Il DNS è indispensabile al funzionamento di quasi tutti i servizi della rete
Nella sua implementazione standard su porta 53/udp
e 53/tcp
è un servizio non crittografato. Recentemente,
sono apparse varie alternative per portare su canale cifrato le richieste DNS
al fine di garantire la privacy della interrogazione.
Essendo le informazioni dei DNS pubbliche molti si staranno chiedendo perché proteggerle. Infatti, non si tratta di proteggere la informazione in sé, ma l'utente che effettua una determinata chiamata DNS.
Le alternative al momento disponibili sono sostanzialmente tre:
- DNS-over-HTTPS (DoH)
- DNS-over-TLS (DoT)
- DNS-over-QUIC (DoQ)
1. DNS-over-HTTPS (DoH)
La richiesta DNS avviene su porta 443/tcp
come fosse una chiamata HTTPS.
A sfruttare DoH sono sia gli applicativi (in primis i browser) sia i NameServer pubblici che interrogano i NameServer autoritativi.
La impostazione di DoH su browser Firefox è facilmente verificabile:
2. DNS-over-TLS (DoT)
La implementazione del DNS-over-TLS (DoT) prevede l'utilizzo del canale Transport Layer Security (TLS), pertanto la chiamata sarà cifrata su canale TLS. La porta standard destinata a tale servizio è la ``853/tcp```.
Per la implementazione lato server è richiesta la configurazione con certificati validi e congruenti con il common name per non genera warning al client che fa la interrogazione.
3. DNS-over-QUIC (DoQ)
DNS-over-QUIC è visto come un successore di DNS-over-HTTPS in quanto utilizza il protocollo introdotto da Google QUIC.
La sua caratteristica principale è duvuta al fatto di usare UDP come base risulta più veloce e adatto a reti anche con alto tasso di perdita di pacchetti.
Usa per la comunicazione la porta 8853/udp
.
E DNSSEC?
DNSSEC è una implementazione di cui viene incentivato l'uso da anni, ma è bene precisare, che pur facendo uso di certificate per firmare le informazioni il suo scopo non è garantire la riservatezza delle informazioni in transito, ma piuttosto la autenticità delle interrogazioni (in quanto i nameserver firmano digitalmente le informazioni rese e i client sono in grado di verificarle prima di usarle). Sembra possa quindi essere complementare ai vari canali criptati assolvendo a uno scopo diverso esovrapponibile.