io uso quelli cloudflare e mi funziona tutto perfettamente, sarà da un anno circa che li ho o anche di piu
Scelta server DNS
permettetemi di dissentire con alcuni dei suggerimenti che sono stati dati in questo thread;
sulle FTTH non ho esperienza, ma sui DNS ho qualche decennio alle spalle (fino a pochi mesi fa gestivo i dns di un operatore) e alla domanda "meglio i dns dell'operatore o un dns pubblico?" rispondo in questo modo:
ha senso cambiare i dns dell'operatore solo se sono vere entrambe le seguenti affermazioni:
1) hai problemi reali con quelli dell'operatore (es. se frequenti siti censurati oppure se sono malgestiti e si rompono frequentemente);
2) sei consapevole di quello che stai facendo e dei problemi che ciò potrebbe portare;
tipicamente un operatore che fa bene il proprio lavoro ha decine di dns sparsi per i vari POP (quindi molto vicini ai clienti) e, soprattutto, risolve le query per siti distribuiti sulle CDN con gli ip delle istanze locali al POP o comunque interne alla rete dell'ISP (= youtybe, facebook, twitter, instagram, microsoft, apple, etc saranno parecchio più veloci).
per la privacy, l'operatore, se volesse, potrebbe guardare le query anche qel cliente anche quando utilizza 1.1.1.1 (a meno di DoH o DoT per cifrare).
quindi, non dico che i dns pubblici siano il male, ma io continuo a preferire quelli del mio ISP (anche se non li gestisco più io ;-) )
...se qualche cosa non è chiara o se servono approfondimenti, posso spiegare meglio
i DNS criptati sono sempre consigliabili, al di là della velocità di risoluzione.
Io per esempio non voglio che il mio provider che sa chi sono sappia anche che siti richiedo, men che meno Google.
Il mio setup è questo https://imgur.com/a/Rb5Xm1q
Chi cambia i DNS lo fa nel 90% o potrei dire nel 99% per evitare i blocchi DNS della propria nazione.
Per il resto concordo: non ha senso parlare di privacy verso il gestore DNS o ISP perché tanto se vogliono possono comunque vedere tutto e comunque tranquilli sostanzialmente non interessa a nessuno quale porno andate a vedere o quale torrent scaricate almeno finché non andate a ficcarvi in cose veramente estreme e/o criminali.
Non ha nemmeno granché senso cambiare i DNS semplicemente per servizi normalmente accessibili salvo ci siano oggettivi problemi ma ormai, almeno nella mia esperienza, sono problemi veramente rari.
Se poi devo proprio sbilanciarmi e dovessi scegliere DNS diversi da quelli del mio operatore direi di usare quelli di google.
Con quale servizio? A me con NextDNS finora non è successo, anche se ho attivato una marea di liste quindi non so quale intervenga e quando.
Anzi, a volte blocca anche degli script che "rompono" servizi, ad esempio per un po' non riuscivo a fare l'accesso all'account Samsung sullo smartphone, o all'account del tracker Vodafone, proprio per colpa dei blocchi, perché chiamavano qualche dominio che probabilmente hostava anche pubblicità o tracker.
ciao,
faccio un passo indietro e racconto qualche cosa sulle reti degli ISP (in particolare sui loro POP);
i POP principali[1] dei fornitori di connettività (ISP) sono dei punti di interconnessione dove sono ospitati, tra le altre cose:
- link di raccolta delle connettività di accesso (dove viene 'conseganto' il traffico che esce dalle nostre case)
- router di core
- server DNS
- server (cache) dei fornitori di contenuti (google, facebook, netflix, amazon, sky, dazn, cloudflare, akamai, etc);
più altre cose piuttosto importanti nel funzionamento, ma che non interessano per il nostro discorso:
- anelli in fibra per collegare tra loro geograficamente i router di core
- link di connettività verso internet
- link di interconnessione (peering) con altri operatori (sia di contenuti che di connettività)
- link verso NAP (es MIX a Milano, Namex a Roma) per raggiungere gli altri operatori non direttamente connessi
uno dei meccanismi (fortunatamente non l'unico) utilizzato per dirigere un cliente attestato su un pop verso le cache con i contenuti ospitate nello stesso POP (quindi senza colli di bottiglia e con latenze bassissime) è il DNS, quindi se non utilizzi il DNS dell'ISP rischi di finire su un web server più lontano e potenzialmente più congestionato; non che sia un problema enorme, ma potresti giocarti con questo i vantaggi che porta un dns pubblico.
