Lo standard Oblivious DNS promette una maggiore privacy

Oblivious DNS è un nuovo standard DNS proposto che è stato co-autore degli ingegneri di Apple, Fastly e Cloudflare per migliorare la privacy durante le operazioni DNS.

Il DNS è una pietra angolare fondamentale di Internet in quanto traduce i nomi di dominio, ad esempio ghacks.net, in indirizzi IP utilizzati dai computer. Ogni volta che ti connetti a un sito su Internet, è necessario il DNS.

Il DNS coinvolge un dispositivo client, ad esempio un PC utente e un server DNS. Il server può essere gestito dal provider di servizi Internet dell’utente, ma è anche possibile cambiarlo con un altro provider in quanto potrebbe migliorare le prestazioni e la privacy.

L’introduzione di standard DNS crittografati, DNS su HTTPS e DNS su TLS, protegge il traffico DNS dall’ascolto di terze parti. Il solo traffico DNS è prezioso in quanto include tutte le destinazioni visitate da un utente durante l’utilizzo di Internet.

Sebbene il traffico DNS sia crittografato se viene utilizzato uno degli standard di crittografia, è ancora vero che il provider DNS ha accesso all’indirizzo IP del dispositivo utilizzato dall’utente ea tutte le destinazioni. Lo standard proposto ODoH (Oblivious DNS over HTTPS) promette di cambiarlo.

Fondamentalmente, ciò che ODoH fa è aggiungere un proxy alle richieste che si trovano tra il dispositivo client e il provider DNS.

ignaro dns
tramite Cloudflare

Il traffico scorre attraverso il proxy e ciò si traduce in una migliore privacy.

  1. Il provider DNS comunica solo con il proxy e non con il client. In altre parole, il provider DNS vede l’IP proxy ma non l’IP del dispositivo dell’utente.
  2. Il Proxy vede l’IP dell’utente mentre comunica direttamente con esso, ma non ha informazioni sulla richiesta DNS poiché è crittografata.

ODoH aggiunge un altro livello di crittografia al messaggio DNS stesso per garantire che il proxy non possa leggerlo. Cloudflare ha pubblicato una panoramica dettagliata di Oblivious DNS che fornisce ulteriori dettagli tecnici. Il documento di ricerca Oblivious DNS over HTTPS (ODoH): A Practical Privacy Enhancement to DNS fornisce ulteriori dettagli.

Cloudflare ha eseguito benchmark per determinare il costo delle prestazioni di ODoH. Ha confrontato le prestazioni con DoH e ha concluso che c’è un costo, ma che è marginale.

Il DNS Resolver 1.1.1.1 di Cloudflare supporta già ODoH; la società ha implementazioni open source, il supporto potrebbe arrivare a Firefox in futuro, come confermato da Eric Rescorla, CTO di Firefox.

Parole di chiusura

Oblivious DNS separa l’indirizzo IP di un dispositivo dalle sue query DNS. Questa è una buona cosa in quanto impedisce che i provider DNS colleghino gli indirizzi IP alle query DNS.