DoT o DoH sono più sicuri?

Altrettanto sicuro per la crittografia stessa. Le differenze sono operative. DoT è più semplice; DoH è più difficile da bloccare. Per la maggior parte degli utenti funziona bene.

Perché Android utilizza DoT anziché DoH?

Semplicità operativa: DoT funziona con una configurazione del nome host senza richiedere l'analisi degli URL o librerie HTTP. Il DNS privato di Android è stata la prima implementazione DoT consumer; Il supporto DoH nel DNS a livello di sistema operativo è arrivato successivamente.

La mia rete può bloccare DoT?

Sì, la porta 853 è dedicata al DoT e può essere bloccata senza interrompere nient'altro. Molte reti aziendali lo fanno per imporre l'uso del DNS interno o per abilitare il monitoraggio. DoH sulla porta 443 è molto più difficile da bloccare.

Dovrei usare DoT a casa?

Utile se desideri crittografare il DNS su tutti i dispositivi tramite un'unica impostazione. Il DNS privato di Android è il percorso più semplice; la configurazione DoT a livello di router copre tutti i dispositivi. Il vantaggio è ridurre ciò che il tuo ISP può vedere sui tuoi domini di destinazione.

DoT impedisce al mio ISP di registrare le mie query?

Sì, se utilizzi un risolutore non ISP. Il tuo ISP vede il DoT crittografato su un risolutore pubblico (Cloudflare, Quad9) e non può leggere le query. Il risolutore pubblico li vede, con le proprie politiche di registrazione. La fiducia si sposta dall’ISP al risolutore.

DNS su TLS spiegato: il fratello più silenzioso del DoH

DNS su TLS crittografa le query DNS allo stesso modo di DNS su HTTPS, ma sulla propria porta e come proprio protocollo anziché nel tunneling all'interno di HTTPS. I due si confondono spesso; le differenze sono importanti per scenari di distribuzione specifici.

Il corpo completo dell'articolo è fornito in inglese di seguito.

DNS su TLS (DoT) è il protocollo DNS crittografato definito da RFC 7858 (2016). Avvolge le query DNS in una connessione TLS sulla porta TCP 853, una porta dedicata per DNS crittografati. Il protocollo complementare DNS su HTTPS (DoH) utilizza HTTPS sulla porta 443 e sembra indistinguibile dal traffico web. Entrambi crittografano la query DNS in transito tra client e risolutore; le differenze sono operative piuttosto che teoriche sulla sicurezza.

Come funziona DoT

Client apre una connessione TCP al risolutore sulla porta 853.L'handshake
TLS stabilisce un canale crittografato.
Le query DNS vengono inviate sulla connessione TLS come messaggi con lunghezza prefissata, lo stesso formato del DNS su TCP.
LIl risolutore restituisce risposte DNS tramite la stessa connessione TLS.
La connessione può essere mantenuta attiva per più query: riduce il sovraccarico dell'handshake.

DoT vs DoH confronto

	DoT	DoH
Port	853XPLZ 33X	443
Protocollo	Dedicato	HTTPS
Rete visibilità	Identificabile come DNS	Misto con traffico web
Resistenza al blocco	Più facile da bloccare (blocco porta 853)	Più difficile da bloccare (si romperebbe web)
Elusione della censura	Più debole	Stronger
Filtro dell'operatore di rete	Più facile: riconoscibile come DNS	Più difficile: sembra web
Standardizzazione	RFC 7858 (2016)	RFC 8484 (2018)
Supporto browser	Nessuno (a livello di sistema operativo solo)	Nativo in Chrome, Firefox, ecc.
Supporto sistema operativo	Android (DNS privato), sistema Linux risolto	Limitato a livello di sistema operativo; in crescita

Dove vince DoT

Distribuzione a livello di sistema operativo. La funzione "DNS privato" di Android utilizza DoT. Se abilitato, instrada tutti i DNS del dispositivo attraverso un risolutore DoT crittografato indipendentemente dall'app che sta effettuando le query.
Gestione della rete aziendale. I dipartimenti IT possono vedere che è in corso il traffico DNS (porta 853) senza vedere il contenuto. Consente ai criteri di rete di consentire DNS crittografati pur continuando a distinguerlo dal traffico web.
Semplicità operativa per i risolutori. Nessun livello HTTP, nessuna analisi URL complessa, meno codice.
Loverhead ridotto. Nessuna intestazione HTTP per query; solo il messaggio DNS stesso.

