Diciamo che ho visitato un sito Web che utilizza HTTPS. Quindi il mio ISP non può vedere il traffico HTTPS tra di noi ma può vedere quale sito Web sto collegando a causa della mia richiesta DNS. Se utilizzo un server DNS pubblico come OpenDNS o Google, il mio ISP è ancora in grado di vedere quale sito Web sto utilizzando? Imho, possono vedere dal momento che la mia query DNS è in chiaro.
Anche alcuni provider VPN affermano che non perdono le nostre query DNS. Come fanno?
No. Il protocollo DNS non ha alcuna sicurezza integrata, non è crittografato. Quindi il tuo ISP sarà in grado di leggere la richiesta e la risposta DNS indipendentemente dal server pubblico che scegli.
Inoltre, a causa di Indicazione del nome del server (SNI), HTTPS rivela il nome del dominio di destinazione durante l'handshake TLS. Quindi un utente malintenzionato non dovrebbe nemmeno annusare il traffico DNS per sapere a quale dominio ci si sta connettendo.
Esistono tuttavia progetti che mirano a crittografare il traffico DNS, ad esempio DNSCrypt . Si noti tuttavia che la crittografia del traffico DNS non impedisce la perdita del nome di dominio tramite altri canali come SNI. Quindi questo non sostituisce una VPN configurata correttamente. Dal sito web:
Please note that DNSCrypt is not a replacement for a VPN, as it only authenticates DNS traffic, and doesn't prevent "DNS leaks", or third-party DNS resolvers from logging your activity. The TLS protocol, as used in HTTPS and HTTP2, also leaks leaks websites host names in plain text, rendering DNSCrypt useless as a way to hide this information.
Also some VPN providers claims that they don't leak our DNS queries. How do they do that?
Configura il tuo sistema in modo che tutte le tue query DNS passino attraverso il tunnel VPN verso il proprio server DNS e bloccano il traffico verso il DNS dell'ISP. Le misure esatte necessarie dipendono dal tuo sistema operativo. Ecco alcuni suggerimenti su come configurare il tuo sistema per evitare perdite DNS.
... my ISP can't see the HTTPS traffic between us ...
Non esattamente. Mentre indirizza il traffico proveniente dal tuo computer, l'ISP conosce l'indirizzo IP pubblico dell'host al quale sei connesso. Ciò che è crittografato sono i dati scambiati, compresa la parte dell'URL dopo l'host e la porta.
Tuttavia, poiché HTTPS utilizza TCP come protocollo di trasporto, le intestazioni TCP che contengono l'indirizzo IP e la porta non possono essere crittografate.
Questo è il motivo per cui le richieste DNS non vengono generalmente registrate, ma almeno in Francia l'ISP deve registrare i siti consultati per circa 1 anno e deve fornire i registri alle autorità in caso di un'indagine legale. E AFAIK, è lo stesso in molti paesi europei.
Due cose.
Le query DNS non sono crittografate, quindi anche se disponi di HTTPS, la query DNS originale può essere registrata e visualizzata dal tuo ISP.
Alcuni servizi funzionano su IP dedicati, un IP ospita solo un servizio. In questo caso, anche con gli HTTP, l'ISP può capire a chi ti stai connettendo semplicemente visualizzando il traffico IP.
La maggior parte dei siti Web non funziona su IP dedicati. Considerate Cloudflare, dove LOTS (!) O siti Web sono ospitati dietro i loro IP, in questo caso il traffico IP sarebbe inutile e la maggior parte dei siti cloudflare abilita già gli HTTP. Tuttavia, mentre il browser si sta connettendo a cloudflare, invia l'hostname tramite SNI.
L'unico vero modo per assicurarsi che non ci siano perdite è tramite VPN, e assicurarsi che la VPN non perda DNS (la query DNS viene eseguita tramite la VPN
Leggi altre domande sui tag dns