DNS-over-TLS (DoT): il miglior sistema di sicurezza

Il Domain Name System (DNS) consente di navigare in rete in modo sicuro. Se non ci fosse questo pratico sistema dovremmo ogni volta inserire un indirizzo IP nel browser per poter aprire un sito Internet. Grazie al DNS invece bastano i semplici URL. Purtroppo però fino ad ora la comodità andava a discapito della sicurezza. Con DNS-over-TLS (DoT) i rischi di navigazione possono essere notevolmente minimizzati. Come funziona questo sistema?

Il Domain Name System è un pratico sistema che è stato ideato quando ancora Internet era molto più ridotto e i problemi legati alla sicurezza erano minori rispetto a quelli odierni. Il DNS funziona in quanto ogni client (per esempio il PC di casa) richiama l’indirizzo IP corretto relativo ad un dato nome di dominio tramite un nameserver. Se la voce non si trova più nella cache del browser, del PC o del router, il collegamento deve essere effettuato tramite Internet. Nella fase di comunicazione tra client e server DNS possono esserci degli attacchi, perché la comunicazione in DNS avviene per la maggior parte in modo totalmente non criptato.

I criminali della rete possono quindi facilmente leggere o modificare la comunicazione tra i partecipanti coinvolti. In questo modo vengono intercettate le domande e vengono inviate risposte errate. Questa tecnica è conosciuta come DNS Hijacking: gli utenti finiscono così su pagine che non avevano intenzione di visitare. Nel migliore dei casi gli utenti vengono disturbati da una pubblicità eccessiva, ma può anche accadere che i loro dispositivi siano infettati da malware o che siano colpiti da phishing. In questo caso chi effettua l’attacco potrebbe raccogliere dati sensibili.

Anche i governi e i provider di Internet sfruttano i punti deboli del DNS, ad esempio per bloccare determinati siti Web, che si tratti di applicare le leggi locali che regolano Internet o censurare pareri indesiderati. Sia in caso di attività criminali che di dirottamenti legali, un collegamento criptato con DoT può risultare utile.

Il Transport-Layer-Security-Protokoll (TLS) opera al livello superiore del TCP/IP ed è quindi un componente fondamentale di Internet e di molte altre reti. Il protocollo è conosciuto all’interno di HTTPS, dove il TLS aiuta a creare in modo sicuro delle trasmissioni dal client al server web. In futuro il TLS dovrebbe anche contribuire a rendere più sicura la comunicazione in DNS.

In DNS-over-TLS lo scambio di dati avviene tramite un canale criptato. Solamente i due partecipanti alla comunicazione hanno una chiave per decodificare ed elaborare i dati. Ciò rende vano un eventuale attacco man in the middle, dato che il pirata informatico non potrebbe utilizzare i dati rubati. Il trasporto avviene tramite semplice connessione TCP e porta standard 853, per DoT è quindi prevista una porta dedicata, pensata esclusivamente per lo scambio di informazioni sul dominio.

Questa tecnologia deve però essere supportata sia lato server che lato client. Sono molti attualmente i gestori in Internet che mettono a disposizione i relativi server DNS, per potervi però accedere con il proprio computer fisso o laptop bisogna essere attrezzati a livello tecnico con un software adatto. Esistono delle soluzioni per Windows e Linux, anche gli smartphone con l’ultima versione Android possono usufruire di DNS-over-TLS.

Visto che non ci sono disposizioni di sicurezza a cui attenersi per il classico DNS, con DoT è difficile commettere degli errori. Attraverso la cifratura i pirati della rete non hanno più la possibilità di utilizzare il servizio per effettuare degli attacchi. Allo stesso modo nemmeno i governi possono applicare delle censure con DNS, almeno in teoria. DNS-over-TLS viene criticato da molti esperti perché utilizza una porta dedicata, così non è possibile riconoscere quale sito web viene richiamato, è però chiaro che viene inviata una richiesta DNS e i responsabili della tutela dei dati lo considerano un problema. Per molti amministratori di rete però questo è uno step importante per avere una miglior panoramica relativamente alle attività in rete.

Esistono attualmente anche dei problemi legati alla carente diffusione del DNS-over-TLS, ad eccezione di Android 9, tutti i sistemi operativi devono essere dotati di software aggiuntivi. Anche lato server questa tecnica non è (ancora) così diffusa: ci sono si più gestori, ma non così tanti quanto per i classici DNS. Alcuni esperti temono che si crei una sorta di monopolio. Fino ad ora la maggior parte dei nomi di dominio sono stati messi a disposizione da fornitori di servizi Internet, ora anche altre società, potrebbero riunire delle richieste DNS, anche se meno di quante forniscono gli attuali servizi, almeno a livello internazionale.

Al momento oltre che di DoT si parla anche di un’altra tecnologia, che dovrebbe rendere più sicura la risoluzione del nome: DNS-over-HTTPS (DoH). Le due soluzioni hanno in comune il fatto di effettuare la cifratura della comunicazione, la differenza sta nella porta che viene utilizzata a tal fine. Questa, che potrebbe sembrare una cosa da poco, ha creato una profonda scissione tra gli esperti: mentre il DNS-over-TLS utilizza una porta dedicata, DoH utilizza la porta 443, che viene impiegata anche per altre connessioni HTTPS, per es. per consultare i classici siti Internet. Così una richiesta DNS non si differenzia dal restante traffico durante la navigazione sul Web.

Dal punto di vista della protezione dei dati questo è un vantaggio: se la richiesta non viene riconosciuta come di tipo DNS non ci saranno tentativi di ostacolarla. Alcuni amministratori di rete temono però di perdere il controllo sul traffico di rete e di non poter poi più gestire correttamente la comunicazione.

Si sono così creati due schieramenti, ciascuno dei quali sostiene la propria posizione. DoT viene sostenuta principalmente da IETF, un’organizzazione che si occupa dell’ulteriore sviluppo di Internet. IETF crea degli standard che vengono in molti casi ripresi da altri attori del World Wide Web. Dietro a DNS over HTTPS ci sono invece altre società e organizzazioni. Questa soluzione viene caldeggiata fra l’altro da Mozilla Foundation e Google.