Resolver DNS Criptati
Non permettere a Google di vedere tutto il tuo traffico DNS. Scopri alternative incentrate sulla privacy ai tradizionali DNS.
Resolver Domain Name System (DNS) Criptati
Nota: Usare un resolver DNS criptato non ti renderà anonimo, né nasconderà il tuo traffico internet dal tuo Internet Service Provider (ISP).
Ma impedirà il DNS hijacking (il dirottamento delle richieste al server DNS), renderà le richieste DNS ancora più difficili da intercettare e manipolare.
Se in questo momento stai utilizzando il resolver DNS di Google, dovresti scegliere una di queste alternative.
| Provider DNS | Ubicazione Server | Privacy Policy | Tipo | Logging | Protocolli | DNSSEC | Minim. QNAME | Filtri | Codice Sorgente | Provider Hosting |
|---|---|---|---|---|---|---|---|---|---|---|
| AdGuard | Anycast (sede a Cipro) | Commerciale | No | DoH, DoT, DNSCrypt | Sì | Sì | Annunci, tracker, domini malevoli | Serveroid, LLC | ||
| BlahDNS | Finlandia, Germania, Giappone | Hobby | No | DoH, DoT , DNSCrypt | Sì | Sì | Annunci, tracker, domini malevoli | Choopa, LLC, Data Center Light, Hetzner Online GmbH | ||
| Cloudflare | Anycast (sede negli USA) | Commerciale | Parziale | DoH, DoT, DNSCrypt | Sì | Sì | No | ? | Self | |
| CZ.NIC | Repubblica Ceca | Associazione | No | DoH, DoT | Sì | Sì | ? | ? | Self | |
| dnswarden | Germania | Hobby | No | DoH, DoT , DNSCrypt | Sì | Sì | Dipende dal server | ? | Hetzner Online GmbH | |
| Foundation for Applied Privacy | Austria | No-Profit | Parziale | DoH, DoT | Sì | Sì | No | ? | IPAX OG | |
| NextDNS | Anycast (sede negli USA) | Commerciale | A scelta dell'utente | DoH, DoT, DNSCrypt | Sì | Sì | A scelta dell'utente | ? | Self | |
| NixNet | Anycast (sede negli USA), USA, Lussemburgo | Collettivo | No | DoH, DoT | Sì | Sì | Dipende dal server | FranTech Solutions | ||
| PowerDNS | Paesi Bassi | Hobby | No | DoH | Sì | No | No | TransIP B.V. Admin | ||
| Quad9 | Anycast (sede negli USA) | No-Profit | Parziale | DoH, DoT, DNSCrypt | Sì | Sì | Domini malevoli | ? | Self, Packet Clearing House | |
| SecureDNS | Paesi Bassi | Hobby | No | DoH, DoT, DNSCrypt | Sì | Sì | Dipende dal server | ? | DigitalOcean, Inc. | |
| Snopyta | Finlandia | Collettivo | No | DoH, DoT | Yes | Yes | No | ? | Hetzner Online GmbH | |
| UncensoredDNS | Anycast (sede in Danimarca), Danimarca, USA | Hobby | No | DoT | Sì | No | No | ? | Self, Telia Company AB |
Terminologie
- DNS-over-TLS (DoT) - Un protocollo di sicurezza per DNS criptati sulla porta dedicata 853. Alcuni provider supportano la porta 443 che generalmente funziona ovunque, mentre la porta 853 viene spesso bloccata da firewall restrittivi. DoT ha due modalità:
- Oppurtunistica: il client tenta di creare una connessione DNS-over-TLS al server attraverso la porta 853 senza validarne il certificato. Se fallisce, utilizzerà DNS non criptati.
- Restrittiva: il client si connette ad un hostname specifico e ne valida il certificato. Se fallisce, non viene effettuata alcuna query DNS finché la validazione non avrà successo.
- DNS-over-HTTPS (DoH) - Simile a DoT, ma utilizza invece HTTPS, così da essere indistinguibile dal "normale" traffico HTTPS sulla porta 443.