[1] attenzione: ho scritto "POP principali", per differenzialri dai POP di openfiber/fibercop per le FTTH... i POP 'principali' degli ISP sono tipicamente una manciata o poco più sparsi per l'Italia e tipicamente realizzati all'interno di datacenter, mentre i POP delle FTTH sono migliaia, tipicamente nelle centrali telefoniche.
- Modificato
FABZILLA
Quello che ti sta dicendo è che lato privacy (verso l'ISP) usare un DNS alternativo ti da un falso senso di sicurezza.
Perché:
- senza DoT/DoH il traffico DNS è in chiaro e se un operatore vuole può anche dirottarlo ai suoi server (alcune CPE lo fanno di default)
- anche con DoT/DoH c'è comunque SNI che invia il dominio sostanzialmente in chiaro
- stai dando dati a un'entità in più, che se sta fornendo un servizio gratuito potrebbe anche avere più interessi del tuo ISP a raccogliere statistiche
Per la questione affidabilità stai semplicemente spostando il punto di failure dal tuo ISP a un altro provider. Per come la vedo io è abbastanza equivalente.
Io infatti uso due provider diversi. Sembra una cosa eccessiva ma mi è capitato diverse volte tornasse utile questa cosa.
Per la questione censure, qui c'è poco da dire gli ISP sono obbligati a censurare alcuni domini.
Per la questione cache e CDN, i DNS dell'operatore se ben distribuiti non si battono*.
Per gli alternativi bisogna considerare che ci sono due meccanismi per personalizzare la risposta:
- IP del resolver, ovvero l'indirizzo IP della macchina che risolve le query DNS
- subnet EDNS
Per il primo tipo è importante che il resolver abbia un IP italiano o comunque in una località vicina a dove vi trovate (es. Roma se siete al sud, Torino o Milano se siete al nord).
Per il secondo tipo è ininfluente dove sia geolocalizzato il resolver (vi può penalizzare per i servizi che non usano EDNS), ma deve supportare EDNS.
Di DNS alternativi che supportano EDNS ne ho provati tre:
- Posso dire dalle prove che ho fatto che Google utilizza EDNS per tutti i domini o quasi. Il problema è che di tanto in tanto la sua cache sembra "impazzire" e inizia a dare risposte che si riferiscono a subnet di altri ISP - non proprio bellissimo
- Con Opendns non ho visto i problemi di cache di cui sopra, ma sembra utilizzare EDNS solo per alcuni domini, come se avesse una sorta di whitelist.
- Con Quad9 non ho notato problemi di cache, sembra funzionare con tutti i domini come Google, consente ai client di personalizzare la subnet EDNS, ma non supporta EDNS di Akamai.
EDNS di Akamai richiede infatti un accordo tra le parti, con determinate condizioni che non si sposano con la filosofia di Quad9.
* Non tutte le CDN scelgono il nodo più vicino in base ai DNS, ci sono altri modi come IP Anycast o domini diversi per ciascuno nodo + logica custom. O anche soluzioni ibride
Per il discorso ADS, io preferisco scindere il DNS dal blocco delle pubblicità, principalmente per non creare problemi agli altri utenti in casa.
Una di queste liste che girano su Github ha bloccato parzialmente un sito che gestisco, non oso immaginare quanti altri problemi possano creare...
Io sulla rete di casa utilizzo Quad9 EDNS (risponde da Roma) e OpenDNS (risponde da Milano) in load balancing. Per i domini Akamai, Vowifi W3 e SIP W3 utilizzo i DNS dell'ISP.
Perché non usare i DNS dell'ISP per tutto?
I DNS W3 non supportano NXDOMAIN (va un po' a periodi, ma spesso rispondono con un IP di un servizio W3 che altrettanto spesso nemmeno funziona) e sono soggetti a blocchi/censure.
Mettere i load balancing DNS con visibilità così diverse potrebbe creare problemi, quindi preferisco evitarlo.
Perché proprio OpenDNS?
OpenDNS oltre a supportare EDNS è in grado di risolvere i domini (ritornando risposte in cache) anche in caso di "dns failure". Quindi se Quad9 fallisce, risolve lui.
Perché proprio Quad9?
È l'unica alternativa con buon supporto EDNS che ho trovato. In precedenza utilizzavo Google, che ho rimpiazzato per quei problemi di "cache".