Torna al blog
Sotto il cofano·12 min di lettura

DNS-over-HTTPS nel 2026 — quando aiuta e quando fa male

DoH cifra la risoluzione che traduce "casperscloak.com" in "203.0.113.42." Quella singola modifica chiude tre superfici di attacco reali e rompe due casi d'uso legittimi — e sposta la fiducia invece di eliminarla. La mappa onesta di ciò che DoH fa davvero, ciò che non fa e i compromessi che i vendor non mettono nel materiale di marketing.

Di Casper's Cloak Security Team

Il riassunto breve: il DNS classico invia le tue query — ogni "qual è l'IP di example.com?" — in testo in chiaro UDP leggibile o modificabile da chiunque si trovi sul percorso di rete. DoH avvolge quelle query in HTTPS, così l'osservatore sulla rete non vede più i nomi di dominio e non può iniettare risposte false. Questo risolve tre problemi reali (snooping DNS dell'ISP, iniezione DNS nei bar, alcune forme di censura DNS a livello statale) e ne crea due nuovi (i controlli parentali e la sicurezza aziendale smettono di funzionare, e hai appena comunicato al tuo provider DoH scelto ogni dominio che visiti). DoH non è né "più privato" né "meno privato" — è diversamente privato, e la domanda è quale compromesso si adatta al tuo modello di minaccia.

Cosa è davvero DoH (e cosa sostituisce)

Il DNS classico è uno dei protocolli più antichi ancora in produzione. Risale al 1983, precede HTTPS diffuso e fu progettato quando "tutti sulla rete sono approssimativamente attendibili" era un'ipotesi ragionevole. Il funzionamento: il tuo dispositivo invia un pacchetto UDP alla porta 53 del tuo resolver DNS configurato (di solito quello dell'ISP, o 8.8.8.8 / 1.1.1.1 se l'hai cambiato). Il corpo del pacchetto, in chiaro, dice "dammi il record A di example.com." Il resolver risponde, in chiaro, con l'IP. Tre proprietà meritano attenzione:

  • Chiunque sul percorso di rete può leggere la query. Il tuo ISP, il WiFi del bar, chiunque esegua tcpdump sulla rete locale — ogni nome di dominio che cerchi è in chiaro.
  • Chiunque sul percorso di rete può falsificare una risposta. Se una risposta falsa raggiunge il tuo dispositivo prima di quella del resolver legittimo, sei stato reindirizzato. Così funzionano alcuni captive portal e alcuni regimi di censura.
  • Il tuo resolver configurato vede ogni query. Chi gestisce il tuo DNS conosce ogni dominio che visiti, in ordine, con i timestamp.

DoH (RFC 8484, 2018) cambia i punti #1 e #2: le query viaggiano all'interno di una connessione HTTPS cifrata con TLS verso il resolver. Gli osservatori sul percorso vedono byte HTTPS, non nomi di dominio. La falsificazione diventa difficile quanto falsificare qualsiasi risposta HTTPS (cioè, praticamente impossibile senza il certificato TLS del resolver). Il punto #3 non cambia — il resolver vede comunque le query, perché sono indirizzate a lui. DoH sposta il confine di fiducia; non lo elimina.

DoT (DNS-over-TLS, RFC 7858) fa la stessa cosa su una porta dedicata (853) invece di usare HTTPS sulla porta 443. Proprietà di privacy funzionalmente equivalenti; operativamente diverse. DoH è più difficile da bloccare a livello di rete perché bloccarlo richiederebbe bloccare HTTPS generico, il che rompe l'intera internet. DoT è più facile da applicare o bloccare selettivamente per gli operatori di rete. DoH ha vinto la gara di adozione soprattutto perché Mozilla e Google lo hanno distribuito nei browser per impostazione predefinita.

Tre cose che DoH risolve davvero

1. Snooping DNS dell'ISP

Negli Stati Uniti, dal 2017, gli ISP sono legalmente autorizzati a vendere dati di navigazione senza opt-in esplicito, e i log delle query DNS fanno parte di ciò che raccolgono. In altri paesi i regimi legali variano; in alcuni, la conservazione obbligatoria dei dati copre il DNS per nome. In ogni caso: se usi il resolver del tuo ISP, quest'ultimo ha un registro completo dei siti che visiti, con timestamp.

