DoH protegge completamente la mia privacy online?

No, DoH cifra solo le tue query DNS, ovvero la fase in cui il tuo dispositivo risolve i nomi di dominio in indirizzi IP. Il tuo indirizzo IP reale rimane visibile ai siti web che visiti e il tuo ISP può comunque vedere a quali indirizzi IP ti connetti. Per una protezione più completa della privacy, DoH dovrebbe essere utilizzato insieme a una VPN.

Se uso già una VPN, DoH mi serve ancora?

Dipende. Una VPN ben configurata gestisce già le query DNS attraverso il proprio tunnel sicuro. Tuttavia, se la tua VPN subisce un'interruzione o un DNS leak, le tue query DNS potrebbero essere esposte. Utilizzare DoH come misura aggiuntiva — o scegliere una VPN che implementa DoH internamente — offre una protezione extra contro queste eventualità.

Come posso abilitare DoH sul mio dispositivo?

Puoi abilitare DoH direttamente nei principali browser: su Firefox, vai nelle impostazioni di connessione e attiva "DNS over HTTPS"; su Chrome, cerca "sicurezza" nelle impostazioni avanzate e seleziona un provider DNS sicuro. Windows 11 supporta DoH a livello di sistema operativo tramite le impostazioni di rete. Molti provider VPN implementano DoH automaticamente senza richiedere alcuna configurazione manuale.

Qual è la differenza tra DoH e DoT?

Sia DNS over HTTPS (DoH) che DNS over TLS (DoT) cifrano le query DNS, ma lo fanno in modo diverso. DoT utilizza una porta dedicata (853), il che lo rende più facile da identificare e bloccare per gli amministratori di rete. DoH, invece, utilizza la porta 443 standard, confondendosi con il normale traffico HTTPS e risultando quindi più difficile da bloccare. Per gli utenti orientati alla privacy, DoH offre generalmente una maggiore resistenza alla censura e al filtraggio DNS.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Cos'è e perché è importante

Ogni volta che digiti l'indirizzo di un sito web nel browser, il tuo dispositivo invia una richiesta: "Qual è l'indirizzo IP di questo dominio?" Questa richiesta si chiama query DNS e, per decenni, ha viaggiato su Internet in testo normale — completamente esposta a chiunque monitorasse la rete. DNS over HTTPS (DoH) è stato creato proprio per risolvere questo problema.

Cos'è

DNS over HTTPS è un protocollo che racchiude le tue query DNS all'interno del traffico HTTPS cifrato — lo stesso tipo di cifratura utilizzato quando accedi alla tua banca o fai acquisti online. Invece di essere inviate allo scoperto, le tue richieste DNS vengono incapsulate in connessioni HTTPS sicure e trasmesse a un resolver DNS compatibile con DoH. Per chi osserva dall'esterno, il traffico appare come una normale navigazione web.

DoH è stato standardizzato dall'Internet Engineering Task Force (IETF) nell'RFC 8484 nel 2018 ed è stato successivamente integrato nei principali browser come Firefox, Chrome ed Edge, oltre che nei sistemi operativi come Windows 11 e Android.

Come funziona

Ecco il flusso di base:

Digiti `example.com` nel browser.
Invece di inviare una richiesta UDP in testo normale al server DNS del tuo ISP sulla porta 53, il tuo dispositivo invia una richiesta HTTPS cifrata a un resolver DoH (come `1.1.1.1` di Cloudflare o `8.8.8.8` di Google) sulla porta 443.
Il resolver cerca l'indirizzo IP e restituisce la risposta — sempre cifrata tramite HTTPS.
Il browser si connette al sito web.

Poiché la query utilizza la porta 443 (la porta HTTPS standard), si mescola al normale traffico web. Un osservatore passivo sulla tua rete — che si tratti del tuo ISP, di un amministratore di rete o di qualcuno che gestisce un hotspot Wi-Fi non autorizzato — non può distinguere facilmente le tue richieste DNS da qualsiasi altro traffico HTTPS.

Perché è importante per gli utenti VPN

Potresti chiederti: se uso già una VPN, ho bisogno di DoH? È una domanda legittima, e la risposta dipende dalla tua configurazione.

Senza una VPN, DoH rappresenta un miglioramento significativo della privacy. Il tuo ISP non può più registrare facilmente ogni dominio che visiti. Questo è particolarmente rilevante considerando che in molti paesi gli ISP sono autorizzati — o addirittura obbligati — a raccogliere e vendere i dati di navigazione.

Con una VPN, le tue query DNS dovrebbero già essere instradate attraverso il tunnel VPN e risolte dai server DNS del provider VPN. Tuttavia, se la connessione VPN si interrompe o è configurata in modo errato, può verificarsi un DNS leak — il dispositivo torna a inviare le query DNS al di fuori del tunnel, esponendo la tua attività. Utilizzare DoH insieme a una VPN (o scegliere una VPN che implementi DoH internamente) aggiunge un ulteriore livello di protezione contro queste fughe di dati.

Vale anche la pena sottolineare che DoH da solo non sostituisce una VPN. DoH cifra esclusivamente la fase di ricerca del dominio. Il tuo indirizzo IP rimane visibile ai siti web che visiti, e il tuo ISP può ancora vedere a quali indirizzi IP ti stai connettendo — anche se non necessariamente i nomi di dominio che hanno generato quelle connessioni.

Esempi pratici e casi d'uso

Wi-Fi pubblico: Quando sei connesso alla rete di un bar o di un aeroporto, DoH impedisce all'operatore della rete di registrare le tue query DNS o di reindirizzarle verso un server manipolato.
Aggirare la censura di base: Alcuni ISP bloccano i siti web intercettando le query DNS. DoH può eludere i blocchi a livello DNS perché le query sono cifrate e inviate a un resolver esterno. (Nota: i sistemi di censura più determinati possono comunque bloccare i resolver DoH tramite indirizzo IP.)
Protezione a livello di browser: Firefox e Chrome ti consentono di abilitare DoH direttamente nelle impostazioni, garantendoti un DNS cifrato anche quando non sei connesso a una VPN.
Ambienti aziendali: Gli amministratori di rete spesso dibattono sull'uso di DoH perché può aggirare i controlli DNS interni. Molte organizzazioni configurano DoH per instradare il traffico attraverso resolver interni approvati anziché resolver pubblici.

DoH vs. DoT

DoH viene spesso confrontato con DNS over TLS (DoT), un altro protocollo di cifratura DNS. Entrambi cifrano il traffico DNS, ma DoT utilizza una porta dedicata (853) che è facile da identificare e filtrare per gli amministratori di rete. DoH si fonde nel normale traffico HTTPS, rendendolo più difficile da bloccare — il che rappresenta sia il suo punto di forza per la privacy, sia una preoccupazione per il controllo della rete.

DNS over HTTPS (DoH)Intermedio