TROVI ANCHE IL NOSTRO GRUPPO TELEGRAM 💬

Quali DNS privati utilizzare?

Aggiornato il: 9 Settembre, 2022

Dopo il nostro articolo sulle alternative ai DNS di Google abbiamo deciso, grazie anche al vostro suggerimento, di creare un articolo sui DNS privati consigliandovi quali utilizzare. Se non sapete di cosa stiamo parlando forse ricorderete di aver incontrato ogni tanto le sigle DoT oppure DoH che rispettivamente significano: DNS over TLS e DNS over HTTPS. Potreste anche aver sentito parlare di DoQ, un nuovo standard ancora sperimentale, che significa DNS over QUIC. Esiste infine anche il protocollo DNSCrypt, da utilizzare con programmi come Simple DNSCrypt.

Sono tutti protocolli che vi permettono di crittografare le richieste DNS e vengono spesso definiti DNS privati.

Brevissima spiegazione di cosa sono i DNS: prendiamo Wikileaks e citiamo: “un server DNS non è altro che un elenco telefonico che aiuta il tuo computer a trovare l’indirizzo del sito che volete visitare“. Ci sembra abbastanza chiaro, no? Grazie ai DNS sapete la via ed il numero civico del sito che volete visitare, così da trovarlo immediatamente senza problemi.

DNS privati

Bene, ora possiamo iniziare con il dire che tra tutti questi protocolli ad oggi non esiste un metodo migliore e condiviso da chiunque come standard d’eccellenza. Fanno tutti, sostanzialmente, la stessa ma la fanno in modo differente:

  • DoT sfrutta la porta 883
  • DoH utilizza la 443, la stessa impiegata per il traffico HTTPS.
  • DoQ è un terzo metodo che sfrutta un nuovo protocollo di rete chiamato appunto QUIC e considerato il successore di DoH 1. È un protocollo presentato da Google 2 e mira a risolvere alcuni problemi dell’utilizzo della porta HTTPS per i DNS tra cui: tracciamento con ETag e maggiore fingerprinting 3.

Su Android, dalla versione 9, è possibile utilizzare facilmente DoT (e dalla versione 13 si potrà usare anche DoH 4), su Apple viene scaricato generalmente un profilo di configurazione per il protocollo DoH. Sui browserBrowser Ultimamente, con Google che fa di tutto e di più, c’è un po’ di confusione. Il browser è il programma che utilizzate per navigare su internet. Può essere Google ChromeFirefoxBraveEdgeSafariDuckDuckGo Browser e via dicendo. Il motore di ricerca è un’altra cosa. invece è possibile utilizzare con semplicità DoH.

Il nomignolo che gli è stato affibbiato in italiano, ovvero DNS privati, può trarre in inganno: l’idea che una persona può farsi sentendo la parola “privati” è che si è in qualche modo invisibili. In realtà i DNS privati non esistono per questo motivo.

Secondo madaidan, un ricercatore di sicurezza, per esempio utilizzare i DNS privati non dà grossi vantaggi di sicurezza. Aiuterà principalmente a eludere sistemi di censura rudimentali che si basano interamente sul blocco dei DNS.

Meglio usare DNS crittografati

Non stiamo dicendo che sono inutili, ed è sicuramente meglio usarli che non farlo visto che possono essere un discreto strumento di prevenzione nei confronti di attacchi man in the middle 5.

Tuttavia è importante capire che I DNS privati non vi rendono in qualche modo invisibili 6 e il vostro provider, per esempio, può ancora conoscere i siti che visitate: l’unico modo per evitarlo è utilizzare una VPN o Tor.

Se volete approfondire l’argomento vi consigliamo alcuni link interessanti:

Come utilizzare i DNS privati?

Non vogliamo fare una guida passo-passo su come utilizzare i DNS privati principalmente perché ogni provider rilascia sempre le proprie guide su come utilizzare al meglio i suoi DNS. Proviamo a semplificare un minimo dicendo:

