Differenza DoH e DoT
fede00 Intendi a livello tecnico?
O vuoi sapere quale è "migliore"?
Sono entrambe soluzioni molto buone, ma DoT richiede l'uso di una porta "specifica" (853) che quindi volendo si può bloccare, rendendolo inutile; DoH invece usa la normale porta del HTTPS (443) quindi non è bloccabile a meno di non bloccare tutto il traffico HTTPS.
C'è una differenza a livello applicazione però: DNS over TLS non fa altro che crittografare tramite i certificati di sicurezza la normale query DNS, senza alterarne le caratteristiche (una su tutte il fatto che sia traffico UDP), solo "incartandola" in TLS.
DNS over HTTPS è radicalmente diversa perchè non è altro che una chiamata HTTP GET (e quindi TCP per definizione) la cui risposta del server web è il risultato della query, il tutto condito ancora da TLS.
fede00 Speriamo in un uso massiccio del DoH allora
Firefox e Chrome lo pianificano come default in futuro, Microsoft sta testando il client di Windows.
Apple introdurrà entrambi nella prossima release mi pare, mentre Android per ora supporta solo DoT.
Lato router credo che AVM abbia DoT nella prossima release, Mikrotik ha già DoH.
[cancellato]
- Modificato
fede00 Speriamo in un uso massiccio del DoH allora
Sapete che permette di fare facilmente fingerprinting delle richieste? Quindi permette di identificare in modo univoco un client che fa richiesta anche da dietro un NAT o se cambia l'IP? Certo, chi è in mezzo non vede nulla, ma il server DoH vede tutto...
[cancellato] Quindi permette di identificare in modo univoco un client che fa richiesta anche da dietro un NAT o se cambia l'IP?
Infatti è un lavoro che dovrebbero svolgere i router IMO, non i dispositivi singoli.
Cache DNS + DoH/DoT Client
Solo che se le aziende di dipositivi non iniziano a far leva loro finisce come con IPv6
[cancellato]
Io temo anche una balcanizzazione dove ogni applicazione tenta di usare il server DoH che preferisce tentando di evitare il più possibile l'impostazione DNS del sistema operativo, consci che la maggior parte degli utenti consumer non andrà a modificare le impostazioni di default.
[cancellato]
edofullo In realtà 'ste cose nascono proprio per bypassare tutti i DNS server imposti dalle reti upstream (che sia quella di casa, aziendale o del provider) "per privacy".
[cancellato] Garantito che lo faranno. Il problema è che vi è sempre una linea molto sottile di confine tra ciò che è "lecito" fare con le query in chiaro (vedasi ad esempio i filtri a livello DNS come PiHole per il domestico, parental control e category based in ambito corporate) e ciò che non lo è (redirezioni arbitrarie, come per esempio le pagine pubblicitarie dei provider di anni or sono al posto degli NXDOMAIN, data mining, ...)
[cancellato]
Come dice il proverbio, "le vie dell'Inferno sono lastricate di buone intenzioni". Crittografare le query DSN mi va bene. Fornire maggiori informazioni della singola query no, e deve rimanere all'utente la decisione di quale server DNS utilizzare.
Anche perché stiamo passando da un sistema altamente distribuito ad uno estremamente centralizzato, con tutti i rischi del caso.
Tra l'altro manca una regolamentazione perché l'hijacking delle query DNS avrebbe dovuto essere vietato - ma siamo in un periodo dove i regolatori capiscono assai poco di quello che regolano, e sono anche spesso un po' troppo contigui ai regolati.
[cancellato]
[cancellato] Anche perché stiamo passando da un sistema altamente distribuito ad uno estremamente centralizzato, con tutti i rischi del caso.
Non necessariamente.
I resolver DoH/DoT sono comunque gestiti in modo anycast, ed hanno lo stesso livello di centralizzazione che avresti impostando il DNS resolver nel client; a loro volta, la ricorsione è gestita allo stesso identico modo di quando vengono invocati via query DNS ordinarie. Cambia in sostanza solo il primo hop di richieste al resolver ricorsivo prescelto.
