Il DNS Resolver che controlla tutto il tuo traffico — scegli bene
Il Tuo Resolver DNS è il Guardiano del Tuo Internet — Scegli con Criterio
Ogni volta che digiti un URL nel browser, succede qualcosa dietro le quinte in pochi millisecondi: il tuo dispositivo chiede a un resolver DNS ricorsivo l'indirizzo IP corrispondente a quel dominio leggibile. La maggior parte delle persone non ci pensa mai — di solito si accontentano di quello che fornisce il provider internet di default. Ma questa scelta conta più di quanto si creda.
Il tuo resolver DNS vede ogni singolo dominio che interroghi. Può registrare la tua cronologia di navigazione, filtrare cosa puoi o non puoi vedere, e — se non è configurato bene — permettere che qualcuno manometta o intercetti le tue richieste. Per sviluppatori, startup e chiunque abbia a cuore la privacy, scegliere un resolver DNS pubblico è una di quelle decisioni infrastrutturali che una volta impostate funzionano da sole e danno benefici costanti.
Vediamo cosa dicono le ricerche e come scegliere il resolver giusto per il tuo modello di minaccia.
Cos'è Esattamente un Resolver DNS Pubblico?
Un resolver DNS pubblico è un servizio che chiunque può usare al posto del resolver predefinito del proprio ISP. Aziende come Cloudflare (1.1.1.1), Google (8.8.8.8) e Quad9 offrono servizi DNS ricorsivi gratuiti che promettono ricerche più veloci, maggiore privacy e funzionalità di sicurezza in più.
Quando passi a un resolver pubblico, stai facendo una scelta su:
- Chi vede le tue query — l'ISP perde visibilità, ma guadagna quella il gestore del resolver
- Quale filtro viene applicato — alcuni resolver bloccano domini malware o contenuti per adulti
- Se le tue query sono crittografate — DNS in chiaro può essere monitorato durante il trasporto
- Sotto quale giurisdizione cadono i tuoi dati — le regole legali variano da paese a paese
La scelta giusta dipende completamente dalle tue priorità. Analizziamo cosa dice la ricerca per ciascun fattore.
La Questione Velocità: il DNS Criptato Ti Rallenta?
Una delle prime preoccupazioni degli sviluppatori riguardo al DNS criptato è la latenza. I trasporti crittografati come DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) aggiungono un sovraccarico crittografico a ogni query, quindi in teoria dovrebbero essere più lenti del DNS normale (porta 53).
La ricerca da studi di misurazione DNS peer-reviewed racconta una storia più sfumata. Il DNS criptato aggiunge latenza per query, ma i tempi di caricamento delle pagine intere spesso finiscono per essere simili al DNS normale. Il sovraccarico nella pratica è più piccolo di quello che dice la teoria, e per la maggior parte degli utenti la differenza è impercettibile.
Però, su reti con perdite o connessioni ad alta latenza (pensa a internet satellitare o reti mobili congestionate), il DNS normale vince e basta. Se stai ottimizzando per prestazioni massime in quegli scenari, il DNS non crittografato resta l'opzione più veloce.
Le prestazioni variano anche tanto in base alla regione geografica e al provider. Un resolver che vola da un data center a Francoforte potrebbe essere pigro da un server a San Paolo. Il resolver "più veloce" dipende davvero dalla posizione, quindi vale la pena testare qualche opzione sulle tue condizioni di rete reali.
DNS Criptato: Più della Semplice Protezione dallo Spionaggio
Molti utenti pensano che il DNS criptato serva principalmente a nascondere le query dagli osservatori di rete — ficcanaso sul WiFi, monitoraggio ISP, o hotspot malevoli. È vero, ma i benefici vanno oltre.
Lo studio più grande end-to-end sul DNS criptato ha scoperto che le query trasmesse su DoH e DoT hanno probabilità significativamente più basse di essere intercettate o alterate durante il trasporto rispetto al DNS in chiaro. Questa resistenza alla manomissione conta per la sicurezza, non solo per la privacy. Con il DNS in chiaro, un attaccante man-in-the-middle può avvelenare la tua cache con risposte DNS forgiate e reindirizzarti a siti malevoli senza che tu te ne accorga.
