Dipende. Server e client DNScrypt configurati in sicurezza assicurano zero perdite DNS. Dnscrypt crittografa il traffico DNS. Ciò significa che non può essere visualizzato o modificato con successo sulla strada da e verso il server DNScrypt downstream . I server DNSCRYPT rimuovono inoltre eventuali dati identificativi che potrebbero essere inviati a monte e spesso offrono "Nessun inoltro ai server DNS esterni / upstream (ricorsivo)"
Da quanto ho raccolto, DNSCrypt da solo potrebbe non essere sicuro al 100%. La sicurezza dipende dalla qualità dei risultati ottenuti dal tuo server DNSCRYPT preferito, dato che il server stesso non è stato compromesso. Contrastando questo inconveniente, DNSSEC convalida l'intera catena di comando da upstream a downstream e viene implementato a livello di dominio, rendendo impossibile la sua creazione. Poiché si tratta di una funzionalità che deve essere abilitata su base per dominio e poiché pochissimi domini hanno implementato DNSSEC, ciò rende DNSSEC largamente ridondante, fino a quando l'adozione non aumenta. Dopo mesi di utilizzo, ho trovato solo un dominio oscuro che è stato veramente "validato" da DNSSEC. L'overhead di DNSSEC aumenta notevolmente la latenza. È per questi due motivi che ho smesso di usarlo.
Dato che DNSCRYPT garantisce zero perdite DNS, ogni query è crittografata e firmata, tecnicamente è possibile utilizzare un server DNSCRYPT / DNSSEC dedicato per le query DNS e una VPN dedicata per il traffico dati, interrompendo DNS e dati in due flussi separati. La suddivisione dello stream potrebbe migliorare la sicurezza; o forse meno, dipende totalmente dal provider VPN e dal provider DNSCRYPT. Alcuni server DNSCRYPT utilizzano Google come server upstream e o companion (safebrowsing / adblock), come si vedrà nei test di perdita DNS. Quindi assicurati di testare e guardare prima di assumere qualsiasi cosa. Tieni presente che ci saranno più registri DNS accessibili sui tuoi sistemi se la registrazione è abilitata per DNSCRYPT e amp; qualsiasi altro resolver Stub, come DNSMASQ. La registrazione è uno dei fattori principali che gli utenti VPN assicurano che i loro provider NON stiano facendo. Per quanto riguarda i vantaggi di sicurezza, l'utilizzo di DNSCRYPT insieme a una VPN può migliorare la sicurezza offrendoti la possibilità di implementare le tue blocklist per garantire che domini e tracker malware vengano evitati tramite VPN.
Riassumendo, l'uso di VPN DNS mette la superficie di attacco direttamente al loro fianco e sull'integrità del dispositivo, con potenziali perdite DNS; (Aggiungendo la direttiva, block-outside-dns, alla configurazione di openvpn è possibile risolvere questo problema) L'uso di DNScrypt porta più superficie di attacco dalla propria parte ma protegge da perdite DNS e gli elenchi di host possono ridurre l'esposizione al malware in modo esponenziale. In entrambi i casi i tuoi registri sono privati quanto l'integrità dei fornitori scelti e del tuo dispositivo, che comunque è sempre il caso.
Non sono esperto; ulteriori approfondimenti da parte di esperti in questo campo sarebbero molto apprezzati.