DNS privacy · 7 min read · Sep 05, 2025

DNS Oblivious over HTTPS (ODoH): un tentativo di migliorare la privacy del DNS

Il Sistema dei Nomi di Dominio o DNS è un sistema di denominazione decentralizzato per tutti i diversi siti web che esistono su Internet. È uno dei mattoni essenziali di Internet ed è presente da più di tre decenni. Nel corso di questo periodo, il sistema è stato oggetto di critiche, con argomenti validi, riguardo all’implementazione e alle preoccupazioni sulla privacy che porta con sé. E di conseguenza, ci sono stati alcuni tentativi di affrontare queste preoccupazioni.

dns oblivious over https (odoh)

Uno di questi tentativi — e uno molto recente — è l’introduzione del protocollo DNS over HTTPS (DoH), che promette di proteggere la comunicazione DNS trasmettendola in modo crittografato. Sebbene DoH sembri promettente in teoria e riesca a risolvere uno dei problemi con il DNS, porta involontariamente alla luce un’altra preoccupazione. Per risolvere questo, abbiamo ora un altro nuovo protocollo, chiamato DNS Oblivious over HTTPS (ODoH), co-sviluppato da Cloudflare, Apple e Fastly. L’Oblivious DoH è fondamentalmente un’estensione del protocollo DoH che disaccoppia le query DNS dagli indirizzi IP (dell’utente) per impedire al risolutore DNS di conoscere i siti che un utente visita — un po’ [di più su questo più tardi].

Ciò che ODoH è destinato a fare è separare le informazioni su chi sta effettuando la query e cosa è la query”, ha dichiarato Nick Sullivan, responsabile della ricerca di Cloudflare, in un blog.

DNS Oblivious over HTTPS (o ODoH)

Prima di saltare direttamente a cosa sia ODoH, comprendiamo prima cos’è il DNS e, successivamente, il DNS over HTTPS e le limitazioni che entrambi presentano.

DNS (Sistema dei Nomi di Dominio)

Il Sistema dei Nomi di Dominio o DNS è un sistema decentralizzato di registrazione di tutti i siti web su Internet. Puoi pensarlo come un repository (o una rubrica telefonica) per numeri di telefono che contiene un elenco di abbonati telefonici e i loro numeri di telefono corrispondenti.

funzionamento dns

In termini di Internet, il DNS è un attore critico nell’instaurare un sistema che ti consente di accedere a un sito web semplicemente inserendo il suo nome di dominio, senza richiedere di ricordare il suo indirizzo IP (Internet Protocol) associato. Di conseguenza, puoi inserire techpp.com nel campo dell’indirizzo per visualizzare questo sito senza dover ricordare il suo indirizzo IP, che potrebbe apparire come 103.24.1.167 [non il nostro IP]. Vedi, è l’indirizzo IP che è necessario per stabilire una connessione tra il tuo dispositivo e il sito web che stai cercando di accedere. Ma poiché un indirizzo IP non è facile da ricordare come un nome di dominio, c’è bisogno di un risolutore DNS per risolvere i nomi di dominio nei loro indirizzi IP associati e restituire la pagina web richiesta.

Problema con il DNS

Sebbene il DNS semplifichi l’accesso a Internet, ha alcune carenze — la più grande delle quali è la mancanza di privacy (e sicurezza), che rappresenta un rischio per i dati degli utenti e li espone alla visione da parte dell’ISP o all’intercettazione da parte di qualche malintenzionato su Internet. Il motivo per cui ciò è possibile è dovuto al fatto che la comunicazione DNS (richiesta/query e risposta DNS) è non crittografata, il che significa che avviene in testo semplice e può quindi essere intercettata da chiunque si trovi nel mezzo (tra l’utente e l’ISP).

DoH (DNS over HTTPS)

Come accennato inizialmente, il protocollo DNS over HTTPS (DoH) è stato introdotto per affrontare questa preoccupazione (di sicurezza) del DNS. Fondamentalmente, ciò che fa il protocollo è, invece di consentire alla comunicazione DNS — tra il client DoH e il risolutore basato su DoH — di avvenire in testo semplice, utilizza la crittografia per proteggere la comunicazione. Facendo ciò, riesce a garantire l’accesso degli utenti a Internet e ridurre i rischi di attacchi man-in-the-middle — fino a un certo punto.

funzionamento dns over https (doh)

Problema con DoH

Sebbene DoH affronti il problema della comunicazione non crittografata sul DNS, solleva una preoccupazione sulla privacy — riguardo al mettere il fornitore del servizio DNS in pieno controllo dei tuoi dati di rete. Infatti, poiché il fornitore DNS funge da intermediario tra te e il sito web che accedi, detiene un record del tuo indirizzo IP e dei messaggi DNS. In un certo senso, ciò solleva due preoccupazioni. Una, lascia un’unica entità con accesso ai tuoi dati di rete — consentendo al risolutore di collegare tutte le tue query con il tuo indirizzo IP, e secondo, a causa della prima preoccupazione, lascia la comunicazione vulnerabile a un singolo punto di fallimento (attacco).

