Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il DNS tradizionale usa messaggi UDP o TCP non crittografati sulla porta 53, che espone il traffico DNS a monitoraggio passivo, analisi del traffico e manipolazione attiva da parte di utenti malintenzionati. La crittografia DNS protegge il traffico di query e risposta DNS dall'essere osservato, modificato o manomesso durante il transito su una rete.
DNS su HTTPS (DoH) è un meccanismo basato su standard che crittografa il traffico DNS incapsulando i messaggi DNS all'interno di HTTPS, fornendo riservatezza e integrità tramite Transport Layer Security (TLS). Crittografando il traffico DNS, DoH consente di evitare intercettazioni, attacchi man-in-the-middle e ispezione non autorizzata di query e risposte DNS.
Funzionamento di DNS su HTTPS
DNS su HTTPS non modifica il modello di query e risposta DNS fondamentale. Cambia invece il modo in cui i messaggi DNS vengono trasportati attraverso la rete. Quando si abilita DoH in un server DNS, DoH diventa un'opzione di comunicazione crittografata aggiuntiva e il server DNS continua a rispondere alle query DNS tradizionali, a meno che non si disabiliti esplicitamente tale funzionalità.
Quando si abilita DoH:
Il server DNS è in ascolto del traffico HTTPS.
Si configura un client compatibile con DoH (ad esempio un client Windows 11) per l'uso di query crittografate in un server DNS.
Il client DoH stabilisce una connessione TLS al server DNS.
Il client invia query DNS all'interno di una richiesta HTTPS.
Il server DNS elabora la query come di consueto.
La risposta DNS viene restituita all'interno della risposta HTTPS.
DNS su HTTPS per il server DNS
A partire dall'aggiornamento della sicurezza 2026-06 (KB5094125) per Windows Server 2025, è possibile abilitare DNS su HTTPS (DoH) nel servizio server DNS per crittografare il traffico DNS tra i client che supportano DoH e il server DNS.
Un esempio del flusso di comunicazione DoH è come illustrato nel diagramma seguente.
Quando si configura DNS su HTTPS per il server DNS, considerare i punti seguenti:
La comunicazione DNS upstream (server d'inoltro, server d'inoltro condizionale, server autorevoli) rimane non crittografata.
I trasferimenti di zona DNS rimangono non crittografati.
Gli aggiornamenti dinamici DNS rimangono non crittografati per impostazione predefinita.
Non è possibile creare un filtro di query DNS che corrisponda solo alle query DoH.
Le politiche con un filtro del protocollo di trasporto per le query non corrispondono alle query DoH. Ad esempio, un criterio con il filtro del protocollo di trasporto impostato su
EQ, TCPnon corrisponde a DoH.
Vantaggi della sicurezza di DNS tramite HTTPS
DNS tramite HTTPS offre i vantaggi seguenti per la sicurezza e la privacy:
Riservatezza. Le query e le risposte DNS vengono crittografate, impedendo il monitoraggio passivo.
Integrità. TLS protegge i messaggi DNS dalla modifica durante il transito.
Authentication. I client DNS possono convalidare l'identità del server DNS usando la convalida standard del certificato HTTPS.
Resistenza all'analisi del traffico. Il traffico DNS si fonde con altro traffico HTTPS, riducendo l'esposizione a filtri o manipolazioni specifici di DNS. Questo approccio migliora la privacy e la resistenza all'intercettazione.
DNS su protocolli e standard HTTPS
L'IETF definisce il DNS su HTTPS in RFC 8484 - Query DNS su HTTPS (DoH).
RFC 8484 specifica come inviare e ricevere messaggi DNS tramite HTTP su TLS. Lo standard DoH supporta sia i metodi GET che POST e definisce i tipi di supporto per i messaggi DNS. Questo approccio consente al traffico DNS di trarre vantaggio dalle moderne funzionalità HTTPS, ad esempio crittografia, autenticazione e riutilizzo delle connessioni.
Inoltre, lo standard DoH consente alle implementazioni del server di configurare l'URI e la porta in ascolto del server, abilitando la distribuzione flessibile in diversi ambienti di rete.
Crittografia DNS e DNSSEC
La crittografia DNS, ad esempio DoH e DNSSEC, indirizza diversi modelli di minaccia e sono tecnologie complementari. La crittografia DNS protegge il traffico DNS in transito, mentre DNSSEC garantisce che i dati DNS vengano verificati in modo crittografico per l'integrità e provenga da un'origine autorevole.
Usando DoH insieme a DNSSEC, si ottiene una difesa approfondita combinando il trasporto crittografato con i dati DNS autenticati. Per altre informazioni su DNSSEC, vedere Che cos'è DNSSEC?