  • Android: se avete Android 9 o superiore vi basterà andare in impostazioni/rete e da lì cercare DNS privato e mettere l’indirizzo DoT che desiderate. Se invece avete uno smartphone con una versione precedente di Android dovrete usare un’app dedicata come personalDNSfilter oppure anche AdGuard. Esiste anche Nebulo che però non viene aggiornato da molto tempo. C’è, infine, anche Intra che è open sourceOpen source (open source vuol dire che il codice sorgente è accessibile a tutti e chiunque può vedere cosa c’è dentro. Leggi anche Software Libero.) 7 ma è sviluppata da Google.
  • Windows: su Windows potete utilizzare Stubby, YogaDNS oppure sempre AdGuard. In alternativa potete utilizzare anche Portmaster (di cui parleremo più avanti) che vi permette anche di sapere cosa e come state bloccando.
  • Apple: sui dispositivi Apple dovrete scaricare un profilo di configurazione. Su macOS e iOS potete anche usare DNSecure. Sugli smartphone esiste DNSCloak 8. Oppure sempre AdGuard, anche per iOS.

Quali DNS privati utilizzare?

Dopo questa piccola, ma doverosa, premessa vi segnaliamo quelli che sono per noi i DNS privati più interessanti. Molti di quelli che vi proporremo possono anche essere utilizzati per bloccare pubblicità o come controllo parentale.

I DNS per bloccare pubblicità e tracciantiTracker Oltre ai cookie ci sono tanti altri metodi per tracciare il profilo di una persona da parte, ad esempio, dei social network. Il web ne è, purtroppo, disseminato. Maggiori dettagli su Mozilla.

Difatti una delle caratteristiche di alcuni DNS, di cui abbiamo parlato poco anche in passato, è la possibilità di bloccare statistiche e pubblicità proprio come un adblockAdBlock Un programma, un’estensione per browser o un’applicazione per smartphone (ma anche dei DNS come abbiamo visto) che blocca le pubblicità.. A differenza di software come uBlock Origin, che funzionano solamente su browser, il blocco dei traccianti a livello di DNS funziona sull’intero computer o smartphone.

La cosa più interessante, inoltre, è che le due cose sono spesso e volentieri compatibili. Potete dunque continuare a utilizzare uBlock Origin, oppure Brave, e aggiungere un DNS che blocca anche le pubblicità e i traccianti per una maggiore protezione. Questo perché il blocco delle pubblicità via DNS può non funzionare a dovere su alcuni elementi come, per esempio, le pubblicità di YouTube 9 10.

Nulla vi vieta di aggiungere anche una terza tipologia di blocco con VPN locali come ad esempio TrackerControl e DuckDuckGo per Android oppure AdGuard (multi-piattaforma) e Portmaster per desktop. In questo caso potreste avere qualche problema di incompatibilità, ma generalmente funziona tutto a dovere.

Le liste di filtraggio da usare e alcuni test

Per quanto riguarda i DNS che vi permettono di scegliere le liste di filtraggio noi suggeriamo di attivare soltanto queste due:

  • OISD (una sorta di lista “perfetta” dove il suo scopo principale è quello di bloccare traccianti senza rompere siti).
  • 1Hosts (Lite)

Con un po’ di prove e di test abbiamo notato che con queste due liste si bloccano davvero molte cose fastidiose e soprattutto non si rompe quasi nessun sito. Ovviamente potete provare ad aggiungere tutte le liste che preferite tenendo sempre conto che più cose bloccate più è possibile che qualche sito/applicazione non vi funzioni a dovere.

Cerchiamo di spiegarci meglio con qualche esempio: se facciamo il test di d3ward online (uno dei più interessanti per capire quanto bloccano le nostre protezioni) su Mozilla Firefox togliendo uBlock Origin, le protezioni antitracciamento di Firefox e lasciando soltanto i DNS di AdGuard personalizzati e le due liste di cui sopra otteniamo il 98%.

Nel momento in cui attiviamo anche la protezione antitracciamento restrittiva arriviamo al 99%. Aggiungendo anche uBlock Origin arriviamo al 100%.

Anche se queste sono solo percentuali che in fondo vogliono dire molto poco, ci aiutano a capire quanto può essere utile e interessante utilizzare i DNS con i filtri antitracciamento.

Un ultimissimo suggerimento è l’inserimento, quando possibile, di questi due domini in blacklist:

  • graph.facebook.com (ma solo se non usate l’applicazione ufficiale di Facebook 11)
  • api2.branch.io (che comunque dovrebbe essere già presente nella lista 1Hosts (Lite))

Quali DNS privati utilizzare? Ecco i nostri suggerimenti

Inseriremo soltanto il link delle pagine ufficiali dove troverete le istruzioni per settare correttamente i DNS aggiornati. Non li scriveremo qui dentro per evitare che diventano obsoleti rischiando di dare informazioni inesatte.