Protocollo ODoH e il suo funzionamento

L’ultimo protocollo, ODoH, co-sviluppato da Cloudflare, Apple e Fastly, mira a risolvere il problema della centralizzazione con il protocollo DoH. Per questo, Cloudflare suggerisce che il nuovo sistema separi gli indirizzi IP dalle query DNS in modo che nessuna singola entità, tranne l’utente, possa visualizzare entrambe le informazioni contemporaneamente.

ODoH affronta questo problema implementando due cambiamenti. Aggiunge uno strato di crittografia a chiave pubblica e un proxy di rete tra il client (utente) e il server DoH. Facendo ciò, afferma di garantire che sia solo l’utente ad avere accesso sia ai messaggi DNS che agli indirizzi IP in un dato momento.

funzionamento odoh

In sintesi, ODoH agisce come un’estensione del protocollo DoH che mira a raggiungere i seguenti obiettivi:

i. impedire al risolutore DoH di sapere quale client ha richiesto quali nomi di dominio canalizzando le richieste tramite proxy per rimuovere gli indirizzi dei client,

ii. impedire al proxy di conoscere i contenuti delle query e delle risposte, e mantenere il risolutore all’oscuro degli indirizzi dei client crittografando la connessione in strati.

Flusso dei messaggi con ODoH

Per comprendere il flusso dei messaggi con ODoH, considera la figura sopra, in cui un server proxy si trova tra il client e l’obiettivo. Come puoi vedere, quando il client richiede una query (ad esempio example.com), la stessa va al server proxy, che poi la inoltra all’obiettivo. L’obiettivo riceve questa query, la decripta e genera una risposta inviando la richiesta al risolutore (ricorsivo). Sulla via del ritorno, l’obiettivo crittografa la risposta e la inoltra al server proxy, che poi la invia nuovamente al client. Infine, il client decripta la risposta e ottiene una risposta contro la sua query richiesta.

In questo contesto, la comunicazione — tra il client e il proxy e tra il proxy e l’obiettivo — avviene su HTTPS, il che aggiunge alla sicurezza della comunicazione. Non solo, l’intera comunicazione DNS che avviene su entrambe le connessioni HTTPS — client-proxy e proxy-target — è crittografata end-to-end in modo che il proxy non abbia accesso ai contenuti del messaggio. Tuttavia, detto ciò, mentre sia la privacy che la sicurezza dell’utente sono curate in questo approccio, la garanzia che tutto funzioni come suggerito dipende da una condizione ultima — il proxy e il server target non colludono. E quindi, l’azienda suggerisce che “finché non c’è collusione, un attaccante ha successo solo se sia il proxy che il target sono compromessi.”

Secondo un blog di Cloudflare, ecco cosa garantiscono la crittografia e il proxy:

i. L’obiettivo vede solo la query e l’indirizzo IP del proxy.

ii. Il proxy non ha visibilità sui messaggi DNS, senza la possibilità di identificare, leggere o modificare né la query inviata dal client né la risposta restituita dall’obiettivo.

iii. Solo l’obiettivo previsto può leggere il contenuto della query e produrre una risposta.

Disponibilità di ODoH

Il DNS Oblivious over HTTPS (ODoH) è attualmente solo un protocollo proposto e deve essere approvato dall’IETF (Internet Engineering Task Force) prima di essere adottato su Internet. Anche se Cloudflare suggerisce che, finora, ha ottenuto aziende come PCCW, SURF ed Equinix come partner proxy per aiutare con il lancio del protocollo e che ha aggiunto la possibilità di ricevere richieste ODoH sul suo servizio DNS 1.1.1.1, la verità è che, a meno che i browser web non aggiungano nativamente supporto per il protocollo, non puoi usarlo. Infatti, il protocollo è ancora in fase di sviluppo e viene testato per le prestazioni su diversi proxy, livelli di latenza e obiettivi. Per questo motivo, potrebbe non essere saggio decidere il destino di ODoH subito.

Basato sulle informazioni e sui dati disponibili, il protocollo sembra promettente per il futuro del DNS — a condizione che riesca a raggiungere il tipo di privacy che promette senza compromettere le prestazioni. Poiché è molto evidente ormai che il DNS, responsabile di svolgere un ruolo critico nel funzionamento di Internet, soffre ancora di problemi di privacy e sicurezza. E nonostante l’aggiunta recente del protocollo DoH che promette di aggiungere all’aspetto della sicurezza del DNS, l’adozione sembra ancora lontana a causa delle preoccupazioni sulla privacy che solleva.

Ma, se ODoH riesce a mantenere le sue promesse in termini di privacy e prestazioni, la sua combinazione con DoH, mentre lavora in tandem, può affrontare sia le preoccupazioni sulla privacy che quelle sulla sicurezza del DNS. E a sua volta, renderlo molto più privato e sicuro di quanto non sia oggi.

Share: X/Twitter LinkedIn
#DNS privacy

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.