Nel corso della storia di Internet, il traffico DNS (Domain Name System) tradizionale, ad esempio le richieste degli utenti di accedere a determinati siti Web, è stato in gran parte non crittografato. Ciò significa che ogni volta che cerchi un indirizzo web nella "rubrica di Internet", ogni parte della catena del valore DNS che accetta la tua richiesta può esaminare quelle domande e risposte o persino modificarle. Il DNS crittografato, ad esempio, utilizzando DNS su HTTPS (DoH), lo cambia. Diverse grandi aziende Internet, come Apple, Mozilla, Microsoft e Google, stanno implementando DNS crittografati tramite DoH nei propri servizi e applicazioni. Mozilla è stato uno dei primi ad adottare DoH nel suo browser negli Stati Uniti alla fine del 2018, mentre Apple lo sta implementando con aggiornamenti a iOS 14 e macOS 11 nell'autunno 2020 e Google sta implementando DoH in Chrome per Android.
L'elenco telefonico di Internet in tutto il mondo
Il DNS (Domain Name System) funziona essenzialmente come la rubrica telefonica di Internet. Se pensiamo al dominio di primo livello (la parte più a destra di un indirizzo web, come .com, .org o .info) come equivalente al prefisso internazionale o locale, al secondo livello (nel caso di .eco.de internazionale, sarebbe .eco.) come numero standard di un'azienda e al terzo livello (internazionale) come estensione specifica, è possibile avere un'idea di come è compilata questa directory e di come funzionano i computer per trovare il servizio che vogliono visitare. I resolver DNS sono responsabili della ricerca della risorsa Internet (ad esempio, un sito Web) che hai digitato sul tuo computer o telefono. Il primo resolver DNS a cui il tuo dispositivo è connesso localmente è il tuo router di casa o di lavoro o un hotspot pubblico. Questo resolver segue una serie di passaggi, controllando eventuali impostazioni preconfigurate sul dispositivo o una registrazione delle visite precedenti al sito Web specificato (chiamato cache). In caso contrario, il resolver inoltrerà la query DNS al resolver successivo, ad esempio quello dell'Internet Service Provider (ISP) a cui sei connesso. Questo risolutore seguirà gli stessi passaggi e alla fine, se tutto il resto fallisce, cercherà il dominio nella "rubrica Internet".
Da quali rischi DoH protegge gli utenti?
Uno degli obiettivi perseguiti nello sviluppo del protocollo DoH era aumentare la riservatezza e la sicurezza dell'utente evitando l'intercettazione e la manipolazione dei dati DNS. La crittografia del traffico DNS ti protegge dalla possibilità che un attore malintenzionato possa reindirizzarti a un'altra destinazione (dannosa), ad esempio un sito Web bancario fasullo invece di quello che volevi visitare. Questo tipo di attacco informatico è noto come attacco Man-in-the-Middle (MITM). La crittografia DNS su DoH (o il protocollo DoT associato) è l'unica soluzione realistica disponibile oggi. La monetizzazione dei dati DNS, ad esempio, per scopi di marketing, è un problema di privacy potenziale e realistico che anche gli sviluppatori del DoH volevano affrontare.
Proteggi gli utenti sulle reti pubbliche
Quando si utilizza una rete wireless pubblica (Wi-Fi) in hotel, bar, ecc., i dati delle query DNS del tuo telefono cellulare possono essere utilizzati per analizzare il tuo comportamento e tracciarti attraverso le reti. Spesso questi servizi DNS fanno parte di una soluzione Wi-Fi all-in-one disponibile a livello globale; potrebbe non essere adeguato per rispettare le leggi locali sulla privacy e le impostazioni di protezione della privacy potrebbero non esserlo. non è attivato. Inoltre, i servizi Wi-Fi pubblici gratuiti, soprattutto se gestiti o forniti da piccole imprese, sono spesso mal gestiti in termini di sicurezza e prestazioni, rendendoti vulnerabile agli attacchi delle tue reti. DoH protegge gli utenti di queste reti wireless pubbliche perché il resolver DNS della rete Wi-Fi viene bypassato, impedendo il tracciamento degli utenti e la manomissione dei dati a questo livello. Pertanto, DoH offre la possibilità di proteggere le comunicazioni in un ambiente non attendibile.
Cosa sta cambiando con DoH?
Il DNS su HTTPS di per sé cambia solo il meccanismo di trasporto tramite il quale il tuo dispositivo e il resolver comunicano. Le richieste e le risposte vengono crittografate utilizzando il noto protocollo HTTPS. Attualmente, poiché sono stati ancora implementati pochi resolver DoH ed è ancora in corso il lavoro per consentire tecnicamente che i resolver DoH siano "rilevabili", le query DNS che utilizzano DoH in genere aggirano il resolver locale e sono invece gestite da una terza parte esterna. Fornitore DoH già designato dal rispettivo sviluppatore o produttore di software. Sempre più fornitori decidono se offrire o meno i propri servizi DoH.
Voglio DoH sulla mia rete aziendale?
Sebbene DoH sia un modo utile per proteggersi quando si utilizza un hotspot pubblico, potrebbe non essere l'opzione preferita per ambienti di rete affidabili, come reti aziendali o servizi aziendali. Accesso a Internet acquistato da un ISP affidabile. La tua azienda, ad esempio, potrebbe avere motivi legittimi per vietare un'app che ignora e sovrascrive le impostazioni predefinite del sistema; questo può anche essere considerato potenzialmente pericoloso, poiché l'amministratore di rete non può controllarlo all'interno della rete. . Molti dei problemi con le reti aziendali scompaiono se DoH viene implementato a livello di sistema anziché a livello di applicazione. A livello di sistema, ad esempio, un amministratore di rete aziendale può configurare il sistema e creare una policy che garantisca che mentre il dispositivo si trova sulla rete aziendale, dovrebbe essere utilizzato il resolver aziendale, ma mentre il dispositivo si trova su una rete pubblica, dovrebbe essere utilizzato DoH per migliorare la sicurezza e la privacy. Tuttavia, se DoH è implementato per impostazione predefinita a livello di applicazione, queste varie configurazioni vengono ignorate. Ci sono altre preoccupazioni sull'utilizzo di un resolver DNS esterno tramite DoH, che vanno dai tempi di risposta potenzialmente lenti all'elusione dei controlli parentali e al blocco obbligatorio per legge. Ma in generale, molti dei possibili svantaggi del DoH sono controbilanciati da altrettanti vantaggi, a seconda del contesto. Non ci sono dubbi: la crittografia DNS migliora la sicurezza e la privacy degli utenti. DoH può fornire un modo semplice per farlo. Ma se abiliti DoH, assicurati di istruirti su chi gestirà la risoluzione DoH, come gestiscono i tuoi dati e se puoi disabilitarli facilmente quando necessario.