NextDNS

Azienda indipendente e statunitense 12
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
possibilità di bloccare traccianti e pubblicità
non tengono alcun log (a meno che non chiesto da voi)

Probabilmente una delle migliori scelte soprattutto se avete anche intenzione di utilizzare alcune delle sue caratteristiche come il blocco della pubblicità e dei traccianti. NextDNS è stato fondato da Romain Cointepas (Dailymotion) e Olivier Poitrey (Netflix e Dailymotion). È un’azienda che fino ad oggi si è contraddistinta per trasparenza e sicurezza. È possibile utilizzare i protocolli DoH, DoT e anche DoQ. Si possono creare svariati profili ognuno con un proprio ID univoco (da impostare poi come server DNS) e permette di avere decine di filtri sia preimpostati che personalizzati. Potete bloccare anche siti web, intere categorie di siti oppure determinate applicazioni. È possibile tenere traccia dei log (localizzandoli in Europa o in Svizzera) oppure decidere di non tenere traccia di nulla.

È gratuito fino alle 300.000 richieste mensili, successivamente si paga circa 20€ l’anno.

Tra le note negative c’è l’interfaccia decisamente fin troppo semplice e basilare dove non sono possibili alcune caratteristiche come per esempio bloccare o sbloccare domini direttamente dai log.

AdGuard

Azienda indipendente cipriota, fondata a Mosca ma attualmente senza server in Russia 13 e con sede legale a Cipro.
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
possibilità di bloccare traccianti e pubblicità

Un’ottima compagnia che propone diverse soluzioni per bloccare traccianti, pubblicità e statistiche varie. Tra le varie opzioni offre anche i DNS privati in versione semplice e pubblici ovvero con dei filtri preimpostati che trovate a questo indirizzo.

In alternativa potete provare la versione beta dei loro DNS personalizzati, in stile NextDNS, a questo indirizzo.

Per impostarli potete provare a utilizzare anche la loro applicazione, una VPN locale che permette di bloccare traccianti e statistiche e permette anche di bloccare le connessioni di singole applicazioni (come Netguard). Alcuni log di analisi vengono sempre registrati 14 e a differenza di NextDNS non è possibile decidere in quale regione siano localizzati.

Nonostante la versione DNS personalizzati sia ancora in beta, il pannello di gestione è davvero completo (seppur non esente da bug) e decisamente ben costruito e intuitivo.

AdGuard, infine, utilizza la CDN di Cloudflare per la maggior parte dei suoi servizi 15. Utilizzando i suoi DNS si può vedere che vengono contattati anche i DNS di Cloudflare e di Google 16. Abbiamo chiesto lumi all’assistenza che ci ha risposto in questo modo:

AdGuard DNS servers are recursive ones; they’re trying to resolve requests from the cache, and when they can’t do so, they reach out to other trusted public DNS servers, which are Google and Cloudflare, and cache the response for further use. We communicate with upstream servers on behalf of AdGuard DNS, not the actual user, so this is 100% safe.

Ovvero, i server DNS di AdGuard sono ricorsivi: cercano di risolvere le richieste dalla cache e quando non ci riescono si rivolgono a Cloudflare e Google memorizzando la risposta nella cache per il prossimo utilizzo. Comunichiamo con i server upstream per conto di AdGuard DNS, non per conto dell’utente reale. Nessun problema dunque teoricamente per quel che riguarda privacy o sicurezza ma se per motivi etici non volete in alcun modo utilizzare Cloudflare è giusto che ne siate a conoscenza.

Attenzione: se volete scaricare l’applicazione di AdGuard non dovete cercarla né sul Play Store né su F-DroidF-Droid È lo store di cui parliamo più spesso, è come il Play Store di Google ma contiene solo ed esclusivamente applicazioni open source. Installarlo è altrettanto semplice: andate su f-droid.org dal vostro cellulare. Cliccate su “SCARICA F-DROID“. Vi scaricherà un file .apk. Non preoccupatevi, è l’estensione standard di tutte le applicazioni. Cliccate sopra questo file e installatelo. Potrebbe chiedervi di consentire l’installazione da app da fonti esterne perché di suo Android non vuole che utilizzate qualcosa di diverso dal Play Store. Autorizzate e avrete installato F-Droid sul vostro cellulare!. Scaricate solo l’applicazione APK che trovate sul loro sito nei link qui di seguito!

