secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
dns

DNS sicuro: come cifrare il tuo DNS (DoH, DoT e DNSSEC spiegati)

secure-os· Aggiornato 16 giugno 2026· 9 min di lettura #dns#privacy#encryption#doh#network
File di server di rete con cavi in un data center

Ogni volta che apri un sito web, il tuo dispositivo chiede prima a un resolver DNS di tradurre il nome (come example.com) in un indirizzo IP. Per impostazione predefinita quella richiesta viaggia non cifrata — chiunque si trovi tra te e il resolver può leggerla. Il DNS sicuro colma quella lacuna cifrando la richiesta, così che la rete non possa più vedere, registrare o manomettere i domini che visiti. Questa guida spiega come il DNS in chiaro fa trapelare informazioni, cosa fanno realmente DoH, DoT e DNSSEC, come attivare il DNS cifrato per ciascuna piattaforma e quali resolver pubblici vale la pena usare.

La risposta breve

  • Il DNS in chiaro è un buco per la privacy. Il DNS classico passa sulla porta 53 in chiaro, quindi il tuo ISP, il Wi-Fi pubblico o chiunque sulla rete può vedere ogni dominio che risolvi.
  • Cifralo con DoH o DoT. Sia DNS over HTTPS (DoH) sia DNS over TLS (DoT) cifrano le tue richieste DNS. Oggi la maggior parte dei browser e dei sistemi operativi supporta uno o entrambi.
  • DNSSEC è un’altra cosa. DNSSEC autentica le risposte per fermare lo spoofing — ma non le cifra. Cifratura (DoH/DoT) e autenticazione (DNSSEC) risolvono problemi diversi; idealmente vuoi entrambe.
  • Scegli un resolver affidabile. Cloudflare (1.1.1.1), Quad9 (9.9.9.9), Mullvad DNS, NextDNS e AdGuard DNS offrono tutti endpoint cifrati.
  • Anche una VPN cifra il DNS. Una buona VPN incanala tutto il tuo traffico, DNS incluso, così la richiesta non trapela mai a livello di rete.

Perché il DNS in chiaro è un problema

Il DNS classico fu progettato negli anni ‘80 senza alcuna attenzione alla privacy. Le richieste escono in chiaro su UDP/TCP porta 53, il che significa:

  • Il tuo ISP può vedere e registrare ogni dominio che risolvi — anche se la pagina stessa è in HTTPS, il nome del sito che visiti è esposto al momento della risoluzione.
  • Chiunque sulla stessa rete (Wi-Fi pubblico, un ufficio, un hotel) può osservare passivamente il tuo traffico DNS e costruire un quadro di ciò che fai online.
  • Il DNS può essere manomesso. Senza autenticazione, una rete può restituire una risposta sbagliata — inviandoti a un server malevolo o bloccato (sia il DNS hijacking sia la censura si basano su questo).

L’HTTPS cifra il contenuto delle pagine che carichi, ma non nasconde quali siti richiedi. Il DNS in chiaro fa trapelare le informazioni prima ancora che la connessione sia stabilita. È questa la lacuna che il DNS sicuro è fatto per colmare.

Cavi di rete Ethernet collegati a uno switch.
Cavi di rete collegati a uno switch — per impostazione predefinita le tue richieste DNS attraversano questo hardware in chiaro, leggibili da chiunque sul percorso.

DoH vs DoT: i due modi di cifrare il DNS

Sia DNS over HTTPS sia DNS over TLS avvolgono le tue richieste DNS nella cifratura così che la rete non possa leggerle. La differenza sta soprattutto in come viaggiano:

  • DNS over TLS (DoT) fa passare il DNS dentro una connessione cifrata TLS su una porta dedicata (853). Poiché ha una porta propria, un amministratore di rete può facilmente vedere che stai facendo DNS cifrato (anche se non può leggerlo) e potrebbe bloccare la porta. L’impostazione «DNS privato» di Android usa DoT.
  • DNS over HTTPS (DoH) invia le richieste DNS su una normale connessione HTTPS (porta 443), la stessa porta usata per tutto il traffico web. Questo rende DoH più difficile da individuare e bloccare, perché si confonde con la normale navigazione. La maggior parte dei browser implementa DoH.