DoH verso un resolver non-ISP (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, NextDNS, AdGuard DNS, il DNS di Mullvad, il resolver all'interno del tuo VPN) chiude completamente questo canale dal punto di vista del tuo ISP. L'ISP vede ancora connessioni TLS verso indirizzi IP specifici, e da quegli IP (più SNI nell'handshake TLS, vedi sotto) può spesso dedurre il nome host — ma non ha più un log DNS pulito e interrogabile. La fiducia si sposta dall'ISP a chi gestisce il tuo resolver DoH.

2. Iniezione DNS nei bar

I captive portal sulle reti WiFi pubbliche funzionano intercettando le query DNS (e le richieste HTTP) e reindirizzandole a una pagina del portale fino a quando non accetti i termini della rete. Quel meccanismo — intercettare il tuo DNS — ha la stessa struttura dell'iniezione DNS malevola. Una rete ostile può riscrivere le tue risposte DNS per reindirizzarti verso pagine di phishing o proxy di iniezione pubblicitaria. Il DNS normale offre una superficie di attacco facile; DoH la chiude.

Questo è uno dei casi in cui DoH e un tunnel VPN si sovrappongono. Un VPN tunnel cifra tutto, incluso il DNS, attraverso byte cifrati; DoH da solo tunnel solo le query DNS. Su una rete ostile, entrambi gli interventi sconfiggono la classe di attacchi di iniezione DNS, ma gestiscono livelli diversi. Abbiamo trattato il panorama delle minacce in Attacchi WiFi pubblici nel 2026.

3. Alcune forme di censura DNS a livello statale

Diversi regimi di censura implementano il blocco a livello DNS: quando chiedi "qual è l'IP di blocked-site.com?", il resolver imposto dallo stato restituisce NXDOMAIN o reindirizza a una pagina "questo sito è bloccato". DoH verso un resolver al di fuori della giurisdizione censurante sconfigge questo meccanismo specifico, perché la rete censurante vede solo HTTPS verso il resolver DoH, non le query al suo interno.

La precisazione: funziona solo finché il censore non scala. I regimi di censura sofisticati (Cina, Iran) bloccano i resolver DoH direttamente per IP, forzano l'ispezione HTTPS tramite CA radice emesse dallo stato, o usano il blocco basato su SNI (vedi sezione successiva). DoH sconfigge la censura DNS ingenua; non sconfigge la censura di stati nazione determinati.

Tre cose che DoH non risolve

1. Perdita SNI nell'handshake TLS

Questo è l'inconveniente che la maggior parte degli articoli salta. Quando ti connetti a "example.com" tramite HTTPS, il tuo browser invia il nome host in chiaro durante l'handshake TLS — specificamente nell'estensione SNI (Server Name Indication). Il motivo: un singolo IP spesso serve molti domini tramite terminazione TLS, e il server deve sapere quale certificato presentare prima che inizi la sessione cifrata. SNI è, per design, in testo in chiaro.

Effetto netto: anche con DoH, un osservatore sulla rete vede a quali host ti connetti tramite SNI. La correzione dello snooping DNS è parziale. La mitigazione è ECH (Encrypted Client Hello) — un'estensione TLS relativamente nuova che cifra SNI. Cloudflare ha abilitato ECH per i siti sulla propria rete nel 2023, e Firefox + Chrome hanno aggiunto il supporto, ma l'adozione al di fuori di Cloudflare è ancora discontinua. Finché ECH non sarà universale, DoH chiude solo metà della questione "chi può vedere quali siti visiti".

2. Identificazione delle destinazioni basata sull'IP

Anche con DoH e ECH, le tue connessioni TLS vanno comunque verso IP di destinazione specifici. Per i siti con infrastruttura dedicata (banche, servizi di nicchia), l'IP di destinazione è un identificatore quasi perfetto del sito anche senza DNS o SNI. Per i siti dietro grandi CDN (Cloudflare, Fastly, AWS CloudFront), l'identificazione basata sull'IP è più confusa — milioni di siti condividono pochi IP — ma i siti più grandi hanno comunque infrastrutture uniche o pattern di traffico caratteristici.