AhaDNS

No profit europea
possibilità di bloccare traccianti e pubblicità con liste predefinite e configurabili solo in DoH
non tengono alcun log

A differenza delle precedenti questa è una no profit europea che vive esclusivamente grazie alle donazioni. È possibile utilizzare una lista predefinita e configurabile (solo per DoH) per bloccare traccianti e statistiche in base alle vostre preferenze. Tuttavia non è possibile personalizzare ulteriormente le connessioni come con NextDNS.

Se non avete bisogno/necessità di avere log e statistiche e non volete affidarvi ad aziende allora questa è l’opzione migliore per voi. Tenete anche in considerazione che AhaDNS è gestita da una sola persona 17 e l’uptime dei vari server è è molto alto: 99.9786% Overall Uptime.

Quad9

No profit svizzera
i loro DNS bloccano solo malware e non pubblicità

Anche Quad9 è un no profit, in questo caso svizzera, seria e molto affidabile. Ricordiamo infatti che quando si parla di provider DNS la fiducia è una condizione assolutamente indispensabile. Anche loro vivono attraverso donazioni e offrono DoT, DoH oppure DNSCrypt pubblici che potete utilizzare liberamente.

I loro DNS bloccano automaticamente malware senza possibilità di personalizzazioni. Tengono qualche log per migliorare il servizio 18.

CONTROL D

Azienda indipendente canadese, già creatori della VPN Windscribe
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
possibilità di bloccare traccianti e pubblicità

Se vi piace l’idea di personalizzare i DNS e di utilizzarli per bloccare traccianti e pubblicità allora potreste essere interessanti anche a CONTROL D. Offrono un buon servizio e non tengono alcun log. Le personalizzazioni sono un po’ carenti se paragonate a quelle di NextDNS e AdGuard DNS, tuttavia offrono un interessante servizio simile alle VPN per far finta di essere in altre località.

La versione personalizzata è a pagamento, in alternativa potete utilizzare i loro server DNS gratuiti con dei “pacchetti” di blocco preimpostati per proteggervi da malware, pubblicità e traccianti.

Mullvad DNS

Azienda indipendente svedese
possibilità di bloccare traccianti e pubblicità con liste predefinite
non tengono alcun log

Non tutti ne sono a conoscenza ma Mullvad, una delle migliori e più affidabili VPN in assoluto, offre dei server DNS gratuiti da poter utilizzare. Non tengono alcun log ed esistono in due versioni differenti: senza alcun tipo di blocchi e con il blocco dei traccianti e delle pubblicità.

RethinkDNS

Azienda indipendente indiana e finanziata dal programma MVP di Mozilla
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
non tengono alcun log (a meno che non chiesto da voi)

Una volta conosciuti come BraveDNS (hanno poi cambiato nome e non c’entrano nulla con il browser Brave) sono un buon provider DNS con la possibilità di creare DNS personalizzati scegliendo le vostre liste. Attualmente è gratuito ma da agosto 2022 inizieranno i piani a pagamento. Fa parte del programma MVP di Mozilla 19.

I log sono crittografati su server AWS (Amazon) negli Stati Uniti e non c’è modo, ad oggi, di modificare questa cosa 20. I log vengono tenuti solo per gli utenti a pagamento che ne fanno richiesta, altrimenti non viene tenuto nulla.

DeCloudUs

No profit con server europei
possibilità di personalizzare i DNS con liste, filtri, whitelist e blacklist
non tengono alcun log

Se il vostro obiettivo è eliminare del tutto Google e compagnia dalla vostra navigazione, DeClousUS è sicuramente il servizio che fa per voi. Nella loro versione gratuita infatti viene bloccata qualsiasi connessione verso Google e altri Big Tech: attenzione dunque perché vi si romperanno, purtroppo, moltissimi siti!

In alternativa potete utilizzare la versione premium per personalizzare i DNS come meglio preferite. Per l’iscrizione non viene chiesto altro che un indirizzo email ed è possibile pagare anche con criptomonete.

Abbiamo provato la versione Premium constatando che purtroppo non permette di applicare liste famose (come OISD) dunque è purtroppo un po’ meno adatta all’uso quotidiano perché i suoi filtri sono tutti eccessivamente restrittivi.

