In che modo DNS over TLS impedisce al tuo ISP di vedere i siti web che visiti?

3

Ad esempio, sto utilizzando DNS su TLS in Android Pie. Questo succede:

  1. Visito un sito web (google.com).

  2. Invio una query DNS al server DNS e la risposta è l'indirizzo IP di google.com. L'ISP sa che ho contattato il server DNS, ma non conosco la query o la risposta.

  3. Successivamente, mi collego all'IP di google.com. L'ISP sa che ho contattato l'IP di google.com ora.

Eppure, gli articoli di notizie (e alcune domande in questo sito) dicono che l'ISP non vedrà i siti web che visiti se usi DNS su TLS. Mi sto perdendo qualcosa qui?

    
posta Avery Alejandro 21.12.2018 - 18:59
fonte

2 risposte

3

Non è così. DNS su TLS non è progettato per mantenere la privacy da ISP. Come HTTP, il DNS è vulnerabile al MITM. DNS over TLS offre lo stesso livello di sicurezza di HTTPS.

Siccome DNS su TLS è crittografato, il tuo ISP non può vedere i domini per i quali tu richiedi ma loro non devono. TLS utilizza Indicazione del nome del server , un'estensione TLS che viene visualizzata all'esterno dell'intestazione dell'host HTTP . Il campo SNI contiene il nome di dominio del server con cui vuoi parlare. Una volta che visiti quel sito, il tuo ISP può vederlo a meno che tu non usi una VPN.

Cloudfare ha recentemente rilasciato il supporto di supporto per SNI crittografato (ESNI) per i siti Web ospitati da Cloudfare . Ciò impedisce al tuo ISP di vedere il sito che visiti purché tu stia utilizzando anche DNS su TLS. Ma affinché ESNI funzioni, i browser devono supportarlo in modo nativo. Mozilla ha ottenuto il supporto per ESNI in Firefox Nightly, quindi ora puoi sfoglia i siti Web di Cloudflare senza filtrare l'estensione TLS SNI in chiaro per gli osservatori on-path ISP, proprietari di coffee-shop, firewall .

    
risposta data 22.12.2018 - 10:53
fonte
1

L'utilizzo di DNS su TLS impedisce all'ISP di leggere / alterare il traffico DNS.

Con DNS non criptato, un ISP può monitorare il traffico DNS o reindirizzare il traffico verso il proprio server DNS. (Non sono sicuro che sia mai fatto in pratica)

Per nascondere i siti Web che stai visitando, dovrai utilizzare una VPN, che impedirà all'ISP di vedere la vera destinazione del tuo traffico.

    
risposta data 21.12.2018 - 19:24
fonte

Leggi altre domande sui tag