DoH non risolve questo; non può. Un osservatore di rete che vuole davvero sapere quali siti stai visitando può costruire una tabella di mapping IP-dominio e cercare le destinazioni del tuo traffico. La mitigazione è un tunnel VPN, che sposta la visibilità dell'IP di destinazione dalla rete locale al provider VPN. La fiducia deve comunque andare da qualche parte; DoH da solo la lascia al proprietario della rete.

3. Il tuo provider DoH vede tutto ciò che prima perdevi al tuo ISP

Questo è il compromesso che il marketing DoH di solito omette: DoH non rende private le tue query DNS; sposta la visibilità dal tuo ISP al tuo resolver DoH scelto. Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, NextDNS, AdGuard e qualsiasi altro provider DoH vedono ogni query che fai esattamente come faceva il tuo ISP. Alcuni pubblicano politiche rigorose di no-log; alcuni pubblicano solo log aggregati; alcuni vendono dati aggregati a "partner di ricerca". Il regime legale intorno al tuo provider DoH conta quanto quello intorno al tuo ISP.

Il 1.1.1.1 di Cloudflare pubblica rapporti di audit che indicano che i log vengono eliminati dopo 24 ore e che i dati DNS non vengono venduti. L'8.8.8.8 di Google registra le query (con anonimizzazione) per periodi indefiniti secondo la loro politica di conservazione dichiarata. NextDNS ti permette di configurare la conservazione dei log da "nessuna" a "il tuo account, la tua scelta". La scelta del provider DoH conta; la domanda è quale relazione di fiducia preferisci — il tuo ISP sotto le leggi del tuo paese, o il tuo provider DoH sotto le leggi del suo paese.

Due cose che DoH rompe legittimamente

1. Controlli parentali e filtraggio della rete familiare

La maggior parte dei sistemi di controllo parentale consumer funziona ispezionando il DNS al router o tramite un resolver DNS con filtro familiare configurato (OpenDNS Family Shield, Cleanbrowsing Family, profilo famiglia NextDNS). Quando il dispositivo del tuo bambino usa questi resolver, le ricerche di contenuti per adulti, gioco d'azzardo, ecc. restituiscono NXDOMAIN. Il sistema dipende dal fatto che il dispositivo chieda prima al resolver DNS del controllo parentale.

DoH a livello di browser (Firefox ha abilitato DoH per impostazione predefinita nel 2019 per gli utenti statunitensi; Chrome e Edge usano il resolver del sistema operativo ma con DoH se configurato) aggira silenziosamente questi sistemi. Il browser chiede direttamente a Cloudflare o Google, il resolver del filtro familiare non vede mai la query, e il bambino accede al sito che voleva visitare. Questo è intenzionale dal punto di vista di Mozilla ("non dovremmo lasciare che le reti censurino"); accidentale dal punto di vista di un genitore ("il filtro per cui abbiamo pagato ha smesso di funzionare").

Esistono mitigazioni ma sono macchinose: configura DoH a livello di sistema operativo (non di browser) verso un resolver con supporto familiare come il profilo-famiglia NextDNS o OpenDNS Family Shield, poi disabilita DoH a livello di browser così ricade alla scelta del sistema operativo. Sia i Profili di Configurazione di Apple sia le Criteri di Gruppo di Windows lo supportano. Per la maggior parte delle famiglie è abbastanza complicato da essere un vero ostacolo.

2. Sicurezza aziendale e blocco malware a livello di rete

La maggior parte delle reti aziendali implementa la sicurezza basata su DNS: un server DNS sinkhole risolve i domini noti come malevoli verso nulla (o verso una pagina di avviso interna), bloccando il comando e controllo malware, i reindirizzamenti di phishing e l'esfiltrazione di dati verso endpoint noti. Questo funziona perché ogni dispositivo sulla rete aziendale usa il DNS aziendale, quindi ogni ricerca viene filtrata.

DoH a livello di browser aggira silenziosamente questo. Un browser compromesso che dovrebbe essere bloccato dal raggiungere il suo server C2 può semplicemente risolvere il nome host C2 tramite DoH su Cloudflare, ottenere l'IP reale e connettersi direttamente. I team IT aziendali hanno risposto: (a) configurando le policy del browser per disabilitare DoH, (b) distribuendo l'ispezione TLS completa così lo stack di sicurezza può vedere dentro HTTPS incluso il traffico DoH, o (c) bloccando gli IP dei resolver DoH noti al firewall. Nessuna di queste è piacevole — l'opzione (a) lascia gli utenti con DNS semplice anche a casa, l'opzione (b) richiede l'installazione di una CA radice su ogni dispositivo, l'opzione (c) si rompe non appena appaiono nuovi endpoint DoH.

