Episodio 135 – DNS over HTTPS

Episodio 135 – DNS over HTTPS

 
 
00:00 / 8:05
 
1X
 

Risolvere i nomi sulla rete senza far vedere al provider dove stiamo cercando di andare, senza usare una VPN, è possibile, basta usare il protocollo DoH, DNS over HTTPS, ma lo si deve scegliere e sapere cosa si sta facendo

Pillole di Bit (https://www.pilloledib.it) è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay, Patreon e il vecchio IBAN (contattami per chiedermelo).
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram (un gruppo dove discutere degli argomenti del podcast)
Twitter (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio, puoi anche scrivere crittografato usando la mia chiave pubblica PGP)

Rispondo sempre

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!
Realizzo altri due podcast, provate a dar loro una chance: GeekCookies e A Torino


Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 135 e io sono, come sempre, Francesco.

Questo podcast non è ancora stato fermato dal coronavirus.
Nella puntata 63 del podcast vi ho parlato del DNS e di come serva per la traduzione da un nome facile per gli umani, come ad esempio www.google.it, a un indirizzo facile dalle macchine, come ad esempio 231.45.67.1, il protocollo DNS, ideato nel 1983, è molto semplice: chiedo a un server “senti, che indirizzo ha questo nome?”, il server mi risponde con l’indirizzo e io vado a collegarmi a quell’indirizzo.
Tutta questa comunicazione è in chiaro sulla rete, quindi chi vede il traffico vede esattamente su quali siti si sta collegando chiunque, primo tra tutti, il provider che fornisce il servizio di connettività. Spesso il fornitore del servizio di connettività, è anche quello che fornisce il servizio DNS, come abbiamo visto nella puntata 110, potrebbe anche fare da trasparent proxy e redirigere tutte le chiamate DNS che voi fate a un DNS che avete scelto ai suoi DNS.
Avere il log e il controllo del DNS fornisce un grande potere.
Ad esempio, in uno stato di diritto, fornisce il potere dato dalle Forze dell’Ordine di oscurare siti illegali. Se la Guardia di Finanza decide che il sito tuttostreaming.it, lo sto inventando, non è un sito reale, è illegale, può ordinare ai DNS italiani di non risolvere quel nome e nessuno ci arriverà più.
Chi è un po’ più smanettone allora imposta come DNS quelli di Google o quelli di CloudFlare e bypassa questo limite. Con il trasparent proxy la cosa non è possibile perché il router intercetta le chiamate DNS fatte ai server di Google e le redirige su DNS italiani e il dominio continua a essere irraggiungibile.
E se lo stato diventa autoritario? Il problema si complica. Se la dittatura decide che su Google ci sono troppe informazioni contrarie al regime, lo blocca sul DNS e nessuno usa più Google, o Facebook o altri servizi di qualunque tipo. Insomma, un bel casino avere il controllo del DNS.
Ma da qualche tempo è uscito un nuovo protocollo, che si chiama DNS over HTTPS, o, abbreviato DoH. Questo protocollo è molto recente, è nato nel 2018 e ha lo scopo di migliorare la privacy di chi naviga.
Il protocollo https permette la navigazione crittografata, in parole semplici io accedo al sito in https, il sito e il mio browser si mettono d’accordo sulle chiavi di crittografia e i traffico che passa tra i due non è visibile a chi si mette in mezzo e cerca di guardarlo.
Se io riesco a incapsulare le richieste DNS all’interno di un pacchetto HTTPS, ottengo un buon risultato: la richiesta che faccio “senti, qual è l’indirizzo di www.google.it”, passa interamente crittografata, quidni nessuno potrà vederla e soprattutto, passando su una porta usata per altre cose, la 443, non posso fare il trasparent proxy che farei sulla 53, come fanno alcuni provider adesso. Se metto regole troppo stringenti su una porta come la 443 la connessione diventerebbe inutilizzabile e il provider perderebbe tutti i clienti.
Insomma, a conti fatti è una gran figata!
Come si realizza questa cosa?
Ecco, non è così semplice come impostare un DNS nei parametri di rete di un PC.
Ci vanno i server DNS che supportino la cosa e le applicazioni che la sappiano gestire.
Tra i primi DNS a supportare questa cosa ci sono stati quelli di CloudFlare che hanno anche pubblicato un’applicazione per dispositivi mobili, che instaura una specie di VPN che non fa altro che far passare dentro solo le richieste DNS, nascondendo di fatto queste all’operatore mobile che si sta usando.
Se volete farlo a casa e siete un po’ smanettoni, potreste implementare Pi-Hole, ma non è una cosa proprio alla portata di tutti, se volete provare ad addentrarvi, ne abbiamo parlato nella puntata 43 di Geekcookies, l’altro mio podcast.
Firefox, il noto browser Internet lo fa, da qualche versione, di default. Queste decisione ha smosso un po’ il mondo di Internet per il livello di etica di questa scelta, per alcune motivazioni.
Come prima cosa, la scelta è di tipo opt-out, cioè, è attivo di default e se vuoi, lo puoi disattivare, questo significa che il 90% delle persone non lo disattiverà.
Molti di voi penseranno “è per la privacy, è un bene”.
Non del tutto.
L’accordo che ha fatto Firefox è con CloudFlare che paga per avere tutto il traffico DNS di chi naviga con quel browser, la cosa non è bellissima. Sono sempre dati, molti dati e aggregati hanno un valore molto elevato.
In più è successo che Firefox proponesse una VPN sponsorizzata quando si accedeva ad una pagina di un altro servizio VPN, questa cosa è davvero brutta, se la si vede dal punto di vista di un browser che fa della libertà del navigatore un suo punto di battaglia.
La terza cosa, che crea un sacco di problemi in ambito aziendale, ma anche locale in certi casi, è che, avendo i DNS over https, si esclude completamente la risoluzione dei nomi delle risorse interne alla rete. Questo impedirebbe agli utenti di accedere via browser ai server interni, chiamandoli per nome, come ad esempio si fa per accedere alle reti intranet, questa è una cosa che ai sistemisti, come me, crea problemi non di poco conto.
Pensate se a un certo punto, ogni applicazione su ogni dispositivo ha i suoi DNS over https, si perderebbe il controllo su ogni cosa, anche in casa, figuriamoci in azienda.
Quindi va bene la sicurezza, ma ben comunicata, informata e utilizzata. 

