Articolo creato il: 13 Luglio 2022

Quali DNS privati utilizzare?

L'ultimo aggiornamento di questo post è di 4 giorni fa

Dopo il nostro articolo sulle alternative ai DNS di Google abbiamo deciso, grazie anche al vostro suggerimento, di creare un articolo sui DNS privati consigliandovi quali utilizzare. Se non sapete di cosa stiamo parlando forse ricorderete di aver incontrato ogni tanto le sigle DoT oppure DoH che rispettivamente significano: DNS over TLS e DNS over HTTPS. Potreste anche aver sentito parlare di DoQ, un nuovo standard ancora sperimentale, che significa DNS over QUIC. Esiste infine anche il protocollo DNSCrypt, da utilizzare con programmi come Simple DNSCrypt.

Sono tutti protocolli che vi permettono di crittografare le richieste DNS e vengono spesso definiti DNS privati.

Brevissima spiegazione di cosa sono i DNS: prendiamo Wikileaks e citiamo: “un server DNS non è altro che un elenco telefonico che aiuta il tuo computer a trovare l’indirizzo del sito che volete visitare“. Ci sembra abbastanza chiaro, no? Grazie ai DNS sapete la via ed il numero civico del sito che volete visitare, così da trovarlo immediatamente senza problemi.

DNS privati

Bene, ora possiamo iniziare con il dire che tra tutti questi protocolli ad oggi non esiste un metodo migliore e condiviso da chiunque come standard d’eccellenza. Fanno tutti, sostanzialmente, la stessa ma la fanno in modo differente:

  • DoT sfrutta la porta 883
  • DoH utilizza la 443, la stessa impiegata per il traffico HTTPS.
  • DoQ è un terzo metodo che sfrutta un nuovo protocollo di rete chiamato appunto QUIC e considerato il successore di DoH 1. È un protocollo presentato da Google 2 e mira a risolvere alcuni problemi dell’utilizzo della porta HTTPS per i DNS tra cui: tracciamento con ETag e maggiore Fingerprinting 3.

Su Android, dalla versione 9, è possibile utilizzare facilmente DoT (e dalla versione 13 si potrà usare anche DoH 4), su Apple viene scaricato generalmente un profilo di configurazione per il protocollo DoH. Sui Browser invece è possibile utilizzare con semplicità DoH.

Il nomignolo che gli è stato affibbiato in italiano, ovvero DNS privati, può trarre in inganno: l’idea che una persona può farsi sentendo la parola “privati” è che si è in qualche modo invisibili. In realtà i DNS privati non esistono per questo motivo.

Secondo madaidan, un ricercatore di sicurezza, per esempio utilizzare i DNS privati non dà grossi vantaggi di sicurezza. Aiuterà principalmente a eludere sistemi di censura rudimentali che si basano interamente sul blocco dei DNS.

Meglio usare DNS crittografati

Non stiamo dicendo che sono inutili, ed è sicuramente meglio usarli che non farlo visto che possono essere un discreto strumento di prevenzione nei confronti di attacchi man in the middle 5.

Tuttavia è importante capire che I DNS privati non vi rendono in qualche modo invisibili 6 e il vostro provider, per esempio, può ancora conoscere i siti che visitate: l’unico modo per evitarlo è utilizzare una VPN o Tor.

Se volete approfondire l’argomento vi consigliamo alcuni link interessanti:

Come utilizzare i DNS privati?

Non vogliamo fare una guida passo-passo su come utilizzare i DNS privati principalmente perché ogni provider rilascia sempre le proprie guide su come utilizzare al meglio i suoi DNS. Proviamo a semplificare un minimo dicendo:

  • Android: se avete Android 9 o superiore vi basterà andare in impostazioni/rete e da lì cercare DNS privato e mettere l’indirizzo DoT che desiderate. Se invece avete uno smartphone con una versione precedente di Android dovrete usare un’app dedicata come personalDNSfilter oppure anche AdGuard. Esiste anche Nebulo che però non viene aggiornato da molto tempo. C’è, infine, anche Intra che è Open source 7 ma è sviluppata da Google.
  • Windows: su Windows potete utilizzare Stubby, YogaDNS oppure sempre AdGuard. In alternativa potete utilizzare anche Portmaster (di cui parleremo più avanti) che vi permette anche di sapere cosa e come state bloccando.
  • Apple: sui dispositivi Apple dovrete scaricare un profilo di configurazione. Su macOS e iOS potete anche usare DNSecure. Sugli smartphone esiste DNSCloak 8. Oppure sempre AdGuard, anche per iOS.

