Guida a DNSCrypt per impedire all’ISP di vedere i siti visitati criptando le query DNS

Crittografare le richieste DNS con Guida a Simple DNSCrypt per impedire al fornitore di internet e ad eventuali spioni di sapere i siti internet che si è visitato

Per impostazione predefinita la connessione internet utilizza i DNS del fornitore della connessione internet al quale ci si è abbonati (l’ISP).

Ciò vuol dire che utilizzando i DNS dell’ISP, quest’ultimo può vedere in chiaro le query/richieste DNS dell’utente, ovvero i siti internet ai quali ci si è collegati.

Per questo motivo, ma anche per ragioni di maggiore sicurezza e prestazionali, oltreché di privacy, è buona norma cambiare DNS alla propria connessione internet utilizzando ad esempio, fra gli altri, quelli di CloudFlare più performanti e forniti gratuitamente.

Il problema però è che a seconda della configurazione internet e/o dell router in uso, non basta cambiare DNS nelle proprietà della rete e/o in quelle del router per impedire all’ISP di vedere in chiaro le query DNS.

In tali circostanze ci si deve dunque servire di apposite applicazioni come il noto programma gratis Simple DNSCrypt, più conosciuto solamente come DNSCrypt (disponibile per computer Windows, Mac e Linux), il cui compito, come lo stesso nome lascia intuire, è di criptare le richieste DNS affinché seppur intercettate non siano visibili in chiaro, dunque indecifrabili perché appunto crittografate.

A seguire andiamo dunque a vedere come usare DNSCrypt, nello specifico per i PC Windows, scaricabile dal sito ufficiale https://simplednscrypt.org/.

NOTA: Simple DNSCrypt è compatibile con Windows 7 SP1 e successivi, e richiede che nel computer sia installato NET Framework 4.6.1Microsoft Visual C++ Redistributable for Visual Studio 2017 x64 per SO con architettura a 64 bit, oppure x86 per SO con architettura a 32 bit.

Configurazione
Fortunatamente c’è ben poco da configurare in quanto DNSCrypt è già settato di default con le impostazioni ottimali, le quali sono comunque personalizzabili all’occorrenza. Una volta installato e avviato, DNSCrypt si presenterà con la sua interfaccia grafica che punta alla scheda iniziale “Menu Principale” (sotto in figura).
DNSCrypt scheda Menu Principale
Qui, nella sezione “Servizio” è necessario attivare il “Servizio DNSCrypt” settando su “ON” il rispettivo interruttore.

Più sotto nella sezione “Schede di rete” si deve poi fare un clic sulla scheda di rete in uso (che è quella visualizzata in questa sezione) affinché DNSCrypt posso lavorare su di essa.

Nella sezione “Configurazione” sono già settati tutti i parametri ottimali quali, fra gli altri, l’utilizzo del protocollo DNS over HTTPS (che si occupa di criptare le query DNS), l’utilizzo del protocollo IPv4 ma non del protocollo IPv6 (che come visto in questo articolo può causare problemi di accesso ai siti internet e rallentare la risoluzione delle query DNS).

Apportate le modifiche, occorre renderle effettive cliccando il pulsante “Applica impostazioni“; esse saranno subito operative.

(adsbygoogle = window.adsbygoogle || []).push({});
Adesso occorre spostarsi nella scheda “Resolvers” (sotto in figura) nella quale sono elencati tutti i server DNS a disposizione di DNSCrypt.
DNSCrypt scheda Resolvers
Per impostazione predefinita è abilitata la “Modalità automatica“, ovvero è DNSCrypt a scegliere e utilizzare i server DNS più veloci per la connessione in quel momento.

Qualora però si preferisse puntare a uno specifico DNS, è possibile disattivare la “Modalità automatica” spostando l’apposito interruttore su “OFF”, e nella sottostante sezione “Resolver disponibili” selezionare il DNS che più si preferisce (personalmente ho selezionato quello di CloudFlare).

Anche qui le modifiche apportate vanno confermate e rese effettive sulla rete cliccando il pulsante “Applica impostazioni“.

Nella successiva scheda “Opzioni avanzate” (sotto in figura) è mostrato un breve elenco di impostazioni che si possono lasciare così come sono in quanto già configurate in modo ottimale, anche se alcuni però potrebbero preferire attivare l’opzione “Forza TCP” per connettersi ai server via TCP (protocollo internet più affidabile, ma più lento) invece che via UDP (protocollo internet più veloce e perciò utilizzato di default, ma non affidabile come TCP). Le eventuali modifiche vanno confermate cliccando il pulsante “Applica impostazioni“.
DNSCrypt scheda Opzioni avanzate
NOTA: Altre impostazioni sono accessibili con un clic di mouse sul pulsante dell’ingranaggio mostrato in alto nella barra dei menu dell’interfaccia del programma, e dalle quali all’occorrenza, fra le altre, è possibile attivare gli aggiornamenti automatici silenziosi per le nuove versioni del programma.

Infine nell’ultima scheda “Query Log“, se tale opzione è attivata (di default è disattivata), è possibile vedere in questa scheda tutte le richieste DNS effettuate sul sistema.

Finito. A questo punto da ora in avanti, quando DNSCrypt è in esecuzione al computer, la query DNS della propria rete e connessione internet saranno criptate e dunque non più intercettabili in chiaro né dall’ISP, né da nessun eventuale altra persona nel mezzo.

Precisazioni
Una volta configurato e attivato DNSCrypt, coloro che per verifica si portano nelle proprietà di rete IPv4 (come nell’esempio sotto in figura):
Windows finestra proprietà IPv4 server DNS
qualora come DNS preferito visualizzassero 127.0.0.1 (e non ad esempio quello di CloudFlare o di altro risolutore DNS selezionato nella scheda “Resolvers” di DNSCrypt), in tal senso non c’è da preoccuparsi.

Infatti, a seconda dei casi, è lo stesso DNSCrypt che fa puntare le query DNS dell’IPv4 al localhost 127.0.0.1 (il computer in uso), le quali verranno poi inviate e criptate sempre da DNSCrypt con il risolutore DNS specificato nella scheda “Resolvers” del programma.
Risultato test DNS Leak Test
I più diffidenti, per avere conferma di ciò possono eseguire il test di dnsleaktest.com (come nell’esempio sopra in figura) e il test di whatsmyresolver.stdlib.net per verificare il risolutore DNS in uso sulla propria connessione internet.

LEGGI ANCHE: Come sapere quale DNS è in uso al computer Windows

Avvio con Windows
Dato che al momento Simple DNSCrypt non è provvisto di un’opzione che permette di avviarlo automaticamente con Windows, se si ha questa necessità è necessario aggiungerlo manualmente all’esecuzione automatica come spiegato in questa guida, ma solo dopo aver disattivato, esclusivamente per Simple DNSCrypt, il “Controllo dell’account utente” come spiegato in questa guida.

Si ricorda che per impedire all’ISP e/o a eventuali altre persone nel mezzo di vedere le query DNS in chiaro, è possibile anche servirsi di una VPN come meglio spiegato nell’articolo dedicato: Come impedire all’ISP di vedere cronologia e attività internet.