Il DNS over HTTPS (DoH) è un protocollo che combina la tradizionale risoluzione dei nomi di dominio tramite DNS, con una connessione crittografata e sicura HTTPS.
In poche parole, utilizzando tale protocollo facciamo in modo che il browser invii il nome di dominio digitato dall’utente a un server DNS compatibile con DoH utilizzando una connessione HTTPS crittografata anziché una in testo normale, impedendo così a terze parti di “vedere” a quali siti web si sta tentando di accedere.
Indice degli argomenti
DNS over HTTPS: spieghiamo cos’è
Se ci pensiamo, ormai facciamo molta attenzione navigando in rete se il nostro browser ci avverte (e da alcuni anni lo fanno tutti) che la connessione con il sito web che stiamo visitando non è sicura, intendendo che le informazioni inviate e ricevute in questa modalità non sono protette e quindi corriamo un rischio.
In tali casi il protocollo usato, che leggiamo nella barra degli indirizzi del browser, è HTTP e non HTTPS – l’aggiunta della lettera indica che trasmette dati criptati attraverso crittografia (S sta “secure”).
Avendo richiamato il significato di HTTPS è utile anche ricordare che DNS è l’acronimo di Domain Name Server ed è una sorta di rubrica di Internet che gestisce le corrispondenze tra i nomi di dominio dei siti web (ad esempio www.cybersecurity360.it/) e gli indirizzi IP dei server che ospitano quei siti. Senza un servizio DNS nessuno potrebbe raggiungere quei siti a partire dal nome di dominio.
A questo punto è chiaro cos’è il protocollo DNS over HTTPS. Per molti è una novità, ma Google e Mozilla Foundation hanno iniziato a testare DNS over HTTPS nelle versioni dei loro browser già nel 2018 e nello stesso anno è stato proposto come standard dalla IETF (Internet Engineering Task Force).
A cosa serve il protocollo DNS over HTTPS
Nel visitare un sito web, dunque, la presenza del protocollo HTTPS tutela la nostra privacy e sicurezza proteggendoci da azioni svolte da malintenzionati che potrebbero inserirsi segretamente nello scambio dati tra le parti (client e server), e anche alterare la comunicazione stessa falsificandone i contenuti.
Ciò avviene nel momento in cui stabiliamo la connessione con il sito web. Ma prima?
La connessione ad un sito web è sempre preceduta, implicitamente, dalla richiesta che inviamo al sistema di risoluzione dei nomi di dominio (DNS) per raggiungere il sito desiderato. In quella fase non vi è applicata alcuna crittografia e dunque chiunque abbia accesso al nostro traffico di rete, può conoscere gli indirizzi dei siti che vogliamo visitare.
Questo a meno che non scegliamo di usare il protocollo DoH che attiva la crittografia HTTPS anche alla fase di risoluzione degli indirizzi.
Il supporto DoH è già presente in tutti i principali browser e basta configurarlo.
I vantaggi in termini security e privacy
Impostare i DNS over HTTPS è un valido primo passo per proteggere le nostre attività online e nascondere a terze parti i siti che visitiamo.
Le comunicazioni DNS standard, essendo in chiaro, sono vulnerabili agli attacchi man-in-the-middle se non sono protette dall’innovazione apportata dal protocollo DoH che permette di raggiungere un livello migliorato di privacy e protezione dei dati per mezzo della crittografia.
Gli effetti di attacchi man-in-the-middle dovrebbero (usiamo sempre il condizionale) essere annullati se DoH è configurato, dal momento che un malintenzionato, postosi in mezzo tra il client e il server, non potrà vedere quali domini si stanno accedendo e non potrà intervenire ingannando l’utente (spoofing DNS) portando il client su un sito diverso da quello desiderato. Questi dati sarebbero crittografati e nascosti all’interno della ingente quantità di dati HTTPS che passa attraverso la rete.
Il termine “malintenzionato” potrebbe farci intendere che DoH abbia senso, e già basterebbe, per contrastare la criminalità informatica, ma vi è un altro campo di opportuna applicazione: rendere la censura su Internet più difficile da realizzare. Alcuni governi usano i DNS per bloccare alcuni siti web per limitare, ad esempio, la libertà di espressione o cercare di far valere su Internet delle limitazioni vigenti in quel dato paese.
Altro motivo che dovrebbe spingere ad usare DoH è limitare gli ISP nel monitorare il traffico Internet dei propri clienti. Qui lasciamo facoltà al lettore di elencare le possibili utilità per i provider nell’eseguire questi “spionaggi”.
Gli svantaggi nell’uso del DNS over HTTPS
Ma non vi sono però solo vantaggi, come sempre vi è un altro lato della medaglia.
