Portare su canale cifrato le interrogazioni DNS

Le nuove tecnologie che rendono cifrate le interrogazioni DNS. Parliamo di DoH, DoT e DoQ.


Il DNS è indispensabile al funzionamento di quasi tutti i servizi della rete

Nella sua implementazione standard su porta 53/udp e 53/tcp è un servizio non crittografato. Recentemente, sono apparse varie alternative per portare su canale cifrato le richieste DNS al fine di garantire la privacy della interrogazione.

Essendo le informazioni dei DNS pubbliche molti si staranno chiedendo perché proteggerle. Infatti, non si tratta di proteggere la informazione in sé, ma l'utente che effettua una determinata chiamata DNS.

Le alternative al momento disponibili sono sostanzialmente tre:

  • DNS-over-HTTPS (DoH)
  • DNS-over-TLS (DoT)
  • DNS-over-QUIC (DoQ)

1. DNS-over-HTTPS (DoH)

La richiesta DNS avviene su porta 443/tcp come fosse una chiamata HTTPS.

A sfruttare DoH sono sia gli applicativi (in primis i browser) sia i NameServer pubblici che interrogano i NameServer autoritativi.

La impostazione di DoH su browser Firefox è facilmente verificabile: Firefox e DNS over HTTPS

2. DNS-over-TLS (DoT)

La implementazione del DNS-over-TLS (DoT) prevede l'utilizzo del canale Transport Layer Security (TLS), pertanto la chiamata sarà cifrata su canale TLS. La porta standard destinata a tale servizio è la ``853/tcp```.

Per la implementazione lato server è richiesta la configurazione con certificati validi e congruenti con il common name per non genera warning al client che fa la interrogazione.

3. DNS-over-QUIC (DoQ)

DNS-over-QUIC è visto come un successore di DNS-over-HTTPS in quanto utilizza il protocollo introdotto da Google QUIC. La sua caratteristica principale è duvuta al fatto di usare UDP come base risulta più veloce e adatto a reti anche con alto tasso di perdita di pacchetti. Usa per la comunicazione la porta 8853/udp.

E DNSSEC?

DNSSEC è una implementazione di cui viene incentivato l'uso da anni, ma è bene precisare, che pur facendo uso di certificate per firmare le informazioni il suo scopo non è garantire la riservatezza delle informazioni in transito, ma piuttosto la autenticità delle interrogazioni (in quanto i nameserver firmano digitalmente le informazioni rese e i client sono in grado di verificarle prima di usarle). Sembra possa quindi essere complementare ai vari canali criptati assolvendo a uno scopo diverso esovrapponibile.


Pubblicato il 14/09/2024

Registra a solo €2,00 un dominio con bitName!

...

Parliamo di TTL (Time To Live) ovvero il tempo di validità di un record DNS

Cosa si intende quando si parla di TTL (Time To Live) in riferimento a un dominio e perché può essere importante conoscere questo valore?

...

Quali sono i record DNS più comuni?

In questo articolo vedremo quali sono le casistiche principali e quali sono i record DNS più comuni, inoltre qualche suggerimento sulle accortezze da adottare.

...

Come pubblicare il sito Squarespace con il tuo dominio personalizzato

Come utilizzare un dominio personalizzato per il sito creato Squarespace. Collegare un dominio già registrato con bitName o altro gestore a Squarespace per la pubblicazione del sito.

Vuoi saperne di più su bitName? Contattaci subito!