DoH su ogni piattaforma — qual è la configurazione effettiva?

iOS 14+ / iPadOS 14+: Impostazioni → Generali → VPN e gestione dispositivi → DNS — ma solo tramite un profilo di configurazione installato. iOS non espone DoH nell'interfaccia standard delle Impostazioni; si installa un file .mobileconfig (Cloudflare, Quad9, NextDNS, AdGuard, Mullvad li pubblicano tutti). Una volta installato, ogni app sul dispositivo usa DoH verso quel resolver. Questo è intenzionale — iOS tratta DoH come un'impostazione a livello di sistema operativo, non per singola app.

Android 9+: Impostazioni → Rete e internet → Avanzate → DNS privato — ma questo è in realtà DoT, non DoH. Android ha implementato il "DNS privato" usando DoT (porta 853) anziché DoH (HTTPS). Proprietà di privacy funzionalmente equivalenti; il protocollo è diverso. Inserisci il nome host di un resolver DoT (one.one.one.one per Cloudflare, dns.google per Google, dns.adguard.com per AdGuard) e Android cifra ogni query DNS a livello di sistema.

macOS 11+: stesso meccanismo di profilo di configurazione di iOS. Apple include il supporto DoH proprio ma non lo espone tramite le Impostazioni di Sistema; si installa un profilo.

Windows 11: Impostazioni → Rete e Internet → proprietà adattatore → assegnazione server DNS → "Solo crittografato (DNS over HTTPS)" — Windows conosce Cloudflare, Google e Quad9 per impostazione predefinita e configurerà automaticamente DoH se imposti quegli IP. Windows 10 supporta DoH ma è più difficile da trovare.

DoH a livello di browser: Firefox abilita DoH per impostazione predefinita per gli utenti statunitensi (Impostazioni → Privacy e sicurezza → DNS over HTTPS). Chrome lo chiama "DNS sicuro" (Impostazioni → Privacy e sicurezza → Sicurezza). Safari usa la configurazione a livello macOS anziché quella specifica del browser. Edge usa quella di Windows. DoH nel browser è rapido da abilitare ma crea il problema di bypass del controllo parentale / aziendale descritto sopra; DoH a livello di sistema operativo mette la decisione in un unico posto dove può essere gestita.

Scegliere un resolver DoH — il confronto onesto

Scegliere il tuo resolver DoH è la vera decisione sulla privacy che DoH ti permette di prendere. Le principali opzioni:

  • Cloudflare 1.1.1.1: veloce (anycast, meno di 15ms nella maggior parte delle metropoli), conservazione dei log di 24 ore, audit annuale. Ha una variante "family" (1.1.1.3) che blocca i contenuti per adulti. Cloudflare offre anche WARP, un VPN-lite che combina DoH con un tunnel verso la rete Cloudflare.
  • Google 8.8.8.8: veloce, onnipresente, conservazione dei log indefinita secondo la politica dichiarata di Google. Privacy ragionevole secondo gli standard Google, ma se "dare a Google un altro flusso di dati" è un problema, guarda altrove.
  • Quad9 9.9.9.9: fondazione svizzera non-profit, blocca i domini noti come malevoli come comportamento predefinito, politica di no-log dichiarata, più conservativo sui dati rispetto alla maggior parte.
  • NextDNS: configurabile per profilo (blocklist, filtro familiare, conservazione dei log) — la scelta per gli utenti avanzati. Vedi il nostro confronto per approfondimenti.
  • AdGuard DNS: blocca annunci/tracker a livello DNS in modo aggressivo, supporta sia DoH che DoT.
  • Mullvad DNS: disponibile standalone (nessun abbonamento VPN richiesto), svedese, blocco dei contenuti configurabile, accessibile tramite DoH e DoT.
  • Il resolver del tuo provider VPN: Casper's Cloak, ProtonVPN (NetShield), Mullvad — DNS gestito all'interno del tunnel VPN, nessuna configurazione separata richiesta. Comodo; significa fidarsi del provider VPN per entrambi i livelli, il che è inevitabile se usi comunque un VPN.

