Cambiare il mio server DNS rende Internet più veloce?

A volte. Se il risolutore del tuo ISP è lento o geograficamente lontano, il passaggio a 1.1.1.1 o 8.8.8.8 può ridurre decine di millisecondi di ricerche DNS alla prima visita. Sulla maggior parte delle reti moderne la differenza è piccola perché le cache del risolutore sono già calde.

Chi gestisce i server root DNS?

Dodici organizzazioni gestiscono i 13 root server logici: università (ad esempio, l'Università del Maryland), aziende (Verisign), agenzie governative (DoD NIC) e organizzazioni no-profit (ICANN, Internet Systems Consortium). Ogni lettera radice viene replicata su centinaia di siti fisici tramite anycast. Non esiste un'autorità centrale che tenga in ostaggio il DNS; la struttura era volutamente decentrata.

Posso eseguire il mio risolutore DNS?

SÌ. Pi-hole, AdGuard Home, Unbound e BIND sono scelte comuni. I risolutori self-hosted ti offrono il controllo completo su memorizzazione nella cache, filtraggio e registrazione. I compromessi: lo mantieni e un risolutore appena avviato ha le prime query più lente rispetto a uno pubblico con una cache calda.

Qual è la differenza tra DNS ricorsivo e autorevole?

Un risolutore recursive svolge il lavoro di trovare risposte interrogando altri server. Un server authoritative conserva i record effettivi per una zona specifica e risponde alle domande al riguardo. I risolutori pubblici (1.1.1.1) sono ricorsivi; i nameserver a cui punta il tuo dominio sono autorevoli.

In che modo il DNS gestisce un server inattivo?

La maggior parte dei domini ha almeno due nameserver autorevoli in posizioni diverse. Se uno è irraggiungibile, il risolutore prova il successivo. I TTL (valori Time-To-Live) limitano la durata di permanenza di una risposta obsoleta nelle cache. Si verificano ancora catastrofici guasti DNS: l'interruzione di Facebook nell'ottobre 2021 è stata un ritiro del DNS che ha messo offline un intero servizio globale, ma il protocollo è progettato per interruzioni di server di routine.

Spiegazione dei server DNS: come funzionano effettivamente le ricerche di dominio

Ogni connessione su Internet inizia con una ricerca DNS, ovvero la conversione di un nome come esempio.com in un indirizzo IP a cui il tuo computer può connettersi. L'infrastruttura che fa funzionare tutto questo è una delle parti più utilizzate e meno comprese della moderna Internet, con più tipi di server che svolgono ruoli distinti in ogni singola richiesta.

Il corpo completo dell'articolo è fornito in inglese di seguito.

A Server DNS è qualsiasi computer che risponde alle query del Domain Name System. Il sistema DNS ha più ruoli – risolutore ricorsivo, server autorevole, server root, server TLD – che insieme trasformano un nome in un indirizzo IP. Capire quale ruolo fa cosa chiarisce chi vede le tue query, da dove provengono e come proteggerle.

LI quattro tipi di server DNS

Risolutore ricorsivo. Il server DNS con cui comunica il tuo dispositivo. Fa il lavoro di trovare la risposta, interrogare altri server secondo necessità e memorizzare nella cache il risultato. Esempi: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), il risolutore del tuo ISP.
Server root. 13 server root logici (con molte istanze fisiche ciascuno, tramite anycast) - da A a M - che sanno quali server gestiscono i domini di primo livello (.com, .org, .uk, ecc.). Gestito da organizzazioni coordinate da ICANN.
TLD server. Uno per dominio di primo livello. .com è gestito da Verisign; .org dal registro di interesse pubblico; codici paese per NIC nazionali. Sanno quali server sono autorevoli per i singoli domini sotto il loro TLD.
Server autoritativi. I server DNS che contengono i record effettivi per un dominio (A, AAAA, MX, TXT, ecc.). Ad esempio.com, i server autorevoli sono quelli configurati dal proprietario del dominio nel registrar.

A query, passo dopo passo

Digiti example.com nel tuo browser. Cosa succede:

La browser chiede al sistema operativo l'IP di esempio.com.
La sistema operativo controlla la cache locale; se non lo trova, interroga il risolutore configurato (di solito il tuo router, che inoltra al risolutore dell'ISP o ad uno pubblico).
LIl risolutore ricorsivo controlla la sua cache. Se non viene trovato, avvia la ricerca.
Lil risolutore interroga un server root per ".com". Il root risponde con i nomi e gli IP dei server TLD .com.
Lil risolutore interroga un server TLD .com per example.com. Il server TLD risponde con i nomi e gli IP dei server autorevoli di esempio.com.
LIl risolutore interroga un server autorevole per il record A di esempio.com. Il server autorevole risponde con IP.
Lil risolutore restituisce l'IP al sistema operativo, che lo restituisce al browser, che si connette.

