Differenza DoH e DoT

fede00 · 2020-06-30T21:14:43+00:00

Buonasera, ho cercato questa domanda un pò sul web ma non ho trovato risposte molto esaurienti. Che differenza c'è tra il DNS over HTTPS e il DNS over TLS?

[cancellato]

edofullo L'ISP sa a chi assegna gli indirizzi... 😉
Senza contare tutti quelli con l'IP statico.

Ma alla fine se vogliono tracciarti fan prima con i cookie e gli ID pubblicitari sui dispositivi... son paranoie alla tinfoil hat oltre un certo punto...

edofullo

[cancellato] Oooops hai ragione, io ragionavo a livello di sito web, che non ci azzecca molto nel discorso

My bad 😉

[cancellato]

[cancellato] Continuo a sostenere che via IP ti tracciano lo stesso

In una richiesta DNS standard ci sono troppi pochi dati per tracciarti efficacemente (è un protocollo nato prima di Google), e fra NAT e IP che cambiano non è possibile identificare un utente che si sposta. Con HTTP sì, e non ti serve nemmeno l'IP. Il fingerprinting degli utenti non è una novità, lo fanno da un pezzo, tant'è che ci sono proposte per diminuire la quantità di dati che vengono inseriti in una richiesta HTTP - non ne faranno mai nulla finché considerano quei dati oro.

[cancellato] Gli utenti lasciano quello di default lo stesso, che tipicamente è il router che fa funzioni cache+forward a quello che il provider gli assegna via DHCP.

Però è molto più semplice cambiare i server DNS sul DHCP che dover utilizzare group policy o altre amenità per cambiare il provider DoH qua e là in ogni applicazione - sempreché sia modificabile.

[cancellato] n ogni caso per usare DoH ti serve comunque un DNS classico per risolvere l'IP del resolver

No, puoi averli embedded nel sistema operativo o applicazione. Ad esempio è quello che già fa MS per impedire di fare il sinkholing degli endpoint della telemetria da DNS o file host - che vengono bellamente ignorati. Del resto che DNS ti serve per risolvere 8.8.8.8 o 1.1.1.1? Nei certificati TLS puoi anche avere gli IP.

[cancellato] Dipende chi fa denuncia. Il GDPR "vince" per giurisdizione sul territorio europeo,

Sì, ma guarda la fatica che ha fatto Schrem per ottenere qualcosa. Certo, se si muove la Vestager magari qualcosa si ottiene. Poi comunque se negli USA fanno una richiesta tramite CLOUD Act non informano nemmeno lo Stato straniero dal quale arrivano i dati. L'unico che può fare opposizione è l'entità alla quale chiedono i dati. Certo, se e quando lo vieni a sapere puoi tentare di far causa al governo USA perché ha violato la GDPR. Auguri.

[cancellato] Ma alla fine se vogliono tracciarti fan prima con i cookie e gli ID pubblicitari sui dispositivi... son paranoie alla tinfoil hat oltre un certo punto...

Difatti devono a) evitare che blocchi gli endpoint che collezionano dati b) collezionare dati indipendetemente dall'endpoint di destinazione.

Supreme69

Mi avete aperto un mondo sui DNS😂

QRDG

Comunque su Fritz!OS beta, c'è la funzione, di DNS over TLS , ma non è esattamente, facilissima da usare.
Io l'ho testata ma si impasta da sola, ogni tot, per esempio oggi ho dovuto, levarla, perché all'improvviso si è impallato tutto, su tutti i device, e a random non va nulla, per esempio, non so perché ma con Sky in ogni casi DNS over TLS (almeno a me) lo manda in crisi, e non funziona più un cavolo.

[cancellato]

[cancellato] Con HTTP sì, e non ti serve nemmeno l'IP. Il fingerprinting degli utenti non è una novità, lo fanno da un pezzo, tant'è che ci sono proposte per diminuire la quantità di dati che vengono inseriti in una richiesta HTTP - non ne faranno mai nulla finché considerano quei dati oro.