Quali DNS privati utilizzare?

Dopo questa piccola, ma doverosa, premessa vi segnaliamo quelli che sono per noi i DNS privati più interessanti. Molti di quelli che vi proporremo possono anche essere utilizzati per bloccare pubblicità o come controllo parentale.

I DNS per bloccare pubblicità e traccianti

Difatti una delle caratteristiche di alcuni DNS, di cui abbiamo parlato poco anche in passato, è la possibilità di bloccare statistiche e pubblicità proprio come un AdBlock. A differenza di software come uBlock Origin, che funzionano solamente su Browser, il blocco dei traccianti a livello di DNS funziona sull’intero computer o smartphone.

La cosa più interessante, inoltre, è che le due cose sono spesso e volentieri compatibili. Potete dunque continuare a utilizzare uBlock Origin, oppure Brave, e aggiungere un DNS che blocca anche le pubblicità e i traccianti per una maggiore protezione. Questo perché il blocco delle pubblicità via DNS può non funzionare a dovere su alcuni elementi come, per esempio, le pubblicità di YouTube 9 10.

Nulla vi vieta di aggiungere anche una terza tipologia di blocco con VPN locali come ad esempio TrackerControl e DuckDuckGo per Android oppure AdGuard (multi-piattaforma) e Portmaster per desktop. In questo caso potreste avere qualche problema di incompatibilità, ma generalmente funziona tutto a dovere.

Le liste di filtraggio da usare e alcuni test

Per quanto riguarda i DNS che vi permettono di scegliere le liste di filtraggio noi suggeriamo di attivare soltanto queste due:

  • OISD (una sorta di lista “perfetta” dove il suo scopo principale è quello di bloccare traccianti senza rompere siti).
  • in alternativa a OISD potete utilizzare la lista HaGeZi dove anche nella versione PRO++ non rompe quasi nulla.
  • 1Hosts (Lite)

Con un po’ di prove e di test abbiamo notato che con queste due liste si bloccano davvero molte cose fastidiose e soprattutto non si rompe quasi nessun sito. Ovviamente potete provare ad aggiungere tutte le liste che preferite tenendo sempre conto che più cose bloccate più è possibile che qualche sito/applicazione non vi funzioni a dovere.

Cerchiamo di spiegarci meglio con qualche esempio: se facciamo il test di d3ward online (uno dei più interessanti per capire quanto bloccano le nostre protezioni) su Mozilla Firefox togliendo uBlock Origin, le protezioni antitracciamento di Firefox e lasciando soltanto i DNS di AdGuard personalizzati e le due liste di cui sopra otteniamo il 98%.

Nel momento in cui attiviamo anche la protezione antitracciamento restrittiva arriviamo al 99%. Aggiungendo anche uBlock Origin arriviamo al 100%.

Anche se queste sono solo percentuali che in fondo vogliono dire molto poco, ci aiutano a capire quanto può essere utile e interessante utilizzare i DNS con i filtri antitracciamento.

Un ultimissimo suggerimento è l’inserimento, quando possibile, di questi due domini in blacklist:

  • graph.facebook.com (ma solo se non usate l’applicazione ufficiale di Facebook 11)
  • api2.branch.io (che comunque dovrebbe essere già presente nella lista 1Hosts (Lite))

Quali DNS privati utilizzare? Ecco i nostri suggerimenti

Inseriremo soltanto il link delle pagine ufficiali dove troverete le istruzioni per settare correttamente i DNS aggiornati. Non li scriveremo qui dentro per evitare che diventano obsoleti rischiando di dare informazioni inesatte.

NextDNS

Azienda indipendente e statunitense 12
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
possibilità di bloccare traccianti e pubblicità
non tengono alcun log (a meno che non chiesto da voi)

Probabilmente una delle migliori scelte soprattutto se avete anche intenzione di utilizzare alcune delle sue caratteristiche come il blocco della pubblicità e dei traccianti. NextDNS è stato fondato da Romain Cointepas (Dailymotion) e Olivier Poitrey (Netflix e Dailymotion). È un’azienda che fino ad oggi si è contraddistinta per trasparenza e sicurezza. È possibile utilizzare i protocolli DoH, DoT e anche DoQ. Si possono creare svariati profili ognuno con un proprio ID univoco (da impostare poi come server DNS) e permette di avere decine di filtri sia preimpostati che personalizzati. Potete bloccare anche siti web, intere categorie di siti oppure determinate applicazioni. È possibile tenere traccia dei log (localizzandoli in Europa o in Svizzera) oppure decidere di non tenere traccia di nulla.

È gratuito fino alle 300.000 richieste mensili, successivamente si paga circa 20€ l’anno.

A questo link trovate una guida in inglese da parte di Techlore: YouTube / Piped.

Tra le note negative c’è l’interfaccia decisamente fin troppo semplice e basilare dove non sono possibili alcune caratteristiche come per esempio bloccare o sbloccare domini direttamente dai log.

AdGuard

Azienda indipendente cipriota, fondata a Mosca ma attualmente senza server in Russia 13 e con sede legale a Cipro.
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
possibilità di bloccare traccianti e pubblicità

Un’ottima compagnia che propone diverse soluzioni per bloccare traccianti, pubblicità e statistiche varie. Tra le varie opzioni offre anche i DNS privati in versione semplice e pubblici ovvero con dei filtri preimpostati che trovate a questo indirizzo.

In alternativa potete provare la versione beta dei loro DNS personalizzati, in stile NextDNS, a questo indirizzo.

Per impostarli potete provare a utilizzare anche la loro applicazione, una VPN locale che permette di bloccare traccianti e statistiche e permette anche di bloccare le connessioni di singole applicazioni (come Netguard). Alcuni log di analisi vengono sempre registrati 14 e a differenza di NextDNS non è possibile decidere in quale regione siano localizzati.

Nonostante la versione DNS personalizzati sia ancora in beta, il pannello di gestione è davvero completo (seppur non esente da bug) e decisamente ben costruito e intuitivo.

AdGuard, infine, utilizza la CDN di Cloudflare per la maggior parte dei suoi servizi 15. Utilizzando i suoi DNS si può vedere che vengono contattati anche i DNS di Cloudflare e di Google 16. Abbiamo chiesto lumi all’assistenza che ci ha risposto in questo modo:

AdGuard DNS servers are recursive ones; they’re trying to resolve requests from the cache, and when they can’t do so, they reach out to other trusted public DNS servers, which are Google and Cloudflare, and cache the response for further use. We communicate with upstream servers on behalf of AdGuard DNS, not the actual user, so this is 100% safe.

Ovvero, i server DNS di AdGuard sono ricorsivi: cercano di risolvere le richieste dalla cache e quando non ci riescono si rivolgono a Cloudflare e Google memorizzando la risposta nella cache per il prossimo utilizzo. Comunichiamo con i server upstream per conto di AdGuard DNS, non per conto dell’utente reale. Nessun problema dunque teoricamente per quel che riguarda privacy o sicurezza ma se per motivi etici non volete in alcun modo utilizzare Cloudflare è giusto che ne siate a conoscenza.

Attenzione: se volete scaricare l’applicazione di AdGuard non dovete cercarla né sul Play Store né su F-Droid. Scaricate solo l’applicazione APK che trovate sul loro sito nei link qui di seguito!

dns0.eu

server in Europa

I due fondatori di NextDNS sono partiti con un altro nuovo, entusiasmante, progetto. Hanno fondato dns.0eu, una fondazione non profit francese e offrono un nuovo DNS pubblico completamente gratuito e libero da utilizzare. È disponibile in tre versioni: aperti, dove non viene bloccato nulla. semplici, dove vengono bloccati siti pericolosi grazie a un sistema di intelligenza artificiale. Zero, dove vengono bloccati principalmente soltanto malware e spyware. Infine sono disponibili nella versione Kids, con blocco del porno, della pirateria, dei siti o delle applicazioni di dating e con il blocco dei risultati espliciti nelle ricerche oltre che il blocco pubblicitario (perché i bambini NON devono essere il bersaglio delle campagne pubblicitarie).

Sono molto veloci, sono europei e l’esperienza di NextDNS fa tutto il resto.

LibreDNS

Collettivo indipendente
possibilità di bloccare traccianti e pubblicità con DNS differenti
non tengono alcun log

Un’altra interessante alternativa che funziona bene è LibreDNS gestita dal collettivo che gestisce LibreOps (che offre altri servizi oltre ai DNS privati). È possibile utilizzare dei DNS base, senza alcun blocco, oppure usare i DNS con il blocco dei traccianti che utilizza queste liste.