La visione onesta: non esiste un resolver DoH "migliore"; esiste il migliore per il tuo modello di minaccia. La velocità conta per alcuni, le blocklist per altri, la politica no-log per altri, la giurisdizione per altri ancora. Scegline uno, configuralo a livello di sistema operativo (non solo a livello di browser) così la scelta copre ogni app, e rivaluta quando le tue priorità o i rapporti di trasparenza di qualsiasi resolver cambiano.

Dove si inserisce DoH con VPN e ad-blocking — il quadro unificato

Tre livelli di privacy indipendenti, ciascuno che chiude una diversa superficie di attacco:

  • Tunnel VPN: cifra la visibilità dell'IP di destinazione dalla rete locale, la sposta al provider VPN. Chiude "il bar / l'ISP può vedere a quali IP ti connetti."
  • DoH / DoT: cifra le query DNS dalla rete locale e dall'ISP, sposta la visibilità DNS al resolver DoH. Chiude "log DNS archiviato presso l'ISP" e "iniezione DNS a livello di rete."
  • Filtraggio dei contenuti a livello DNS (Pi-hole, NextDNS, AdGuard DNS): blocca le ricerche di annunci, tracker, malware, phishing — al resolver. Chiude "ogni app sul tuo dispositivo carica SDK tracker i cui endpoint potrebbero essere bloccati a livello DNS."

DoH da solo è un livello. Una vera postura di privacy impila tutti e tre. Casper's Cloak è costruito per fornire questo stack come una singola app: tunnel VPN + filtraggio DNS Pi-hole (eseguiamo un'istanza Pi-hole per utente come resolver) + rilevamento ML di phishing zero-day in cima alle blocklist statiche. DoH è implicito nel modo in cui è cablato — le query DNS tra il dispositivo e il nostro resolver sono cifrate. La visione onesta è che questa è un'architettura valida; un'altra è "configura DoH a livello di sistema operativo su NextDNS, aggiungi il VPN-di-tua-scelta, ottieni lo stesso risultato finale con più controlli". Entrambe funzionano; il compromesso è comodità vs configurabilità. Abbiamo trattato lo stesso punto dall'angolo del filtraggio DNS in Come funziona davvero il filtraggio a livello DNS.

Conclusione

DoH è un miglioramento della privacy reale e utile, con avvertenze che non compaiono nel materiale di marketing. Chiude lo snooping DNS dell'ISP, l'iniezione DNS nei bar e la censura ingenua — tre problemi reali per utenti reali. Non chiude la perdita SNI, l'identificazione delle destinazioni basata sull'IP o la fiducia nel resolver scelto. E rompe i controlli parentali e la sicurezza aziendale in casi d'uso legittimi a meno che non si configuri con attenzione.

La singola decisione DoH più importante è quale resolver scegli, configurato a livello di sistema operativo così ogni app lo riceve in modo coerente. La seconda decisione più importante è se sovrapporre DoH con un tunnel VPN (chiude la visibilità dell'IP di destinazione) e il filtraggio dei contenuti a livello DNS (blocca annunci/tracker/ricerche di domini malevoli). DoH da solo risolve un livello; lo stack unificato risolve la superficie complessiva.


Correlati: Come funziona davvero il filtraggio a livello DNS copre il livello di filtraggio che DoH da solo non include; Attacchi WiFi pubblici nel 2026 copre il modello di minaccia di ostilità della rete con cui DoH aiuta; VPN gratuito vs VPN a pagamento nel 2026 copre il livello del tunnel VPN. Il confronto NextDNS e il confronto Pi-hole approfondiscono le scelte di resolver DNS configurabile.

Verificato da Casper's Cloak Security Team · Ultimo aggiornamento

Prova Casper's Cloak

Tunnel VPN + filtraggio DNS Pi-hole (con DoH cifrato per impostazione predefinita) + rilevamento ML delle minacce in un'unica app. Lo stack unificato senza la configurazione per livello — scopri i prezzi o la nostra funzione di protezione dalle minacce.