L'hai nominato diverse volte oggi, ma hai dati per confermare queste ipotesi?
Domani se mi ricordo provo a catturare una richiesta DoH, ma stando a quel che trovo online (e alle RFC) di campi traccianti non ce ne sono...
Mentre l'IP di chi origina la richiesta c'è per forza (almeno, se vuoi sperare di avere una risposta...).

[cancellato] Nei certificati TLS puoi anche avere gli IP.

Tanti auguri a trovare una CA che te li emetta. Al massimo puoi inserire gli IP nelle estensioni SAN.

[cancellato]

[cancellato] Domani se mi ricordo provo a catturare una richiesta DoH, ma stando a quel che trovo online (e alle RFC) di campi traccianti non ce ne sono...

Non ti servono campi "traccianti" - ti serve un insieme sufficiente di campi tali da poter computare con un sufficiente grado di certezza un ID univoco della richiesta. Lo puoi fare a partire dallo user-agent e altri dati. Vedi ad esempio:

https://www.w3.org/TR/fingerprinting-guidance/
https://www.eff.org/deeplinks/2018/06/gdpr-and-browser-fingerprinting-how-it-changes-game-sneakiest-web-trackers

E il problema è esattamente quanti e quali dati un client mette nell'header HTTP oltre a quelli richiesti per la risoluzione del nome.

[cancellato] Tanti auguri a trovare una CA che te li emetta.

Basta che dimostri di avere il controllo degli IP (devi essere il "proprietario", non basta che te li assegnino staticamente). Pensi che per Google o Cloudflare sia un problema avere certificati con gli IP? Difatti il certificato per dns.google.com contiene anche gli IP.... controlla pure, se vuoi. Idem per 1.1.1.1 di Cloudflare.

Comunque tutto è nei Subject Alternative Names oggi, il vecchio campo "common name" è persino ignorato e se c'è solo quello il certificato viene persino considerato non corretto. Gli alternative names sono poi l'unico modo per avere più identificatori dello stesso host in un unico certificato.

[cancellato]

[cancellato] Non ti servono campi "traccianti" - ti serve un insieme sufficiente di campi tali da poter computare con un sufficiente grado di certezza un ID univoco della richiesta. Lo puoi fare a partire dallo user-agent e altri dati.

Sì ok tutto bello, peccato che da RFC citata prima quegli header non siano previsti.

[cancellato] Difatti il certificato per dns.google.com contiene anche gli IP

Google ha una sua CA intermedia, un qualunque altro "mister X" che voglia attivare un servizio simile deve penare un po' di più. Magari se sei grande e paghi molto è fattibile.

[cancellato]

[cancellato] Non ti servono campi "traccianti" - ti serve un insieme sufficiente di campi tali da poter computare con un sufficiente grado di certezza un ID univoco della richiesta. Lo puoi fare a partire dallo user-agent e altri dati.

Come promesso, ho attivato il DoH su Mozilla:

Ok, tu mi puoi dire che in questo caso si vede che è Mozilla. perché sono le config di default. Se vado a puntare verso i DNS di Quad9 con la configurazione manuale:

A voi le conclusioni.

[cancellato]

[cancellato] Sì ok tutto bello, peccato che da RFC citata prima quegli header non siano previsti.

LA RFC dettaglia solo i dati necessari per far funzionare la richiesta. Il problema è il resto - con HTTP c'è un enorme spazio disponibile, e per ora siamo solo all'inizio. Ma continuate pure a credere che vi mettano a disposizione servizi gratis su scala mondiale perché sono dei filantropi disinteressati.

[cancellato] Google ha una sua CA intermedia, un qualunque altro "mister X" che voglia attivare un servizio simile deve penare un po' di più.

Quello di Cloudflare è emesso da DigiCert. Comunque stai confermando che sono appunto avvantaggiate le grandi entità, che finiscono così per essere i pochi collettori centrali di una enorme quantità di dati.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile