#135 – DNS over HTTPS

Pillole di Bit - A podcast by Francesco Tucci - Lunedì

Categorie:

Risolvere i nomi sulla rete senza far vedere al provider dove stiamo cercando di andare, senza usare una VPN, è possibile, basta usare il protocollo DoH, DNS over HTTPS, ma lo si deve scegliere e sapere cosa si sta facendo Pillole di Bit (https://www.pilloledib.it/) è un podcast indipendente realizzato da Francesco Tucci, se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme: - Telegram (o anche solo il canale dedicato solo ai commenti delle puntate) - TikTok (per ora è un esperimento) - Twitter - BlueSky - Il mio blog personale ilTucci.com - Il mio canale telegram personale Le Cose - Mastodon personale - Mastodon del podcast - la mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio) Rispondo sempre Se questo podcast ti piace, puoi contribuire alla sue realizzazione! Con una donazione diretta: - Singola con Satispay - Singola o ricorrente con Paypal Usando i link sponsorizzati - Con un acquisto su Amazon (accedi a questo link e metti le cose che vuoi nel carrello) - Attivando uno dei servizi di Ehiweb Se hai donato più di 5€ ricordati di compilare il form per ricevere i gadget! Il sito è gentilmente hostato da ThirdEye (scrivete a domini AT thirdeye.it), un ottimo servizio che vi consiglio caldamente e il podcast è montato con gioia con PODucer, un software per Mac di Alex Raccuglia Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 135 e io sono, come sempre, Francesco. Questo podcast non è ancora stato fermato dal coronavirus. Nella puntata 63 del podcast vi ho parlato del DNS e di come serva per la traduzione da un nome facile per gli umani, come ad esempio www.google.it, a un indirizzo facile dalle macchine, come ad esempio 231.45.67.1, il protocollo DNS, ideato nel 1983, è molto semplice: chiedo a un server “senti, che indirizzo ha questo nome?”, il server mi risponde con l’indirizzo e io vado a collegarmi a quell’indirizzo. Tutta questa comunicazione è in chiaro sulla rete, quindi chi vede il traffico vede esattamente su quali siti si sta collegando chiunque, primo tra tutti, il provider che fornisce il servizio di connettività. Spesso il fornitore del servizio di connettività, è anche quello che fornisce il servizio DNS, come abbiamo visto nella puntata 110, potrebbe anche fare da trasparent proxy e redirigere tutte le chiamate DNS che voi fate a un DNS che avete scelto ai suoi DNS. Avere il log e il controllo del DNS fornisce un grande potere. Ad esempio, in uno stato di diritto, fornisce il potere dato dalle Forze dell’Ordine di oscurare siti illegali. Se la Guardia di Finanza decide che il sito tuttostreaming.it, lo sto inventando, non è un sito reale, è illegale, può ordinare ai DNS italiani di non risolvere quel nome e nessuno ci arriverà più. Chi è un po’ più smanettone allora imposta come DNS quelli di Google o quelli di CloudFlare e bypassa questo limite. Con il trasparent proxy la cosa non è possibile perché il router intercetta le chiamate DNS fatte ai server di Google e le redirige su DNS italiani e il dominio continua a essere irraggiungibile. E se lo stato diventa autoritario? Il problema si complica. Se la dittatura decide che su Google ci sono troppe informazioni contrarie al regime, lo blocca sul DNS e nessuno usa più Google, o Facebook o altri servizi di qualunque tipo. Insomma, un bel casino avere il controllo del DNS. Ma da qualche tempo è uscito un nuovo protocollo, che si chiama DNS over HTTPS, o, abbreviato DoH. Questo protocollo è molto recente, è nato nel 2018 e ha lo scopo di migliorare la privacy di chi naviga. Il protocollo https permette la navigazione crittografata, in parole semplici io accedo al sito in https, il sito e il mio browser si mettono d’accordo sulle chiavi di crittografia e i traffico che passa tra i due non è visibile a chi si mette in mezzo e cerca di guardarlo. Se io riesco a incapsulare le richieste DNS all’interno di un pacchetto HTTPS, ottengo un buon risultato: la richiest