Dove vince DoH

Resistenza alla censura. Bloccare DoH significa bloccare HTTPS, che rompe il web. Bloccare DoT significa semplicemente bloccare la porta 853, il che comporta pochi danni collaterali.
Supporto nativo del browser. Firefox e Chrome possono utilizzare DoH senza modifiche al sistema operativo.
Infrastruttura esistente. Qualsiasi server compatibile con HTTPS può offrire DoH; DoT richiede una configurazione server specifica.
Meglio attraverso reti restrittive. I captive Portal e i firewall aziendali spesso consentono 443 senza restrizioni.

Principali fornitori DoT

Supporta la maggior parte dei risolutori pubblici entrambi:

Cloudflare: 1.1.1.1 sulla porta 853 (DoT) — anche cloudflare-dns.com per DoH
Google: 8.8.8.8 sulla porta 853 — anche dns.google
Quad9: 9.9.9.9 sulla porta 853 — anche dns.quad9.net
AdGuard: 94.140.14.14 sulla porta 853: molte varianti per i livelli di filtraggio
NextDNS, ControlD, OpenDNS: tutti offrono DoT endpoint

DNS privato Android

L'utilizzo più importante di DoT da parte dei consumatori è la funzionalità DNS privato di Android (Android 9+). Imposta in Impostazioni → Rete → Avanzate → DNS privato il nome host di un provider (ad esempio, 1dot1dot1dot1.cloudflare-dns.com) e tutte le query DNS dal dispositivo utilizzano DoT a quel risolutore. Funziona su cellulare e Wi-Fi; la rete non può sovrascriverlo.

Questo è uno degli aggiornamenti della privacy più puliti disponibili per gli utenti Android: un'unica impostazione che crittografa il DNS per ogni app sul dispositivo, comprese quelle che non dispongono di controlli sulla privacy propri.

Realtà operativa

Per la maggior parte degli utenti, la scelta DoT o DoH non ha molta importanza: entrambi forniscono la stessa protezione dei contenuti (crittografare il DNS, impedire l'osservazione sul percorso). Le differenze contano per:

Utenti in reti restrittive in cui una è bloccata e non l'altra
Ambienti aziendali che necessitano di distinzione a livello di rete
Distribuzione a livello di sistema operativo dove DoT ha un supporto migliore
Utilizzo solo browser dove DoH è l'unica opzione pratica

LIl modello maturo: DoT per la crittografia a livello di sistema operativo a livello di dispositivo, DoH per DNS crittografato specifico del browser, entrambi in esecuzione contro un risolutore che rispetta la privacy.

Domande frequenti

DoT o DoH sono più sicuri?: Altrettanto sicuro per la crittografia stessa. Le differenze sono operative. DoT è più semplice; DoH è più difficile da bloccare. Per la maggior parte degli utenti funziona bene.
Perché Android utilizza DoT anziché DoH?: Semplicità operativa: DoT funziona con una configurazione del nome host senza richiedere l'analisi degli URL o librerie HTTP. Il DNS privato di Android è stata la prima implementazione DoT consumer; Il supporto DoH nel DNS a livello di sistema operativo è arrivato successivamente.
La mia rete può bloccare DoT?: Sì, la porta 853 è dedicata al DoT e può essere bloccata senza interrompere nient'altro. Molte reti aziendali lo fanno per imporre l'uso del DNS interno o per abilitare il monitoraggio. DoH sulla porta 443 è molto più difficile da bloccare.
Dovrei usare DoT a casa?: Utile se desideri crittografare il DNS su tutti i dispositivi tramite un'unica impostazione. Il DNS privato di Android è il percorso più semplice; la configurazione DoT a livello di router copre tutti i dispositivi. Il vantaggio è ridurre ciò che il tuo ISP può vedere sui tuoi domini di destinazione.
DoT impedisce al mio ISP di registrare le mie query?: Sì, se utilizzi un risolutore non ISP. Il tuo ISP vede il DoT crittografato su un risolutore pubblico (Cloudflare, Quad9) e non può leggere le query. Il risolutore pubblico li vede, con le proprie politiche di registrazione. La fiducia si sposta dall’ISP al risolutore.