Durante il quotidiano accesso ad Internet, il browser web e gli altri programmi contattano numerosi domini, come turbolab.it (per leggere questa guida), google.com quando facciamo ricerche, eccetera. Prima di stabilire la connessione, però, il PC deve risolvere (ovvero "tradurre") il dominio richiesto nel suo equivalente indirizzo IP. Allo scopo, il PC interroga un server DNS, che risponde fornendo l'indirizzo IP. Ebbene: in condizioni "normali", richiesta e risposta DNS avvengono "in chiaro", e sono dunque immediatamente visibili sia dal fornitore di connettività Internet (ISP), sia dal gestore della rete aziendale, universitaria o Wi-Fi. Se dunque preferiamo evitare che i siti che visitiamo siano visibili dal gestore della rete, è necessario adottare qualche accortezza in più. Fortunatamente, Windows 11 integra già tutto quello che ci serve, facilmente attivabile tramite una singola opzione. Vediamo allora come attivare DNS over HTTPS (DoH) sul PC Windows 11 e crittografare le richieste DNS
Trattazione aggiornata per rispecchiare la disponibilità di Windows 11 in versione finale
Questo articolo è incentrato sulla procedura pratica per attivare DNS over HTTPS (DoH) con Windows 11. Si tratta di una peculiarità di questa specifica versione di Windows, e non è disponibile su Windows 10 o versioni precedenti. Se ancora usi una vecchia versione di Windows, puoi comunque attivare DoH seguendo le indicazioni riportate al capitolo Alternative.
Attivare DoH su Windows 11
Windows 11 integra il supporto nativo a DNS over HTTPS (DoH). Una volta attivato, tutte le richieste DNS vengono crittografate e diviene così impossibile sia per l'amministratore di rete, sia per il provider (ISP) scoprire quali domini sono stati richiesti al server DNS.
Per attivare DNS over HTTPS con Windows 11 cliccare:
- Start
ImpostazioniRete e Internet- dalla pagina apertasi, cliccare sul pulsante relativo alla connessione in uso:
Ethernetper la rete cablata,Wi-Fiper quella senza fili
Scorrere la pagina sino ad individuare l'opzione Assegnazione server DNS. Cliccare il relativo pulsante Modifica
Dalla finestra di dialogo apertasi, selezionare Manuale
Attiviamo IPv4
Dobbiamo ora inserire l'indirizzo IP di un server DNS che supporti DNS over HTTPS (DoH) nel campo DNS Preferito. Alcuni di essi sono:
8.8.8.8(Google Public DNS)1.1.1.1(Cloudflare)208.67.222.222(OpenDNS)
Non appena inserito l'indirizzo IP, possiamo scegliere l'opzione Solo crittografati (DNS su HTTPS) dal menu sottostante
Ripetiamo ora la stessa operazione per il campo DNS alternativo. Per questo secondo campo, scegliamo uno dei seguenti indirizzi IP:
8.8.4.4(Google Public DNS)1.0.0.1(Cloudflare)208.67.220.220(OpenDNS)
Non dimentichiamo di selezionare poi Solo crittografati (DNS su HTTPS) dal menu sottostante
Attiviamo ora l'opzione IPv6 e ripetiamo la stessa configurazione, questa volta utilizzando gli appropriati indirizzi IPv6. Per quanto riguarda il campo DNS Preferito, scegliamo uno di questi:
2001:4860:4860::8888(Google Public DNS)2606:4700:4700::1111(Cloudflare)2620:119:35::35(OpenDNS)
Per quanto il campo DNS Alternativo, scegliamo uno di questi:
2001:4860:4860::8844(Google Public DNS)2606:4700:4700::1001(Cloudflare)2620:119:53::53(OpenDNS)
Di nuovo: è di importanza critica scegliere sempre Solo crittografati (DNS su HTTPS) dal menu sottostante
Clicchiamo ora Salva e l'operazione è terminata.
D'ora in avanti, le richieste DNS generate da una qualsiasi applicazione in esecuzione sul PC saranno crittografate crittografata prima di essere inviata al server DNS. La risposta dal server sarà crittografata allo stesso modo.
Alternative
In caso non fosse possibile modificare l'impostazione appena descritta a livello di sistema operativo, possiamo attivare la specifica funzionalità solo sul browser web. Abbiamo dettagliato la procedura in quest'altro articolo:
» Leggi: Come attivare il DNS over HTTPS (DoH) in Firefox, Chrome, Opera e Edge
Come ulteriore alternativa, ricordiamo DNSCrypt: un programma che permette di utilizzare DoH anche con i sistemi operativi che non ne sono dotati in maniera nativa
» Leggi: Guida a DNSCrypt 2: richieste DNS criptate anti-censura
Risoluzione dei nomi a dominio crittografata
Per verificare l'effettiva funzionalità di DNS over HTTPS, ho verificato come viene visualizzato il traffico di rete "prima" e "dopo".
Nell'immagine seguente ho disattivato DNS over HTTPS, quindi catturato il traffico di rete del mio PC. Come si vede, è immediatamente visibile la richiesta di risoluzione del nome a dominio turbolab.it prima e www.facebook.com subito dopo. Questa informazione è immediatamente visibile al gestore della rete, o a chiunque riuscisse ad intercettare il traffico di rete
Attivando DNS over HTTPS, la situazione cambia drasticamente. Il traffico DNS sarà infatti crittografato e non mostrerà più i domini richiesti
Conclusioni
In questa guida abbiamo visto come attivare DNS over HTTPS in WIndows 11 e crittografare le richieste al server DNS per la risoluzione dei nomi a dominio.
Questa opzione rende drasticamente più sicura e robusta la risoluzione dei nomi a dominio, e raccomando a tutti di attivarla alla prima occasione utile. Ciò detto, è bene capire che DNS over HTTPS non nasconde completamente la lista dei siti visitati. Ho spiegato perché in quest'altro approfondimento