Si possono utilizzare in DoH e DoT, sono completamente gratuiti (vivono di donazioni) e non tengono alcun log.

AhaDNS

No profit europea
possibilità di bloccare traccianti e pubblicità con liste predefinite e configurabili solo in DoH
non tengono alcun log

A differenza delle precedenti questa è una no profit europea che vive esclusivamente grazie alle donazioni. È possibile utilizzare una lista predefinita e configurabile (solo per DoH) per bloccare traccianti e statistiche in base alle vostre preferenze. Tuttavia non è possibile personalizzare ulteriormente le connessioni come con NextDNS.

Se non avete bisogno/necessità di avere log e statistiche e non volete affidarvi ad aziende allora questa è l’opzione migliore per voi. Tenete anche in considerazione che AhaDNS è gestita da una sola persona 17 e l’uptime dei vari server è è molto alto: 99.9786% Overall Uptime.

Quad9

No profit svizzera
i loro DNS bloccano solo malware e non pubblicità

Anche Quad9 è un no profit, in questo caso svizzera, seria e molto affidabile. Ricordiamo infatti che quando si parla di provider DNS la fiducia è una condizione assolutamente indispensabile. Anche loro vivono attraverso donazioni e offrono DoT, DoH oppure DNSCrypt pubblici che potete utilizzare liberamente.

I loro DNS bloccano automaticamente malware senza possibilità di personalizzazioni. Tengono qualche log per migliorare il servizio 18.

CONTROL D

Azienda indipendente canadese, già creatori della VPN Windscribe
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
possibilità di bloccare traccianti e pubblicità

Se vi piace l’idea di personalizzare i DNS e di utilizzarli per bloccare traccianti e pubblicità allora potreste essere interessanti anche a CONTROL D. Offrono un buon servizio e non tengono alcun log. Le personalizzazioni sono un po’ carenti se paragonate a quelle di NextDNS e AdGuard DNS, tuttavia offrono un interessante servizio simile alle VPN per far finta di essere in altre località.

La versione personalizzata è a pagamento, in alternativa potete utilizzare i loro server DNS gratuiti con dei “pacchetti” di blocco preimpostati per proteggervi da malware, pubblicità e traccianti.

Mullvad DNS

Azienda indipendente svedese
possibilità di bloccare traccianti e pubblicità con liste predefinite
non tengono alcun log

Non tutti ne sono a conoscenza ma Mullvad, una delle migliori e più affidabili VPN in assoluto, offre dei server DNS gratuiti da poter utilizzare. Non tengono alcun log ed esistono in diverse versioni:

– senza alcun blocco
– con blocco pubblicitario
– con blocco pubblicitario e malware
– con blocco pubblicitario, malware e social media
– con blocco pubblicitario, malware, social media, porno e siti di scommesse

RethinkDNS

Azienda indipendente indiana e finanziata dal programma MVP di Mozilla
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
non tengono alcun log (a meno che non chiesto da voi)

Una volta conosciuti come BraveDNS (hanno poi cambiato nome e non c’entrano nulla con il Browser Brave) sono un buon provider DNS con la possibilità di creare DNS personalizzati scegliendo le vostre liste. Attualmente è gratuito ma da agosto 2022 inizieranno i piani a pagamento. Fa parte del programma MVP di Mozilla 19.

I log sono crittografati su server AWS (Amazon) negli Stati Uniti e non c’è modo, ad oggi, di modificare questa cosa 20. I log vengono tenuti solo per gli utenti a pagamento che ne fanno richiesta, altrimenti non viene tenuto nulla.

DeCloudUs

No profit con server europei
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
non tengono alcun log

Se il vostro obiettivo è eliminare del tutto Google e compagnia dalla vostra navigazione, DeClousUS è sicuramente il servizio che fa per voi. Nella loro versione gratuita infatti viene bloccata qualsiasi connessione verso Google e altri Big Tech: attenzione dunque perché vi si romperanno, purtroppo, moltissimi siti!

In alternativa potete utilizzare la versione premium per personalizzare i DNS come meglio preferite. Per l’iscrizione non viene chiesto altro che un indirizzo email ed è possibile pagare anche con criptomonete.