- DNSCrypt - Più vecchio ma robusto metodo per criptare i DNS.
Come verificare se il DNS è criptato
- DoH / DoT
- Controlla DNSLeakTest.com.
- Controlla il sito web del tuo provider DNS. Potrebbero avere una pagina che ti dice "stai utilizzando il nostro DNS." Esempi includono AdGuard e Cloudflare.
- Se stai usando il trusted recursive resolver (TRR) di Firefox, apri
about:networking#dns. Se la colonna TRR riporta "true" in alcuni campi, stai utilizzando DoH.
- dnscrypt-proxy - Controlla la wiki di dnscrypt-proxy su come verificare se i tuoi DNS sono criptati.
- DNSSEC - Controlla il DNSSEC Resolver Test di Matthäus Wander.
- Minimizzazione QNAME - Esegui il comando
dig +short txt qnamemintest.internet.nldalla riga di comando (preso da questa presentazione di NLnet Labs). Se stai usando Windows 10, eseguiResolve-DnsName -Type TXT -Name qnamemintest.internet.nldalla PowerShell. Dovresti poter visualizzare questo messaggio:"HOORAY - QNAME minimisation is enabled on your resolver :)!"
Consigli sui Software e Ulteriori Informazioni
- Client DNS Criptati per Desktop:
- Firefox ha il supporto integrato a DoH con Cloudflare impostato come resolver predefinito ma può essere configurato per utilizzare qualsiasi resolver DoH. Al momento Mozilla sta conducendo degli studi prima di attivare DoH in modo predefinito per tutti gli utenti Firefox residenti negli USA.
- DNS over HTTPS può essere abilitato in Menu -> Impostazioni (
about:preferences) -> Impostazioni di rete -> Attiva DNS over HTTPS. Imposta "Usa Provider" su "Personalizzato" ed inserisci l'indirizzo del tuo provider DoH. - Gli utenti avanzati possono abilitarlo in
about:configimpostandonetwork.trr.custom_urienetwork.trr.uricon l'indirizzo che si trova nella documentazione del provider DoH enetwork.trr.modesu2. Potrebbe essere auspicabile impostarenetwork.security.esni.enabledsuTrueper attivare SNI criptato e rendere i siti che supportano ESNI un po' più difficili da rintracciare.
- Client DNS Criptati per Mobile:
- Android 9 ha già un client DoT di default.
- Noi consigliamo di selezionare Nome host del provider DNS privato ed inserire l'indirizzo DoT che trovi nella documentazione del tuo provider DoT per attivare la modalità restrittiva (vedi i Termini qui sopra).
- DNSCloak - Un client DNSCrypt e DoH open-source per iOS creato dal
Center for the Cultivation of Technology gemeinnuetzige GmbH. - Nebulo - Un'applicazione open source per Android che supporta DoH e DoT. Supporta anche il caching delle risposte DNS e il logging locale delle query DNS.
- Server DNS Locali:
- Stubby - Un'applicazione open-source per Linux, macOS e Windows che funge da resolver DNS Privacy stub locale utilizzando DoT.
- Unbound - server DNS ricorsivo, con cache e validazione. Può anche essere utilizzato a livello di rete e supporta DNS-over-TLS a partire dalla versione 1.7.3.
- Server DNS a livello di rete:
- Ulteriori Letture:
- Riguardo Firefox, DoH e ESNI
- Trusted Recursive Resolver (DoH) su MozillaWiki
- Bug report per Firefox che chiede di poter utilizzare ESNI senza DoH
- Bug report per Firefox che chiede di poter utilizzare DNS privato (DoT) di Android 9 e beneficiare di ESNI senza dover attivare DoH
- Encrypt it or lose it: how encrypted SNI works on Cloudflare blog
- Minimizzazione QNAME e la Tua Privacy dall'Internet Systems Consortium (ISC)
- DNSSEC e BIND 9 dall'ISC