Esistono vari modi per proteggere le tue query DNS, ma ogni approccio ha i suoi punti di forza e di debolezza.
Il Domain Name System (DNS) è ampiamente considerato come la rubrica di Internet, che converte i nomi di dominio in informazioni che possono essere lette dai computer, come gli indirizzi IP.
Ogni volta che scrivi un nome di dominio nella barra degli indirizzi, il DNS lo converte automaticamente nell'indirizzo IP corrispondente. Il tuo browser utilizza queste informazioni per recuperare i dati dal server di origine e caricare il sito.
Ma i criminali informatici possono spesso spiare il traffico DNS, rendendo necessaria la crittografia per mantenere la tua navigazione web privata e sicura.
Cosa sono i protocolli di crittografia DNS?
I protocolli di crittografia DNS sono progettati per aumentare la privacy e la sicurezza della rete o del sito Web crittografando le query e le risposte DNS. Le query e le risposte DNS vengono regolarmente inviate in testo normale, il che rende più facile per i criminali informatici intercettare e manomettere la comunicazione.
I protocolli di crittografia DNS rendono sempre più difficile per questi hacker visualizzare e modificare i tuoi dati sensibili o interrompere la tua rete. Ce ne sono vari provider DNS crittografati in grado di proteggere le tue query da occhi indiscreti.
I protocolli di crittografia DNS più comuni
Oggi sono in uso diversi protocolli di crittografia DNS. Questi protocolli di crittografia possono essere utilizzati per impedire lo snooping su una rete crittografando il traffico all'interno del protocollo HTTPS su una connessione Transport Layer Security (TLS).
1. DNSCrypt
DNSCrypt è un protocollo di rete che crittografa tutto il traffico DNS tra il computer dell'utente e i server dei nomi generici. Il protocollo utilizza l'infrastruttura a chiave pubblica (PKI) per verificare l'autenticità del server DNS e dei client.
Utilizza due chiavi, una chiave pubblica e una chiave privata per autenticare la comunicazione tra il client e il server. Quando viene avviata una query DNS, il client la crittografa utilizzando la chiave pubblica del server.
La query crittografata viene quindi inviata al server, che la decrittografa utilizzando la sua chiave privata. In questo modo, DNSCrypt garantisce che la comunicazione tra il client e il server sia sempre autenticata e crittografata.
DNSCrypt è un protocollo di rete relativamente vecchio. È stato ampiamente sostituito da DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH) grazie al supporto più ampio e alle maggiori garanzie di sicurezza fornite da questi nuovi protocolli.
2. DNS su TLS
DNS-over-TLS crittografa la query DNS utilizzando Transport Layer Security (TLS). TLS garantisce che la tua query DNS sia crittografata end-to-end, prevenire gli attacchi man-in-the-middle (MITM)..
Quando utilizzi DNS-over-TLS (DoT), la tua query DNS viene inviata a un resolver DNS-over-TLS anziché a un resolver non crittografato. Il resolver DNS-over-TLS decrittografa la tua query DNS e la invia al server DNS autorevole per tuo conto.
La porta predefinita per DoT è la porta TCP 853. Quando ti connetti utilizzando DoT, sia il client che il resolver eseguono un handshake digitale. Quindi, il client invia la sua query DNS attraverso il canale TLS crittografato al resolver.
Il resolver DNS elabora la query, trova l'indirizzo IP corrispondente e invia la risposta al client tramite il canale crittografato. La risposta crittografata viene ricevuta dal client, dove viene decrittografata e il client utilizza l'indirizzo IP per connettersi al sito Web o al servizio desiderato.
3. DNS su HTTPS
HTTPS è la versione sicura di HTTP che ora viene utilizzata per accedere ai siti web. Come DNS-over-TLS, anche DNS-over-HTTPS (DoH) crittografa tutte le informazioni prima che vengano inviate sulla rete.
Sebbene l'obiettivo sia lo stesso, ci sono alcune differenze fondamentali tra DoH e DoT. Per cominciare, DoH invia tutte le query crittografate su HTTPS invece di creare direttamente una connessione TLS per crittografare il tuo traffico.
In secondo luogo, utilizza la porta 403 per la comunicazione generale, rendendo difficile la differenziazione dal traffico Web generale. DoT utilizza la porta 853, rendendo molto più facile identificare il traffico da quella porta e bloccarlo.
DoH ha visto un'adozione più ampia nei browser Web come Mozilla Firefox e Google Chrome, in quanto sfrutta l'infrastruttura HTTPS esistente. DoT è più comunemente utilizzato dai sistemi operativi e dai resolver DNS dedicati, piuttosto che essere integrato direttamente nei browser web.
Due dei motivi principali per cui DoH ha visto un'adozione più ampia è perché è molto più facile da integrare nel Web esistente browser e, cosa più importante, si integra perfettamente con il normale traffico Web, rendendolo molto più difficile bloccare.
4. DNS su QUIC
Rispetto agli altri protocolli di crittografia DNS in questo elenco, DNS-over-QUIC (DoQ) è abbastanza nuovo. È un protocollo di sicurezza emergente che invia query e risposte DNS tramite il protocollo di trasporto QUIC (Quick UDP Internet Connections).
La maggior parte del traffico Internet oggi si basa sul Transmission Control Protocol (TCP) o sullo User Datagram Protocol (UDP), con le query DNS solitamente inviate tramite UDP. Tuttavia, il protocollo QUIC è stato introdotto per superare alcuni inconvenienti di TCP/UDP e aiuta a ridurre la latenza e migliorare la sicurezza.
QUIC è un protocollo di trasporto relativamente nuovo sviluppato da Google, progettato per fornire migliori prestazioni, sicurezza e affidabilità rispetto ai protocolli tradizionali come TCP e TLS. QUIC combina le caratteristiche di TCP e UDP, integrando anche la crittografia integrata simile a TLS.
Poiché è più recente, DoQ offre numerosi vantaggi rispetto ai protocolli sopra menzionati. Per cominciare, DoQ offre prestazioni più veloci, riducendo la latenza complessiva e migliorando i tempi di connettività. Ciò si traduce in una risoluzione DNS più rapida (il tempo impiegato dal DNS per risolvere l'indirizzo IP). In definitiva, questo significa che i siti web ti vengono offerti più velocemente.
Ancora più importante, DoQ è più resistente alla perdita di pacchetti rispetto a TCP e UDP, poiché può recuperare dai pacchetti persi senza richiedere una ritrasmissione completa, a differenza dei protocolli basati su TCP.
Inoltre, è molto più semplice migrare le connessioni utilizzando anche QUIC. QUIC incapsula più flussi all'interno di una singola connessione, riducendo il numero di round trip necessari per una connessione e migliorando così le prestazioni. Questo può essere utile anche quando si passa dalla rete Wi-Fi a quella cellulare.
QUIC deve ancora essere ampiamente adottato rispetto ad altri protocolli. Ma aziende come Apple, Google e Meta stanno già utilizzando QUIC, spesso creando la propria versione (Microsoft utilizza MsQUIC per tutto il suo traffico SMB), il che fa ben sperare per il futuro.
Aspettatevi ulteriori modifiche al DNS in futuro
Si prevede che le tecnologie emergenti cambieranno radicalmente il modo in cui accediamo al web. Ad esempio, molte aziende stanno ora sfruttando le tecnologie blockchain per elaborare protocolli di denominazione dei domini più sicuri, come HNS e Unstoppable Domains.