Proprio per quanto detto circa gli ISP, lo svantaggio è che molta sicurezza si basa sulla visibilità del DNS per cui, attivando il protocollo DNS over HTPPS, sarebbe molto più difficile per loro eseguire, ad esempio, il blocco di domini dannosi noti, con tutte le conseguenze del caso.
DoH si mescola con tutto il traffico HTTPS sulla porta 443, comportando il vantaggio/svantaggio (a questo punto) che le query DNS non sono affatto distinguibili dal resto del traffico, eliminando le opzioni a disposizione degli operatori di rete (anche aziendali) per proteggere la propria rete.
Altro svantaggio è dato dal fatto che gli utenti dovrebbero usare servizi DNS che supportano DoH, portando a una pericolosa concentrazione di controllo sul DNS, che invece è per definizione un servizio distribuito e decentralizzato. I server DoH conoscerebbero i dati di navigazione degli utenti e i loro gestori potrebbero abusarne, per non dire cosa accadrebbe se tali server fossero indisponibili con disservizi su larga scala. Centralizzare Internet, in questo caso, non sembra una buona idea.
DNS over HTTPS: impostarlo e usarlo su Windows 11
È parso bene a Microsoft di implementare il client DNS over HTTPS all’interno di Windows 11, avendolo già in sperimentazione dal 2019, ed è possibile attivarlo facilmente dall’app Impostazioni, a valere su tutte le connessioni a Internet, a prescindere dal browser utilizzato.
Questa funzionalità si era già vista nelle versioni di Windows 10 Insider Preview ma, nonostante più volte annunciata, ad oggi, nell’ultima versione 21H2 rilasciata, non risulta disponibile (e dubitiamo possa esserlo in futuro).
Le opzioni di attivazione di DNS over HTTPS selezionabili in Windows 11 sono:
- Solo non crittografato – Tutto il traffico di query DNS al server DNS specificato non è crittografato. Corrisponde al default e configura il client DNS per l’utilizzo di query DNS in testo normale tradizionali.
- Solo crittografati (DNS su HTTPS) – Questa impostazione è quella da selezionare e comporta che tutto il traffico delle query DNS passerà attraverso HTTPS. Questa impostazione offre la migliore protezione per il traffico delle query DNS. Tuttavia, significa anche che la risoluzione DNS non si verificherà se il server DNS di destinazione non è in grado di supportare le query DoH.
- Crittografati preferito, non crittografato consentiti – Quando viene scelta questa impostazione, il client DNS tenterà di utilizzare DoH e, se ciò non è possibile, in alternativa ricorrerà a query DNS non crittografate. Questa impostazione fornisce la migliore compatibilità per i server DNS compatibili con DoH, ma non ti verrà fornita alcuna notifica se le query DNS vengono passate da DoH a testo normale.
I servizi DoH che sono già pre-conosciuti da Windows 11 sono:
Azienda proprietaria del servizio | Indirizzi IP del server DNS (nell’ordine sono indicati come preferito e alternativo) |
Cloudflare | 1.1.1.1 |
8.8.8.8 | |
Quad 9 | 9.9.9.9 |
Assente in Windows ma comunque molto noto è quello di Cisco:
OpenDNS | 208.67.222.222 208.67.220.220 2620:119:35::35 2620:119:53::53 |
Di seguito i semplici passaggi per abilitare DoH su Windows 11 mediante interfaccia grafica:
- Nell’app Impostazioni selezionare nel menu a sinistra Rete e Internet.
- Selezionare la connessione che si sta utilizzando (Ethernet oppure Wi-Fi) e che si vuole configurare per DoH.
- Nella successiva schermata, scorrere verso il basso e cliccare sul pulsante Modifica della voce Assegnazione server DNS che farà aprire una finestra popup Modifica impostazioni DNS in cui si deve selezionale Manuale (l’altra opzione è Automatico (DHCP)).
- Nella nuova finestra popup si deve selezionare IPv4 e inserire gli IP nel campo DNS preferito e DNS alternativo.
- Selezionare Solo crittografati (DNS su HTTPS) rispettivamente per i campi Crittografia DNS preferita e Crittografia DNS alternativa.
- Se si intende usare anche IPv6 va ripetuto il punto 4.
- Infine cliccare su Salva per confermare le modifiche.
A questo punto ogni comunicazione da e verso un server DNS, generata da qualsiasi applicazione o servizio in esecuzione sul PC, sarà crittografata.
Per chi fosse interessato, questa configurazione è possibile implementarla anche su Windows Server 2022, i passaggi sono gli stessi.