La maggior parte dei passaggi viene memorizzata nella cache. Un dominio popolare come google.com viene servito dalla cache più del 99% delle volte; solo le query nuove e non memorizzate nella cache eseguono il percorso completo.

Risolutori DNS pubblici

Li principali risolutori pubblici gratuiti e cosa offrono:

1.1.1.1 (Cloudflare): veloce, incentrato sulla privacy, controllato da KPMG. Distribuzione anycast.
8.8.8.8 (Google): veloce, ampiamente utilizzato, Google conserva alcuni log delle query.
9.9.9.9 (Quad9): con sede in Svizzera, blocca i domini dannosi noti, non registra le query content.
208.67.222.222 (Cisco OpenDNS): risolutore pubblico mainstream originale. Offre livelli di filtro.
NextDNS: filtraggio personalizzabile, a pagamento per utenti esperti.
AdGuard DNS: blocco di annunci e tracker a livello DNS.

Scegliere un risolutore pubblico rispetto a quello del tuo ISP: solitamente più veloce, spesso più privato (a seconda delle politiche del risolutore), a volte in grado di aggirare il blocco del dominio a livello di ISP.

Perché la tua scelta DNS è importante per la privacy

Lal tuo risolutore vede ogni dominio che visiti. Storicamente i risolutori ISP lo registravano. Alcuni lo fanno ancora e altri hanno monetizzato i dati. I risolutori pubblici con severe politiche sulla privacy (1.1.1.1 di Cloudflare, Quad9) rappresentano un miglioramento rispetto alla maggior parte delle impostazioni predefinite degli ISP.

DNS crittografato: DNS su HTTPS, DNS su TLS, DNSCrypt: protegge ulteriormente le query di chiunque sulla rete tra te e il risolutore. Senza crittografia, il Wi-Fi del tuo hotel rileva semplici query DNS anche quando il traffico web effettivo è HTTPS.

Record DNS che incontrerai

A — Indirizzo IPv4 per un nome
AAAA — Indirizzo IPv6
CNAME — alias che indica un nome another
MX — server di posta per il dominio
TXT — testo arbitrario. Utilizzato per SPF, DKIM, verifica della proprietà del dominio
NS — server dei nomi autorevoli per il dominio
SOA — inizio dell'autorità, definisce i parametri della zona
CAA — quali CA sono autorizzate a emettere certificati per il dominio domain
HTTPS: tipo di record più recente, consente ai browser di apprendere il supporto HTTP/3 prima di connettersi

How per ispezionare DNS

dig example.com: riga di comando Unix; output completo
dig +trace example.com: mostra ogni passaggio dalla radice all'autorevole
nslookup example.com: strumento più vecchio, funziona su Windows
host example.com: una riga più semplice risposta
Il nostro test di tenuta DNS ti dice quale risolutore sta effettivamente utilizzando il tuo dispositivo

Domande frequenti

Cambiare il mio server DNS rende Internet più veloce?: A volte. Se il risolutore del tuo ISP è lento o geograficamente lontano, il passaggio a 1.1.1.1 o 8.8.8.8 può ridurre decine di millisecondi di ricerche DNS alla prima visita. Sulla maggior parte delle reti moderne la differenza è piccola perché le cache del risolutore sono già calde.
Chi gestisce i server root DNS?: Dodici organizzazioni gestiscono i 13 root server logici: università (ad esempio, l'Università del Maryland), aziende (Verisign), agenzie governative (DoD NIC) e organizzazioni no-profit (ICANN, Internet Systems Consortium). Ogni lettera radice viene replicata su centinaia di siti fisici tramite anycast. Non esiste un'autorità centrale che tenga in ostaggio il DNS; la struttura era volutamente decentrata.
Posso eseguire il mio risolutore DNS?: SÌ. Pi-hole, AdGuard Home, Unbound e BIND sono scelte comuni. I risolutori self-hosted ti offrono il controllo completo su memorizzazione nella cache, filtraggio e registrazione. I compromessi: lo mantieni e un risolutore appena avviato ha le prime query più lente rispetto a uno pubblico con una cache calda.
Qual è la differenza tra DNS ricorsivo e autorevole?: Un risolutore <em>recursive</em> svolge il lavoro di trovare risposte interrogando altri server. Un server <em>authoritative</em> conserva i record effettivi per una zona specifica e risponde alle domande al riguardo. I risolutori pubblici (1.1.1.1) sono ricorsivi; i nameserver a cui punta il tuo dominio sono autorevoli.
In che modo il DNS gestisce un server inattivo?: La maggior parte dei domini ha almeno due nameserver autorevoli in posizioni diverse. Se uno è irraggiungibile, il risolutore prova il successivo. I TTL (valori Time-To-Live) limitano la durata di permanenza di una risposta obsoleta nelle cache. Si verificano ancora catastrofici guasti DNS: l'interruzione di Facebook nell'ottobre 2021 è stata un ritiro del DNS che ha messo offline un intero servizio globale, ma il protocollo è progettato per interruzioni di server di routine.