Abbiamo provato la versione Premium constatando che purtroppo non permette di applicare liste famose (come OISD) dunque è purtroppo un po’ meno adatta all’uso quotidiano perché i suoi filtri sono tutti eccessivamente restrittivi.

Applied Privacy

No profit austriaca
solo DNS, nessun blocco pubblicitario

Un’altra no profit che promuove il software libero e che permette di utilizzare DNS over TLS oppure DNS over HTTPS.

OpenNIC

No profit storica alternativa all’ICANN
solo DNS, nessun blocco pubblicitario

Anche la storica OpenNIC offre anche DNS privati. Per controllare quali sono i server DoH, DoT utilizzate questa pagina. Ha anche qualche (pochi) server DNSCrypt. Potete anche selezionare solo server europei.

UncensoredDNS

No profit danese
solo DNS, nessun blocco pubblicitario

Server DNS gestiti da una sola persona che che ne permette l’utilizzo senza alcun costo. Offre due server DNS senza alcuna possibilità di impostazione né alcuna censura dei siti.

Cloudflare

Azienda statunitense
possibilità di usare DNS per bloccare solo malware e siti per adulti

Cloudflare è sicuramente veloce e affidabile ma è a tutti gli effetti un’azienda gigantesca con un enorme potere. Ha ottenuto finanziamento da Google, Microsoft e Baidu 21 e secondo noi non è proprio quella che può essere considerata un’alternativa etica. La inseriamo principalmente perché è troppo grande per essere ignorata.

Le soluzioni Self-hosting

Non meno importanti sono le soluzioni in Self-hosting. Come sempre non ci dilungheremo su queste perché Le Alternative non vuole essere un blog tecnico ma alla portata di chiunque. Se avete voglia di leggere e scoprire nuove cose potete creare “il vostro server DNS” casalingo dove mettere le liste che volete. Si utilizzano localmente quindi sono utili anche e soprattutto per gli accessori che rimangono sempre in casa come le Smart TV oppure alcuni IoT.

  • Pi-hole, probabilmente l’alternativa più famose di tutte. Installabile facilmente su un Raspberry Pi e facilmente configurabile.
  1. DNS-over-QUIC, cos’è e come funziona il successore di DoH[]
  2. QUIC su Wikipedia[]
  3. Why not DNS-over-HTTPS[]
  4. Su Android 13 verrà finalmente aggiunto il supporto nativo ai DNS su HTTPS[]
  5. https://steemit.com/introduceyourself/@zero-day/google-public-dns-currently-add-support-to-dns-over-tls[]
  6. Encrypted DNS does prevent someone monitoring your traffic from seeing what domain you looked up via DNS, but this doesn’t really matter since there are so many other ways to get that exact same information anyway[]
  7. codice sorgente di Intra[]
  8. codice sorgente di DNSCloak[]
  9. How to block ads on YouTube: quick insight and things to know[]
  10. How do I block ads on YouTube?[]
  11. GoodbyeAds – W🌎rld of Ads Free Internet[]
  12. Who is behind NextDNS?[]
  13. Official response from AdGuard to SetApp allegations[]
  14. AdGuard Privacy Policy[]
  15. AdGuard | Cloudflare[]
  16. Screenshot utilizzando i DNS di AdGuard[]
  17. Who is behind AhaDNS?[]
  18. Data and Privacy Policy[]
  19. Mozilla Builders Fix The Internet Showcase[]
  20. Where are user DNS logs stored?[]
  21. CloudFlare Locks Down $110M From Fidelity, Microsoft, Google, Baidu And Qualcomm[]
  22. codice sorgente di AdGuard Home[]

Unisciti alle comunità


Se hai trovato errori nell'articolo puoi segnalarli cliccando qui, grazie!

Di skariko

Autore ed amministratore del progetto web Le Alternative

Commenti

Ad ogni articolo corrisponde un post su Feddit dove è possibile commentare! ✍️ Clicca qui per commentare questo articolo ✍️

Feddit è l’alternativa italiana a Reddit gestita da noi, basata sul software Lemmy, uno dei progetti più interessanti del fediverso.

Leggi anche:

  1. Frost for Facebook Cercate una alternativa alla app di Facebook per Android? Frost...
  2. Alternative ad Eventbrite Alla scoperta di alternative ad Eventbrite. È un servizio di...
  3. Alternative ad AirBnb Siete alla ricerca di alternative ad AirBnb per qualunque motivo?...