Però, non tutti i resolver crittografati sono uguali. Lo stesso studio ha scoperto che circa il 25% dei provider DoT serviva certificati TLS non validi — un errore di configurazione serio che vanifica i benefici di sicurezza. Quando ti fidi di un resolver per il tuo DNS, la qualità operativa conta. Resta con provider ben gestiti che hanno le catene di certificati configurate correttamente.
La Realtà della Privacy: il Tuo Resolver Vede Tutto
Ecco un punto cruciale che spesso viene trascurato: la crittografia nasconde le tue query dalla rete, non dal gestore del resolver. Chiunque gestisca il tuo resolver DNS vede comunque ogni dominio che cerchi, punto.
Se questo ti preoccupa, cerca due cose:
Policy no-log: Alcuni resolver si impegnano esplicitamente a non memorizzare log delle query. Quad9, ad esempio, cancella tutti i dati entro 24 ore e non associa le query agli utenti. Anche il 1.1.1.1 di Cloudflare per i consumatori ha un impegno no-log per l'uso residenziale.
Oblivious DNS over HTTPS (ODoH): Questo design più recente introduce un proxy tra te e il resolver, così il proxy conosce il tuo IP ma non cosa stai cercando, mentre il resolver sa cosa cerchi ma non il tuo IP. Nessuna singola parte vede entrambe le cose. Sia Cloudflare che Apple hanno implementato infrastruttura ODoH. È un miglioramento concreto in termini di privacy se è la tua priorità.
DNSSEC: La Validazione che Ferma Davvero le Forgiature
DNSSEC (DNS Security Extensions) aggiunge firme crittografiche ai record DNS, permettendo ai resolver di verificare che le risposte non siano state manomesse. Senza la validazione DNSSEC, un attaccante posizionato abbastanza bene può forgiare risposte DNS e reindirizzare il traffico.
Solo i resolver validanti controllano quelle firme. La maggior parte dei resolver pubblici principali validano DNSSEC — Google Public DNS, Cloudflare e Quad9 lo fanno — e hanno gestito il rollover della chiave root (KSK) del 2018 senza problemi per gli utenti. Se l'integrità dei dati ti interessa, la validazione DNSSEC deve essere una voce da spuntare quando valuti i resolver.
ECS: Un Compromesso Velocità-Privacy da Capire
EDNS Client Subnet (ECS) è un'estensione del protocollo che invia parte del tuo indirizzo IP ai server DNS autoritativi (e a volte ai resolver) così che i CDN possano restituire indirizzi geograficamente appropriati per una consegna dei contenuti più veloce.
Il compromesso: ECS migliora l'accuratezza del routing CDN ma condivide più della tua identità di rete con più parti. Google's Public DNS e OpenDNS inviano dati ECS di default. Cloudflare e Quad9 standard no. Nessuna delle due scelte è oggettivamente migliore — dipende da quanto valorizzi l'ottimizzazione delle prestazioni CDN rispetto alla minimizzazione della disclosure di informazioni.
DNS-over-QUIC: Il Nuovo Campione della Velocità
DNS-over-QUIC (DoQ) è il trasporto DNS crittografato più recente, e i dati iniziali sono promettenti. Uno studio di misurazione del 2022 ha scoperto che DoQ già supera sia DoT che DoH sui tempi di risposta in molti scenari. La gestione delle connessioni di QUIC e il ridotto sovraccarico dell'handshake contribuiscono a scambi più veloci.
C'è una nota: circa il 40% degli handshake vengono rallentati dal meccanismo di validazione degli indirizzi di QUIC, che protegge dagli attacchi di amplificazione ma aggiunge latenza sulle connessioni iniziali. Comunque, dove sia il client che il resolver supportano DoQ, è l'opzione crittografata da preferire.
Attualmente supportano DoQ: Quad9, AdGuard, NextDNS, Control D, Mullvad DNS, UncensoredDNS e diversi altri. Se le tue applicazioni o infrastruttura possono sfruttare DoQ, i benefici prestazionali sono reali.
DNSCrypt: Il Protocollo di Crittografia Veterano
DNSCrypt precede DoH e DoT — la versione 2 è uscita nel 2013. Cripta le query DNS fin dal primo pacchetto usando chiavi pubbliche pre-condivise dal resolver, il che significa che non c'è ricerca di hostname in chiaro (a differenza di DoH, che a volte può essere rilevato come traffico HTTPS verso un provider DoH noto) e nessuna dipendenza dal sistema delle Certificate Authority.
DNSCrypt ha anche introdotto la modalità Anonymized DNS nel 2019, che instrada le query attraverso server relay per nascondere gli IP dei client dal resolver — simile nello spirito a ODoH ma implementato diversamente. Tra i resolver pubblici, Quad9, OpenDNS, AdGuard, NextDNS, Control D e Yandex DNS offrono supporto DNSCrypt.
Non è così diffuso come DoH, ma per certi modelli di minaccia, le proprietà che DNSCrypt offre sono genuinamente preziose.
Analisi del Traffico: Nemmeno il DNS Criptato È Invisibile
Ecco una scoperta che fa riflettere dalla ricerca: anche su DoH, l'analisi del traffico può identificare i domini che visiti con alta accuratezza. Il padding EDNS standard aiuta un po' ma non previene completamente il fingerprinting.
Se sei in una situazione dove un'analisi sofisticata del traffico è una minaccia concreta — diciamo, sei un giornalista che opera in un ambiente di rete ostile — non contare solo sul DNS crittografato. Abbinalo a Tor o usa design oblivious come ODoH per una protezione significativa contro questo vettore di attacco.
La Giurisdizione Conta — Più di Quanto Pensi
La casa legale del gestore del tuo resolver determina quali dati possono essere forzati, per quanto tempo devono essere conservati, e in quali circostanze le forze dell'ordine possono accedere alla tua cronologia query. Non è astratto — è una superficie di rischio reale.
Alcuni provider gestiscono ormai una fetta significativa del traffico DNS ricorsivo mondiale, il che solleva preoccupazioni legittime sulla centralizzazione. L'NSA americana ha anche esplicitamente avvertito che usare resolver esterni ignora i controlli di filtraggio e ispezione DNS interni da cui le organizzazioni dipendono per il monitoraggio della sicurezza.
Per le aziende, non è solo una questione di privacy — è una questione di governance. Il tuo CISO potrebbe avere ragioni legittime per richiedere la risoluzione DNS interna, anche se è più lenta o meno privata.
Fare la Scelta: Un Framework Pratico
Con tutti questi fattori, come dovresti decidere davvero? Ecco un framework pratico:
Se la privacy è fondamentale: Scegli un resolver no-log in una giurisdizione favorevole, abilita ODoH se disponibile, e abbina a Tor per navigazione sensibile. Quad9 è un candidato forte qui.
Se la velocità è tutto: Testa resolver dalla tua posizione reale, e non escludere il DNS normale su reti con perdite. Per le opzioni crittografate, preferisci DoQ dove supportato.
Se hai bisogno di filtri: Molti resolver offrono livelli filtrati che bloccano malware, pubblicità o contenuti per adulti. AdGuard, NextDNS, Control D e CleanBrowsing offrono opzioni di filtraggio granulari.
Se sei un'azienda: Considera il quadro completo della governance — giurisdizione, policy di logging, integrazione con strumenti di sicurezza interni, e gli avvertimenti dell'NSA sull'ignorare i controlli interni.
Se vuoi solo qualcosa di "abbastanza buono": Cloudflare 1.1.1.1, Google Public DNS e Quad9 sono tutte scelte solide, ben gestite, con supporto ampio dei protocolli e policy di privacy ragionevoli. Non sbagli con nessuno dei tre per uso generale.
Il Risultato Finale
Il tuo resolver DNS è infrastruttura fondamentale. È sempre lì, sempre impegnato a processare ogni dominio che tocchi, e la scelta di chi lo gestisce ha conseguenze concrete. La buona notizia è che l'ecosistema dei resolver pubblici è maturato parecchio — il trasporto crittografato è ormai la norma più che l'eccezione, la validazione DNSSEC è ampiamente disponibile, e opzioni che rispettano la privacy esistono per ogni modello di minaccia.
Dedica 30 minuti a valutare le tue opzioni, configura i tuoi dispositivi o la rete di conseguenza, e ottieni benefici permanenti senza manutenzione continua. È una delle decisioni infrastrutturali a più alto impatto che puoi prendere con uno sforzo minimo.
La tua esperienza internet passa attraverso quel resolver. Assicurati che sia uno di cui ti fidi.
NameOcean offre Vibe Hosting con strumenti alimentati da AI che si integrano perfettamente con la configurazione del tuo dominio e DNS. Imposta le tue preferenze del resolver personalizzato insieme alla gestione del dominio in un'unica dashboard unificata.