I contatti
Trovate tutti i contatti e i modi per sostenermi in questo progetto direttamente nelle note di questa puntata o sul sito www.pilloledib.it, mi trovate su twitter, nel gruppo telegram, il canale che preferisco e che ormai conta più di 220 iscritti, oppure via mail, se volete scrivere di più.
Se volete sostenermi con 5€ o più, compilate il form e vi spedisco gli adesivi a casa.
Grazie a chi ha donato in questa settimana!

Il tip
Abbiamo parlato di DNS, direi che ci sta bene un bel tip a tema!
Esiste sulle macchine Linux e simili il comando dig, per avere informazioni su un certo dominio, chiedendo le informazioni al server DNS, per scoprire ad esempio qual è il server di posta, interrogando il server MX e un sacco di altre cose.
Google ha una versione online di questo tool, che si trova al link https://toolbox.googleapps.com/apps/dig/, link che trovate come sempre nelle note dell’episodio. Anche se non sapete perfettamente cosa sono tutti i record, andate a farvi un giro con i domini che conoscete e che utilizzate più spesso, potreste scoprire cose interessanti.

Pubblicità!
Non è ancora finita! Questa è autopubblicità! Niente MergeIt ad Aprile a Torino, è stato annullato come tutti gli altri eventi in questi mesi funesti, ci aggiorniamo in tempi migliori..

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata.

Ciao!