Nessuno dei due è universalmente «migliore». DoT è più pulito da gestire su una rete; DoH è più difficile da censurare. Per un individuo che vuole semplicemente nascondere le proprie richieste all’ISP e alla rete locale, entrambi sono un grande miglioramento rispetto al semplice DNS sulla porta 53.

DNSSEC: autenticazione, non cifratura

DNSSEC (DNS Security Extensions) viene spesso confuso con DoH/DoT, ma fa qualcosa di completamente diverso. DNSSEC aggiunge firme crittografiche ai record DNS così che il tuo resolver possa verificare che una risposta provenga davvero dalla fonte autoritativa e non sia stata falsificata o modificata in transito. Protegge contro lo spoofing DNS e il cache poisoning.

La distinzione onesta:

  • DNSSEC = autenticazione. Dimostra che la risposta è genuina. Non nasconde le tue richieste — il traffico DNSSEC è comunque leggibile dalla rete.
  • DoH/DoT = cifratura. Nascondono le tue richieste alla rete. Non dimostrano, da soli, che la risposta sia autentica.

Sono complementari. Un resolver validante raggiunto via DoH o DoT ti dà entrambe le cose: richieste che la rete non può leggere e risposte che non può falsificare.

Come attivare il DNS sicuro, per piattaforma

Puoi abilitare il DNS cifrato in tre posti: nel tuo browser, nel tuo sistema operativo o nel tuo router. Impostandolo a livello di OS o router copri più app rispetto al solo browser.

Browser

  • Firefox: Impostazioni → Privacy e sicurezzaDNS over HTTPS. Scegli un livello di protezione e un provider (Cloudflare e NextDNS sono opzioni integrate).
  • Chrome / Edge: Impostazioni → Privacy e sicurezzaSicurezzaUsa DNS sicuro. Puoi mantenere il tuo provider attuale o sceglierne uno dalla lista.

Il DoH del browser protegge il DNS solo per quel browser — le altre app sul dispositivo usano ancora il resolver di sistema.

Windows 11

Windows 11 supporta DoH nativamente: Impostazioni → Rete e Internet → la tua connessione → Assegnazione server DNS → Modifica, imposta il DNS su Manuale, inserisci l’IP del tuo resolver e imposta DNS over HTTPS su Attivo (modello automatico) per un provider supportato.

Android

Android ha un DNS privato integrato, che usa DoT: Impostazioni → Rete e Internet → DNS privato → Nome host del provider DNS privato, poi inserisci il nome host del provider (per esempio dns.quad9.net o il tuo nome host NextDNS/AdGuard). Si applica a livello di sistema.

iOS e macOS

Apple non espone il DNS cifrato nell’interfaccia standard delle impostazioni, ma lo supporta tramite profili di configurazione (un file .mobileconfig) usando DoH o DoT. Provider come NextDNS, Quad9 e AdGuard distribuiscono profili pronti che installi una volta sola; l’impostazione si applica poi a livello di sistema.

Router

Impostare il DNS cifrato sul tuo router copre ogni dispositivo sulla rete, inclusi quelli che non possono essere configurati singolarmente (smart TV, dispositivi IoT). Il supporto varia in base al firmware del router — molti router e firmware moderni come OpenWrt possono inoltrare il DNS via DoT/DoH a un resolver upstream.

Resolver pubblici consigliati

Questi sono noti resolver pubblici che offrono endpoint cifrati (DoH/DoT). Scegli in base a ciò che apprezzi — velocità, filtraggio malware o personalizzazione. Non pensarci troppo: uno qualsiasi di essi batte il DNS in chiaro predefinito del tuo ISP.

