Qual è la differenza tra DoT e DoH?

Entrambi cifrano le query DNS, ma lo fanno in modo diverso. DNS over TLS (DoT) utilizza una connessione dedicata sulla porta 853, rendendolo facilmente identificabile e bloccabile dagli amministratori di rete. DNS over HTTPS (DoH) instrada invece le query DNS attraverso la porta 443, la stessa utilizzata dal normale traffico web HTTPS, rendendolo molto più difficile da rilevare o bloccare. DoH offre una maggiore resistenza alla censura, mentre DoT è spesso preferito in ambienti gestiti dove la trasparenza del traffico di rete è importante.

L'utilizzo di DoT rallenta la mia connessione Internet?

L'impatto sulle prestazioni è minimo nella maggior parte dei casi. L'handshake TLS iniziale richiede una piccola quantità di tempo aggiuntivo, ma le connessioni moderne spesso riutilizzano le sessioni TLS esistenti, riducendo questo overhead. In pratica, qualsiasi rallentamento è generalmente impercettibile per l'utente medio. La latenza dipende in larga misura anche dalla velocità del resolver DNS che hai scelto.

DoT mi protegge completamente durante la navigazione?

No. DoT protegge solo le tue query DNS, ovvero le richieste che traducono i nomi di dominio in indirizzi IP. Il tuo traffico web effettivo — i contenuti delle pagine che visiti — non è cifrato da DoT. Per una protezione completa della navigazione hai bisogno di HTTPS per i singoli siti web e, per una privacy più ampia, di una VPN. DoT è un componente importante della privacy online, ma non sostituisce questi altri strumenti.

Come posso verificare se DoT è attivo sul mio dispositivo?

Su Android, puoi andare in Impostazioni > Rete e Internet > DNS privato per verificare se è abilitato e quale resolver stai utilizzando. Su altri sistemi, puoi utilizzare strumenti online come il test DNS leak di Cloudflare (1.1.1.1/help) o DNSleaktest.com per vedere se le tue query DNS sono cifrate e quale server le sta gestendo. Alcune app VPN mostrano anche lo stato della protezione DNS direttamente nella loro interfaccia.

DNS over TLS (DoT)

DNS over TLS (DoT): Mantenere Private le Tue Ricerche di Dominio

Ogni volta che digiti l'indirizzo di un sito web nel tuo browser, il tuo dispositivo invia una query DNS — chiedendo essenzialmente a un server: "Qual è l'indirizzo IP di questo dominio?" Tradizionalmente, queste query viaggiano attraverso Internet in testo non cifrato, il che significa che il tuo provider Internet, gli amministratori di rete, o chiunque monitori la tua connessione può vedere esattamente quali siti web stai cercando di visitare. DNS over TLS, comunemente abbreviato come DoT, è stato progettato per risolvere questo problema.

Cos'è

DNS over TLS è un protocollo di rete che avvolge le tue query DNS all'interno di una connessione cifrata TLS (Transport Layer Security) — la stessa tecnologia che protegge il tuo sito di home banking o l'accesso alla tua email. Invece di inviare quelle richieste "dov'è questo sito web?" allo scoperto, DoT garantisce che vengano cifrate prima di lasciare il tuo dispositivo. È stato formalmente standardizzato nel 2016 con RFC 7858 e da allora è stato adottato dai principali resolver DNS, tra cui Cloudflare (1.1.1.1), Google (8.8.8.8) e altri.

Come Funziona

Normalmente, il traffico DNS viaggia sulla porta 53 e utilizza UDP o TCP senza alcuna cifratura. DoT cambia questo stabilendo una connessione TLS dedicata sulla porta 853. Ecco il flusso di base:

Il tuo dispositivo (o resolver DNS) avvia un handshake TLS con il server DNS, verificandone l'identità tramite certificati digitali.
Una volta stabilito il tunnel cifrato, la tua query DNS vi transita attraverso — completamente nascosta agli osservatori esterni.
Il server DNS elabora la richiesta e invia la risposta attraverso lo stesso canale cifrato.
Il tuo dispositivo utilizza l'indirizzo IP restituito per connettersi al sito web.

Poiché DoT opera su una porta dedicata (853), gli amministratori di rete e i firewall possono facilmente identificare e, se lo desiderano, bloccare il traffico DoT. Questa è una distinzione fondamentale rispetto al suo stretto cugino, DNS over HTTPS (DoH), che mescola il traffico DNS con il normale traffico web sulla porta 443 ed è più difficile da bloccare.

Perché è Importante per gli Utenti VPN

Potresti chiederti: se sto già usando una VPN, devo preoccuparmi di DoT? È una domanda legittima. Una VPN cifra tutto il tuo traffico, incluse le query DNS, quando instradato correttamente. Tuttavia, esistono alcune sfumature importanti:

DNS leak: Se il tuo client VPN non è configurato correttamente, le richieste DNS possono talvolta aggirare il tunnel VPN cifrato e andare direttamente al resolver del tuo ISP in testo non cifrato. Un DNS leak può esporre la tua attività di navigazione anche quando pensi di essere protetto. DoT fornisce un ulteriore livello di cifratura che aiuta a proteggersi da questo rischio.
Ambienti senza VPN: Non tutti usano una VPN in ogni momento. Su reti Wi-Fi aperte, al lavoro o con i dati mobili, DoT protegge le tue query DNS indipendentemente da una VPN.
Sorveglianza e throttling dell'ISP: Senza DNS cifrato, il tuo ISP può registrare ogni dominio che visiti e potenzialmente vendere quei metadati o utilizzarli per limitare servizi specifici. DoT impedisce loro di leggere quelle query.

Esempi Pratici e Casi d'Uso

Sicurezza della rete domestica: Configurare il proprio router o resolver DNS locale per utilizzare DoT (puntando a un resolver attento alla privacy come Cloudflare o Quad9) significa che ogni dispositivo sulla tua rete beneficia di ricerche DNS cifrate — senza installare nulla di aggiuntivo su ogni singolo dispositivo.

Privacy mobile: Android 9 e versioni successive includono una funzionalità "DNS privato" integrata che supporta DoT nativamente. Puoi abilitarla nelle impostazioni e instradare tutte le query DNS attraverso un resolver cifrato senza alcuna app di terze parti.

Reti aziendali: I team IT utilizzano DoT per impedire a dipendenti o aggressori sulla rete di intercettare le query DNS interne, riducendo il rischio di DNS spoofing o attacchi man-in-the-middle.

Giornalisti e attivisti: Nelle regioni con un pesante monitoraggio di Internet, cifrare le query DNS aggiunge un significativo livello di privacy, rendendo più difficile per i sistemi di sorveglianza costruire un profilo del comportamento online basato esclusivamente sul traffico DNS.

DoT non è di per sé una soluzione completa per la privacy — il tuo traffico web effettivo ha ancora bisogno di HTTPS o di una VPN per una protezione completa — ma colma una lacuna spesso trascurata nella sicurezza quotidiana di Internet.

DNS over TLS (DoT)Intermedio

DNS over TLS (DoT): Mantenere Private le Tue Ricerche di Dominio

Cos'è

Come Funziona

Perché è Importante per gli Utenti VPN

Esempi Pratici e Casi d'Uso

// FAQ