In che modo DNS over TLS impedisce al tuo ISP di vedere i siti web che visiti?

Non è così. DNS su TLS non è progettato per mantenere la privacy da ISP. Come HTTP, il DNS è vulnerabile al MITM. DNS over TLS offre lo stesso livello di sicurezza di HTTPS.

Siccome DNS su TLS è crittografato, il tuo ISP non può vedere i domini per i quali tu richiedi ma loro non devono. TLS utilizza Indicazione del nome del server , un'estensione TLS che viene visualizzata all'esterno dell'intestazione dell'host HTTP . Il campo SNI contiene il nome di dominio del server con cui vuoi parlare. Una volta che visiti quel sito, il tuo ISP può vederlo a meno che tu non usi una VPN.

Cloudfare ha recentemente rilasciato il supporto di supporto per SNI crittografato (ESNI) per i siti Web ospitati da Cloudfare . Ciò impedisce al tuo ISP di vedere il sito che visiti purché tu stia utilizzando anche DNS su TLS. Ma affinché ESNI funzioni, i browser devono supportarlo in modo nativo. Mozilla ha ottenuto il supporto per ESNI in Firefox Nightly, quindi ora puoi sfoglia i siti Web di Cloudflare senza filtrare l'estensione TLS SNI in chiaro per gli osservatori on-path ISP, proprietari di coffee-shop, firewall .

L'utilizzo di DNS su TLS impedisce all'ISP di leggere / alterare il traffico DNS.

Con DNS non criptato, un ISP può monitorare il traffico DNS o reindirizzare il traffico verso il proprio server DNS. (Non sono sicuro che sia mai fatto in pratica)

Per nascondere i siti Web che stai visitando, dovrai utilizzare una VPN, che impedirà all'ISP di vedere la vera destinazione del tuo traffico.