E anche con le query DNS plain puoi fornire un botto di informazioni al resolver ricorsivo esterno, finanche l'indirizzo IP privato interno del client che invia la richiesta mediante le estensioni EDNS0.
È in piano un articolo della wiki comunque...
[cancellato]
- Modificato
Non ci siamo capiti - il sistema DNS era stato pensato come un sistema altamente distribuito senza dei sistemi "centrali" - persino i root server sono più di uno gestiti da organizzazioni diverse.
Poi sono arrivati prima Google e poi Cloudflare che hanno cercato di catturare gran parte del traffico DNS verso i loro sistemi - passando di fatto da un sistema decentralizzato ad uno estremamente centralizzato dove un paio di società vedono e controllano la maggior parte del traffico. DoH è un ulteriore passo con il tentativo anche di spostare la risoluzione DNS dal sistema operativo alle applicazioni e ridurre il controllo dell'utente.
Non è un problema solo del DNS - l'intera internet sta passando da un sistema altamente distribuito ad uno centralizzato dove una manciata di società controlla traffico e contenuti. E acquisisce dati degli utenti per profitto.
[cancellato] Basterebbe che quelli che sviluppano i sistemi operativi implementino la funzione e magari ogni applicazione non farebbe per se.
Idem per le aziende che sviluppano i router, almeno un opzione cambiabile dal pannello di controllo dovrebbe esserci.
Speriamo che microsoft e apple si adoperino in questo fronte, magari mettendo in fase di setup un opzione per scegliere se usare i dns del provider o DoT/DoH con una lista di resolver.
Per quanto rigurda l'accentramento: non si potrebbe fare in modo che le richieste vadano a un resolver scelto random ogni volta (o ogni n minuti) in una lista?
[cancellato]
Si può fare tutto, ma tutto dipende da quanto ci guadagni. Se il trend è quello di acquisire sempre più dati degli utenti da ogni fonte possibile perché ti portano un notevole profitto, ognuno agirà in quella direzione - anche quando sono facilmente implementabili soluzioni diverse ma che diminuiscono quei profitti.
I sistemi operativi dovranno inevitabilmente avere funzioni che permettano all'azienda di controllare chi fa richiesta a cosa, ma immagino che i default saranno diversi e magari nelle versioni "home" disabiliteranno pure la possibilità di fare altrimenti. Finché magari non arriverà lo stop da qualche ente regolamentatore.
[cancellato]
- Modificato
[cancellato] Ma io ti ho capito perfettamente, rileggi la mia risposta... Semplicemente è infattibile per latenze e perché non sfrutteresti le cache dei tuoi "vicini" avere un DNS ricorsivo in ogni macchina, e dover ogni volta partire dai root server.
Semplicemente hai chiesto ad un resolver cache-ricorsivo esterno di gestire la catena per te; il fatto che sia un sistema distribuito vale per l'organizzazione gerarchica di chi mette a disposizione le risorse, non necessariamente di chi ci va a far le query sopra.
edofullo Basterebbe che quelli che sviluppano i sistemi operativi implementino la funzione e magari ogni applicazione non farebbe per se.
E chi mi dice che non ci sia un tracking/data mining nel SO? Stesse considerazioni, solo che vai ogni volta a restringere il perimetro che consideri attendibile, fino ad arrivare al fatto che "ti fidi solo di te stesso". 
Ti ricordo la telemetria non disattivabile (ufficialmente) in Windows 10, tanto per dirne una.
Ci stanno già lavorando per Windows10 a quanto ho letto... dovrebbe utilizzare i DNS impostati provando dapprima in DoH o DoT, e solo poi in plain.
edofullo non si potrebbe fare in modo che le richieste vadano a un resolver scelto random ogni volta (o ogni n minuti) in una lista?
È esattamente per questo motivo che ne vai ad inserire più di uno nelle config, perché o si distribuisce il carico in round robin, o comunque ne hai uno "di scorta" quando uno va down.