter­mi­na­te in­for­ma­zio­ni. Ciò significa che i par­te­ci­pan­ti al DNS devono avere fiducia anche nella nuova tec­no­lo­gia.

Il DNS over HTTPS, tuttavia, sposta le re­spon­sa­bi­li­tà. Tra­di­zio­nal­men­te, i server dei provider Internet si fanno carico della ri­so­lu­zio­ne di gran parte dei nomi di dominio. Con DoH, invece, gli svi­lup­pa­to­ri di browser decidono a quali server vogliono inoltrare le richieste DNS. Con Chrome, questo avviene tramite il server DNS di Google. Mozilla imposta già Clou­d­fla­re per Firefox. Oltre a chiedersi se fidarsi mag­gior­men­te di queste imprese rispetto agli ISP, questa con­di­vi­sio­ne comporta ulteriori svantaggi per alcune imprese.

I critici del DoH con­si­de­ra­no la tec­no­lo­gia dannosa per la neu­tra­li­tà della rete. Si teme che Google possa, ad esempio, ri­spon­de­re più ra­pi­da­men­te alle richieste sui servizi dell’azienda rispetto alle richieste DNS su altri siti web. Con­cen­trar­si su pochi fornitori di server DoH comporta anche un rischio per la sicurezza: sarebbe molto più facile per gli ag­gres­so­ri pa­ra­liz­za­re l’intero DNS.

DoH vs DoT

Oltre al DNS over HTTPS, è at­tual­men­te oggetto di dibattito un’altra tec­no­lo­gia per pro­teg­ge­re il Domain Name System: DNS over TLS (DoT). A prima vista, i due sistemi sembrano essere simili, in quanto sia DoH sia DoT pro­met­to­no maggiore sicurezza e privacy per gli utenti. Tuttavia, le tec­no­lo­gie dif­fe­ri­sco­no per alcuni aspetti. In linea di principio, le due soluzioni sono guidate da gruppi di interesse diversi: mentre il DNS over HTTPS è guidato prin­ci­pal­men­te da Mozilla, Google e dai fornitori di server DoH privati, il DoT è guidato dall’Internet En­gi­nee­ring Task Force (IETF).

A livello tecnico, il DoT si dif­fe­ren­zia dal suo con­cor­ren­te per la creazione di un tunnel TLS invece di una con­nes­sio­ne HTTPS. Inoltre, utilizza una porta diversa. Mentre DoH funziona sulla porta standard 443, la co­mu­ni­ca­zio­ne DNS over TLS funziona sulla porta separata 853.

Vai al menu prin­ci­pa­le