Applied Privacy

No profit austriaca
solo DNS, nessun blocco pubblicitario

Un’altra no profit che promuove il software liberoFOSS Significa Free and Open Source Software. Con l’aggiunta di “Free as in freedom”, cioè libero come libertà (e non come gratis). È una differenza importante, l’idea di fondo è che si paga il programmatore, non il programma. Vedi anche Software Libero. e che permette di utilizzare DNS over TLS oppure DNS over HTTPS.

OpenNIC

No profit storica alternativa all’ICANN
solo DNS, nessun blocco pubblicitario

Anche la storica OpenNIC offre anche DNS privati. Per controllare quali sono i server DoH, DoT utilizzate questa pagina. Ha anche qualche (pochi) server DNSCrypt. Potete anche selezionare solo server europei.

UncensoredDNS

No profit danese
solo DNS, nessun blocco pubblicitario

Server DNS gestiti da una sola persona che che ne permette l’utilizzo senza alcun costo. Offre due server DNS senza alcuna possibilità di impostazione né alcuna censura dei siti.

Cloudflare

Azienda statunitense
possibilità di usare DNS per bloccare solo malware e siti per adulti

Cloudflare è sicuramente veloce e affidabile ma è a tutti gli effetti un’azienda gigantesca con un enorme potere. Ha ottenuto finanziamento da Google, Microsoft e Baidu 21 e secondo noi non è proprio quella che può essere considerata un’alternativa etica. La inseriamo principalmente perché è troppo grande per essere ignorata.

Le soluzioni self-hostingSelf-hosting Significa gestire in autonomia un server sul quale far girare i vari programmi al posto di pagare qualcuno che li gestisca per voi. Un esempio pratico? Installare in autonomia Nextcloud per le foto ed i file su un vostro server anziché pagare un provider che lo faccia per voi. È in assoluto la cosa migliore per quel che riguarda la privacy, ma è decisamente sconsigliato se non sapete cosa fare perché in questi casi il rischio sicurezza è maggiore del rischio privacy.

Non meno importanti sono le soluzioni in self-hosting. Come sempre non ci dilungheremo su queste perché Le Alternative non vuole essere un blog tecnico ma alla portata di chiunque. Se avete voglia di leggere e scoprire nuove cose potete creare “il vostro server DNS” casalingo dove mettere le liste che volete. Si utilizzano localmente quindi sono utili anche e soprattutto per gli accessori che rimangono sempre in casa come le Smart TV oppure alcuni IoT.

  • Pi-hole, probabilmente l’alternativa più famose di tutte. Installabile facilmente su un Raspberry Pi e facilmente configurabile.

Hai domande o qualche commento su questo articolo? Trovi la comunità di Le Alternativa su Feddit, su Matrix oppure Telegram.

  1. DNS-over-QUIC, cos’è e come funziona il successore di DoH[]
  2. QUIC su Wikipedia[]
  3. Why not DNS-over-HTTPS[]
  4. Su Android 13 verrà finalmente aggiunto il supporto nativo ai DNS su HTTPS[]
  5. https://steemit.com/introduceyourself/@zero-day/google-public-dns-currently-add-support-to-dns-over-tls[]
  6. Encrypted DNS does prevent someone monitoring your traffic from seeing what domain you looked up via DNS, but this doesn’t really matter since there are so many other ways to get that exact same information anyway[]
  7. Codice sorgente di Intra[]
  8. Codice sorgente di DNSCloak[]
  9. How to block ads on YouTube: quick insight and things to know[]
  10. How do I block ads on YouTube?[]
  11. GoodbyeAds – W🌎rld of Ads Free Internet[]
  12. Who is behind NextDNS?[]
  13. Official response from AdGuard to SetApp allegations[]
  14. AdGuard Privacy Policy[]
  15. AdGuard | Cloudflare[]
  16. Screenshot utilizzando i DNS di AdGuard[]
  17. Who is behind AhaDNS?[]
  18. Data and Privacy Policy[]
  19. Mozilla Builders Fix The Internet Showcase[]
  20. Where are user DNS logs stored?[]
  21. CloudFlare Locks Down $110M From Fidelity, Microsoft, Google, Baidu And Qualcomm[]
  22. Codice sorgente di AdGuard Home[]

Se ti piace il nostro lavoro puoi anche donare grazie!

Aiutaci a condividere privacy

Di skariko

Autore ed amministratore del progetto web LeAlternative

TRE ARTICOLI RANDOM