- Modificato
1) perché dici aprire la porta? Non devi aprire porte per usare DoT come client
2) il fallback puoi lasciarlo
3) in che senso "connessione non sicura"? Il DNS non riguarda le connessioni ma la risoluzione degli IP. Se vedi IP Quad9 su dnsleaktest sei a posto
Gli IP Quad9 che vedi sono i loro server DNS, ovviamente se ti affidi a quel servizio il servizio può sapere tutti i domini che risolvi.
Io trovo che la questione privacy in relazione al DNS sia ampiamente sovrastimata... se il vostro ISP vuole sapere che siti visitate lo può comunque fare con inspection HTTP o di TLS SNI. Se invece il motivo di usare Quad9 o CF è evitare Google per me è insensato perché la privacy policy di 8.8.8.8 è molto chiara. Se il motivo è evitare il supporto a EDNS Client Subnet: che senso ha nascondere la propria subnet (nemmeno l'IP) a un server DNS se mezzo secondo dopo in ogni caso viene usato il proprio IP per le comunicazioni? Il tutto con il rischio di ridurre le prestazioni dei servizi offerti via CDN: https://forum.fibra.click/d/9833-dns-cloudflare-attenzione-alle-cdn