DNS over HTTPS | bitName Blog

DNS over HTTPS

DoH e il nuovo modo di risoluzione nomi dei browser

Il DNS è necessario al funzionamento di quasi tutti i servizi della rete. Rimane uno degli ultimi servizi non ancora crittografato. Recentemente, c'è stata una spinta per portare su canale cifrato le richieste DNS al fine di garantire la privacy.

Essendo le informazioni dei DNS pubbliche molti si staranno chiedendo perché proteggerle. Infatti, non si tratta di proteggere la informazione in sé, ma l'utente che effettua una determinata chiamata DNS.

Tuttavia c'è una contraddizione: se pochi operatori forniscono servizi di DNS pubblico, possono analizzare e collezionare interrogazioni effettuate (anche se queste sono veicolate su canale cifrato).

Lasciamo per ora perdere la "filosofia" e andiamo al sodo: DNS over HTTPS.

DNS over HTTPS

Rappresenta un cambio di paradigma: con DoH la richiesta DNS non avviene più nel modo consueto sulla porta 53/tcp ma su 443/tcp come fosse una chiamata HTTPS. E con DoH sono gli applicativi, in primis i browser Firefox (Mozilla) e Chrome (Google) che possono fare interrogazioni direttamente, senza badare al DNS impostato sul sistema operativo.

Firefox e DNS over HTTPS

Non ci credete?

Per i tecnici: disabilitiamo i DNS di sistema, ed effettuiamo un comando ping, darà un errore (atteso) del tipo:

ping www.google.com

ping: www.google.com: Errore temporaneo nella risoluzione del nome

Eppure il vostro browser navigherà se è stato precedentemente impostato per usare DNS over HTTPS.

Tutto questo cosa comporta?

I fautori della tecnologia dicono che questo rende l'esperienza utente più veloce e rapida e garantisce la privacy perché le interrogazioni sono veicolate in canale sicuro, ovvero HTTPS. I detrattori diranno che così facendo non si ha il controllo dei servizi e di fatto molti utilizzatori a loro insaputa saranno portati a usare servizi forniti da terze parti senza averne la percezione.

E DNSSEC?

DNSSEC è una implementazione di cui viene incentivato l'uso da anni, ma che non garantisce di per se la riservatezza delle informazioni in transito, ma piuttosto la autenticità delle interrogazioni (in quanto i nameserver firmano digitalmente le informazioni rese e i client sono in grado di verificarle prima di usarle). Sembra possa quindi essere complementare a DNS over HTTPS assolvendo a uno scopo sovrapponibile.

Esiste un modo per "difendersi" dal DNS over HTTPS?

Se sei un amministratore di sistema ti starai chiedendo se sia possibile bloccare DoH (Senza dover bloccare tutto l'HTTPS).

Pare ci sia una possibilità: Firefox ha implementato una tecnica per rilevare se DoH può o non può essere usato interrogando un dominio specifico use-application-dns.net. Firefox genererà richieste "A" e "AAAA" a questo dominio (utilizzando i server DNS forniti dal sistema operativo) e se ritorna NXDOMAIN viene restituito, non utilizzerà DoH.

Maggiori info su come disattivare DNS over HTTPS su una rete: https://isc.sans.edu/


Pubblicato il 01/01/2021

Registra subito un dominio gratis con bitName!

Vai!

...

I record DNS più comuni

In questo articolo vedremo quali sono le casistiche principali e quali sono i record DNS più comuni, inoltre qualche suggerimento sulle accortezze da adottare.

Continua a leggere 17/03/2021
...

Verifica configurazione DNS

La corretta configurazione DNS è fondamentale per evitare il blocco dei servizi di posta. Poiché alcuni errori possono essere nascosti, scegliere i giusti strumenti di verifica è fondamentale.

Continua a leggere 17/03/2021
...

Il mio dominio è al sicuro?

Gli scenari e cosa fare per evitare che un nostro dominio ci sfugga dal controllo.

Continua a leggere 02/05/2017