Il DNS è necessario al funzionamento di quasi tutti i servizi della rete. Rimane uno degli ultimi servizi non ancora crittografato. Recentemente, c'è stata una spinta per portare su canale cifrato le richieste DNS al fine di garantire la privacy.
Essendo le informazioni dei DNS pubbliche molti si staranno chiedendo perché proteggerle. Infatti, non si tratta di proteggere la informazione in sé, ma l'utente che effettua una determinata chiamata DNS.
Tuttavia c'è una contraddizione: se pochi operatori forniscono servizi di DNS pubblico, possono analizzare e collezionare interrogazioni effettuate (anche se queste sono veicolate su canale cifrato).
Lasciamo per ora perdere la "filosofia" e andiamo al sodo: DNS over HTTPS.
DNS over HTTPS
Rappresenta un cambio di paradigma: con DoH la richiesta DNS non avviene più nel modo consueto sulla porta 53/tcp
ma su 443/tcp come fosse una chiamata HTTPS. E con DoH sono gli applicativi, in primis i browser
Firefox (Mozilla) e Chrome (Google) che possono fare interrogazioni direttamente, senza badare al DNS impostato sul sistema operativo.
Non ci credete?
Per i tecnici: disabilitiamo i DNS di sistema, ed effettuiamo un comando ping, darà un errore (atteso) del tipo:
ping www.google.com
ping: www.google.com: Errore temporaneo nella risoluzione del nome
Eppure il vostro browser navigherà se è stato precedentemente impostato per usare DNS over HTTPS.
Tutto questo cosa comporta?
I fautori della tecnologia dicono che questo rende l'esperienza utente più veloce e rapida e garantisce la privacy perché le interrogazioni sono veicolate in canale sicuro, ovvero HTTPS. I detrattori diranno che così facendo non si ha il controllo dei servizi e di fatto molti utilizzatori a loro insaputa saranno portati a usare servizi forniti da terze parti senza averne la percezione.
E DNSSEC?
DNSSEC è una implementazione di cui viene incentivato l'uso da anni, ma che non garantisce di per se la riservatezza delle informazioni in transito, ma piuttosto la autenticità delle interrogazioni (in quanto i nameserver firmano digitalmente le informazioni rese e i client sono in grado di verificarle prima di usarle). Sembra possa quindi essere complementare a DNS over HTTPS assolvendo a uno scopo sovrapponibile.
Esiste un modo per "difendersi" dal DNS over HTTPS?
Se sei un amministratore di sistema ti starai chiedendo se sia possibile bloccare DoH (Senza dover bloccare tutto l'HTTPS).
Pare ci sia una possibilità: Firefox ha implementato una tecnica per rilevare se DoH può o non può essere usato interrogando un dominio specifico use-application-dns.net. Firefox genererà richieste "A" e "AAAA" a questo dominio (utilizzando i server DNS forniti dal sistema operativo) e se ritorna NXDOMAIN viene restituito, non utilizzerà DoH.
Maggiori info su come disattivare DNS over HTTPS su una rete: https://isc.sans.edu/
