DNS-over-TLS (DoT): il miglior sistema di sicurezza

Il Domain Name System (DNS) consente di navigare in rete in modo sicuro. Se non ci fosse questo pratico sistema dovremmo ogni volta inserire un indirizzo IP nel browser per poter aprire un sito Internet. Grazie al DNS invece bastano i semplici URL. Purtroppo però fino ad ora la comodità andava a discapito della sicurezza. Con DNS-over-TLS (DoT) i rischi di na­vi­ga­zio­ne possono essere no­te­vol­men­te mi­ni­miz­za­ti. Come funziona questo sistema?

Il Domain Name System è un pratico sistema che è stato ideato quando ancora Internet era molto più ridotto e i problemi legati alla sicurezza erano minori rispetto a quelli odierni. Il DNS funziona in quanto ogni client (per esempio il PC di casa) richiama l’indirizzo IP corretto relativo ad un dato nome di dominio tramite un na­me­ser­ver. Se la voce non si trova più nella cache del browser, del PC o del router, il col­le­ga­men­to deve essere ef­fet­tua­to tramite Internet. Nella fase di co­mu­ni­ca­zio­ne tra client e server DNS possono esserci degli attacchi, perché la co­mu­ni­ca­zio­ne in DNS avviene per la maggior parte in modo to­tal­men­te non criptato.

I criminali della rete possono quindi fa­cil­men­te leggere o mo­di­fi­ca­re la co­mu­ni­ca­zio­ne tra i par­te­ci­pan­ti coinvolti. In questo modo vengono in­ter­cet­ta­te le domande e vengono inviate risposte errate. Questa tecnica è co­no­sciu­ta come DNS Hijacking: gli utenti finiscono così su pagine che non avevano in­ten­zio­ne di visitare. Nel migliore dei casi gli utenti vengono di­stur­ba­ti da una pub­bli­ci­tà eccessiva, ma può anche accadere che i loro di­spo­si­ti­vi siano infettati da malware o che siano colpiti da phishing. In questo caso chi effettua l’attacco potrebbe rac­co­glie­re dati sensibili.

Anche i governi e i provider di Internet sfruttano i punti deboli del DNS, ad esempio per bloccare de­ter­mi­na­ti siti Web, che si tratti di applicare le leggi locali che regolano Internet o censurare pareri in­de­si­de­ra­ti. Sia in caso di attività criminali che di di­rot­ta­men­ti legali, un col­le­ga­men­to criptato con DoT può risultare utile.

Il Transport-Layer-Security-Protokoll (TLS) opera al livello superiore del TCP/IP ed è quindi un com­po­nen­te fon­da­men­ta­le di Internet e di molte altre reti. Il pro­to­col­lo è co­no­sciu­to all’interno di HTTPS, dove il TLS aiuta a creare in modo sicuro delle tra­smis­sio­ni dal client al server web. In futuro il TLS dovrebbe anche con­tri­bui­re a rendere più sicura la co­mu­ni­ca­zio­ne in DNS.

In DNS-over-TLS lo scambio di dati avviene tramite un canale criptato. Solamente i due par­te­ci­pan­ti alla co­mu­ni­ca­zio­ne hanno una chiave per de­co­di­fi­ca­re ed elaborare i dati. Ciò rende vano un eventuale attacco man in the middle, dato che il pirata in­for­ma­ti­co non potrebbe uti­liz­za­re i dati rubati. Il trasporto avviene tramite semplice con­nes­sio­ne TCP e porta standard 853, per DoT è quindi prevista una porta dedicata, pensata esclu­si­va­men­te per lo scambio di in­for­ma­zio­ni sul dominio.

Questa tec­no­lo­gia deve però essere sup­por­ta­ta sia lato server che lato client. Sono molti at­tual­men­te i gestori in Internet che mettono a di­spo­si­zio­ne i relativi server DNS, per potervi però accedere con il proprio computer fisso o laptop bisogna essere at­trez­za­ti a livello tecnico con un software adatto. Esistono delle soluzioni per Windows e Linux, anche gli smart­pho­ne con l’ultima versione Android possono usufruire di DNS-over-TLS.

Visto che non ci sono di­spo­si­zio­ni di sicurezza a cui attenersi per il classico DNS, con DoT è difficile com­met­te­re degli errori. At­tra­ver­so la cifratura i pirati della rete non hanno più la pos­si­bi­li­tà di uti­liz­za­re il servizio per ef­fet­tua­re degli attacchi. Allo stesso modo nemmeno i governi possono applicare delle censure con DNS, almeno in teoria. DNS-over-TLS viene criticato da molti esperti perché utilizza una porta dedicata, così non è possibile ri­co­no­sce­re quale sito web viene ri­chia­ma­to, è però chiaro che viene inviata una richiesta DNS e i re­spon­sa­bi­li della tutela dei dati lo con­si­de­ra­no un problema. Per molti am­mi­ni­stra­to­ri di rete però questo è uno step im­por­tan­te per avere una miglior pa­no­ra­mi­ca re­la­ti­va­men­te alle attività in rete.

Esistono at­tual­men­te anche dei problemi legati alla carente dif­fu­sio­ne del DNS-over-TLS, ad eccezione di Android 9, tutti i sistemi operativi devono essere dotati di software ag­giun­ti­vi. Anche lato server questa tecnica non è (ancora) così diffusa: ci sono si più gestori, ma non così tanti quanto per i classici DNS. Alcuni esperti temono che si crei una sorta di monopolio. Fino ad ora la maggior parte dei nomi di dominio sono stati messi a di­spo­si­zio­ne da fornitori di servizi Internet, ora anche altre società, po­treb­be­ro riunire delle richieste DNS, anche se meno di quante for­ni­sco­no gli attuali servizi, almeno a livello in­ter­na­zio­na­le.

Al momento oltre che di DoT si parla anche di un’altra tec­no­lo­gia, che dovrebbe rendere più sicura la ri­so­lu­zio­ne del nome: DNS-over-HTTPS (DoH). Le due soluzioni hanno in comune il fatto di ef­fet­tua­re la cifratura della co­mu­ni­ca­zio­ne, la dif­fe­ren­za sta nella porta che viene uti­liz­za­ta a tal fine. Questa, che potrebbe sembrare una cosa da poco, ha creato una profonda scissione tra gli esperti: mentre il DNS-over-TLS utilizza una porta dedicata, DoH utilizza la porta 443, che viene impiegata anche per altre con­nes­sio­ni HTTPS, per es. per con­sul­ta­re i classici siti Internet. Così una richiesta DNS non si dif­fe­ren­zia dal restante traffico durante la na­vi­ga­zio­ne sul Web.

Dal punto di vista della pro­te­zio­ne dei dati questo è un vantaggio: se la richiesta non viene ri­co­no­sciu­ta come di tipo DNS non ci saranno tentativi di osta­co­lar­la. Alcuni am­mi­ni­stra­to­ri di rete temono però di perdere il controllo sul traffico di rete e di non poter poi più gestire cor­ret­ta­men­te la co­mu­ni­ca­zio­ne.

Si sono così creati due schie­ra­men­ti, ciascuno dei quali sostiene la propria posizione. DoT viene sostenuta prin­ci­pal­men­te da IETF, un’or­ga­niz­za­zio­ne che si occupa dell’ulteriore sviluppo di Internet. IETF crea degli standard che vengono in molti casi ripresi da altri attori del World Wide Web. Dietro a DNS over HTTPS ci sono invece altre società e or­ga­niz­za­zio­ni. Questa soluzione viene cal­deg­gia­ta fra l’altro da Mozilla Foun­da­tion e Google.