  • Cloudflare (1.1.1.1 / 1.0.0.1) — un resolver molto usato, noto per essere veloce, con un orientamento attento alla privacy. Sono disponibili un’app 1.1.1.1 ed endpoint DoH/DoT.
  • Quad9 (9.9.9.9) — un resolver no-profit svizzero che blocca i domini malevoli noti usando feed di threat intelligence. Una scelta predefinita solida se vuoi il filtraggio di sicurezza integrato.
  • Mullvad DNS — DNS cifrato pubblico gestito dal provider VPN attento alla privacy Mullvad, con varianti opzionali di blocco pubblicità/tracker/malware. Nessun account richiesto per il resolver pubblico.
  • NextDNS — un resolver altamente personalizzabile: crei una configurazione e scegli le tue blocklist, il logging e le regole. Ha un piano gratuito con un volume mensile di query.
  • AdGuard DNS — offre resolver che bloccano pubblicità e tracker a livello di DNS, con endpoint cifrati, oltre a un’opzione senza filtraggio.

Una nota di onestà: la velocità DNS nel mondo reale dipende molto dalla tua posizione e dalla tua rete, quindi accogli con scetticismo qualsiasi affermazione su un singolo «resolver più veloce» — la scelta giusta è quella il cui modello di fiducia e filtraggio corrisponde alle tue esigenze.

Dove si inserisce una VPN

Il DNS cifrato nasconde le tue richieste, ma una VPN va oltre: cifra tutto il tuo traffico — DNS incluso — dentro un singolo tunnel verso il server VPN, così il tuo ISP e la rete locale non possono vedere i domini che risolvi cosa fai dopo. Una VPN ben costruita instrada inoltre il DNS attraverso i propri resolver dentro il tunnel, il che previene le fughe DNS (la modalità di guasto in cui il tuo dispositivo ripiega silenziosamente sul DNS in chiaro dell’ISP).

Domande frequenti

Cos’è il DNS sicuro? DNS sicuro significa cifrare le tue richieste DNS (di solito con DoH o DoT) così che la rete tra te e il resolver non possa leggere, registrare o manomettere i domini che visiti. Il DNS in chiaro invia quelle richieste in chiaro sulla porta 53.

È meglio DoH o DoT? Cifrano il DNS allo stesso modo; la differenza è il canale. DoH usa la porta 443 (la normale porta HTTPS), il che rende più difficile per una rete individuarlo e bloccarlo. DoT usa una porta dedicata (853), più facile da gestire ma anche più facile da individuare e bloccare. Per la privacy dal tuo ISP, entrambi sono un grande miglioramento.

DNSSEC cifra il mio DNS? No. DNSSEC autentica le risposte DNS per prevenire lo spoofing, ma non le cifra — la rete può comunque vedere le tue richieste. Per la privacy ti serve DoH o DoT; per l’autenticità ti serve DNSSEC. Sono complementari.

Cambiare il resolver DNS basta per la privacy? È un miglioramento reale — le tue richieste diventano cifrate e il tuo ISP non può registrarle — ma copre solo il DNS. Il resto del tuo traffico (e a quali IP ti connetti) è ancora visibile a livello di rete. Una VPN cifra tutto, DNS incluso, in un unico tunnel.

Quale resolver DNS sicuro dovrei usare? Quad9 se vuoi il blocco malware da un’organizzazione no-profit, Cloudflare per un resolver veloce e generico, NextDNS o AdGuard se vuoi personalizzare il filtraggio, o Mullvad DNS per un resolver pubblico orientato alla privacy. Tutti offrono endpoint cifrati.

In conclusione

Il DNS in chiaro fa trapelare silenziosamente ogni sito che visiti al tuo ISP e a chiunque sulla tua rete. Il DNS sicuro — cifrato con DoH o DoT, idealmente attraverso un resolver che valida DNSSEC — chiude quella falla, e puoi attivarlo nel browser, nell’OS o nel router in pochi minuti. Scegli un resolver il cui modello di fiducia faccia per te (Cloudflare, Quad9, Mullvad, NextDNS o AdGuard) e, se vuoi chiudere la falla per tutto il tuo traffico in una volta sola, falla passare attraverso una VPN no-log.