Guida a DNSCrypt per impedire all'ISP di vedere i siti visitati criptando le query DNS

Crittografare le richieste DNS con Guida a Simple DNSCrypt per impedire al fornitore di internet e ad eventuali spioni di sapere i siti internet che si è visitato

Per impostazione predefinita la connessione internet utilizza i DNS del fornitore della connessione internet al quale ci si è abbonati (l'ISP).

Ciò vuol dire che utilizzando i DNS dell'ISP, quest'ultimo può vedere in chiaro le query/richieste DNS dell'utente, ovvero i siti internet ai quali ci si è collegati.

Per questo motivo, ma anche per ragioni di maggiore sicurezza e prestazionali, oltreché di privacy, è buona norma cambiare DNS alla propria connessione internet utilizzando ad esempio, fra gli altri, quelli di CloudFlare più performanti e forniti gratuitamente.

Il problema però è che a seconda della configurazione internet e/o dell router in uso, non basta cambiare DNS nelle proprietà della rete e/o in quelle del router per impedire all'ISP di vedere in chiaro le query DNS.

In tali circostanze ci si deve dunque servire di apposite applicazioni come il noto programma gratis Simple DNSCrypt, più conosciuto solamente come DNSCrypt (disponibile per computer Windows, Mac e Linux), il cui compito, come lo stesso nome lascia intuire, è di criptare le richieste DNS affinché seppur intercettate non siano visibili in chiaro, dunque indecifrabili perché appunto crittografate.

A seguire andiamo dunque a vedere come usare DNSCrypt, nello specifico per i PC Windows, scaricabile dal sito ufficiale https://simplednscrypt.org/.

NOTA: Simple DNSCrypt è compatibile con Windows 7 SP1 e successivi, e richiede che nel computer sia installato NET Framework 4.6.1Microsoft Visual C++ Redistributable for Visual Studio 2017 x64 per SO con architettura a 64 bit, oppure x86 per SO con architettura a 32 bit.

Configurazione
Fortunatamente c'è ben poco da configurare in quanto DNSCrypt è già settato di default con le impostazioni ottimali, le quali sono comunque personalizzabili all'occorrenza. Una volta installato e avviato, DNSCrypt si presenterà con la sua interfaccia grafica che punta alla scheda iniziale "Menu Principale" (sotto in figura).
DNSCrypt scheda Menu Principale
Qui, nella sezione "Servizio" è necessario attivare il "Servizio DNSCrypt" settando su "ON" il rispettivo interruttore.

Più sotto nella sezione "Schede di rete" si deve poi fare un clic sulla scheda di rete in uso (che è quella visualizzata in questa sezione) affinché DNSCrypt posso lavorare su di essa.

Nella sezione "Configurazione" sono già settati tutti i parametri ottimali quali, fra gli altri, l'utilizzo del protocollo DNS over HTTPS (che si occupa di criptare le query DNS), l'utilizzo del protocollo IPv4 ma non del protocollo IPv6 (che come visto in questo articolo può causare problemi di accesso ai siti internet e rallentare la risoluzione delle query DNS).

Apportate le modifiche, occorre renderle effettive cliccando il pulsante "Applica impostazioni"; esse saranno subito operative.


Adesso occorre spostarsi nella scheda "Resolvers" (sotto in figura) nella quale sono elencati tutti i server DNS a disposizione di DNSCrypt.
DNSCrypt scheda Resolvers
Per impostazione predefinita è abilitata la "Modalità automatica", ovvero è DNSCrypt a scegliere e utilizzare i server DNS più veloci per la connessione in quel momento.

Qualora però si preferisse puntare a uno specifico DNS, è possibile disattivare la "Modalità automatica" spostando l'apposito interruttore su "OFF", e nella sottostante sezione "Resolver disponibili" selezionare il DNS che più si preferisce (personalmente ho selezionato quello di CloudFlare).

Anche qui le modifiche apportate vanno confermate e rese effettive sulla rete cliccando il pulsante "Applica impostazioni".

Nella successiva scheda "Opzioni avanzate" (sotto in figura) è mostrato un breve elenco di impostazioni che si possono lasciare così come sono in quanto già configurate in modo ottimale, anche se alcuni però potrebbero preferire attivare l'opzione "Forza TCP" per connettersi ai server via TCP (protocollo internet più affidabile, ma più lento) invece che via UDP (protocollo internet più veloce e perciò utilizzato di default, ma non affidabile come TCP). Le eventuali modifiche vanno confermate cliccando il pulsante "Applica impostazioni".
DNSCrypt scheda Opzioni avanzate
NOTA: Altre impostazioni sono accessibili con un clic di mouse sul pulsante dell'ingranaggio mostrato in alto nella barra dei menu dell'interfaccia del programma, e dalle quali all'occorrenza, fra le altre, è possibile attivare gli aggiornamenti automatici silenziosi per le nuove versioni del programma.

Infine nell'ultima scheda "Query Log", se tale opzione è attivata (di default è disattivata), è possibile vedere in questa scheda tutte le richieste DNS effettuate sul sistema.

Finito. A questo punto da ora in avanti, quando DNSCrypt è in esecuzione al computer, la query DNS della propria rete e connessione internet saranno criptate e dunque non più intercettabili in chiaro né dall'ISP, né da nessun eventuale altra persona nel mezzo.

Precisazioni
Una volta configurato e attivato DNSCrypt, coloro che per verifica si portano nelle proprietà di rete IPv4 (come nell'esempio sotto in figura):
Windows finestra proprietà IPv4 server DNS
qualora come DNS preferito visualizzassero 127.0.0.1 (e non ad esempio quello di CloudFlare o di altro risolutore DNS selezionato nella scheda "Resolvers" di DNSCrypt), in tal senso non c'è da preoccuparsi.

Infatti, a seconda dei casi, è lo stesso DNSCrypt che fa puntare le query DNS dell'IPv4 al localhost 127.0.0.1 (il computer in uso), le quali verranno poi inviate e criptate sempre da DNSCrypt con il risolutore DNS specificato nella scheda "Resolvers" del programma.
Risultato test DNS Leak Test
I più diffidenti, per avere conferma di ciò possono eseguire il test di dnsleaktest.com e il test di whatsmyresolver.stdlib.net per verificare il risolutore DNS in uso sulla propria connessione internet (come nell'esempio sopra in figura).

LEGGI ANCHE: Come sapere quale DNS è in uso al computer Windows

Avvio con Windows
Dato che al momento Simple DNSCrypt non è provvisto di un'opzione che permette di avviarlo automaticamente con Windows, se si ha questa necessità è necessario aggiungerlo manualmente all'esecuzione automatica come spiegato in questa guida, ma solo dopo aver disattivato, esclusivamente per Simple DNSCrypt, il "Controllo dell'account utente" come spiegato in questa guida.

Si ricorda che per impedire all'ISP e/o a eventuali altre persone nel mezzo di vedere le query DNS in chiaro, è possibile anche servirsi di una VPN come meglio spiegato nell'articolo dedicato: Come impedire all'ISP di vedere cronologia e attività internet.

13 commenti

grazie per le info.Pero' ho installato il programma ma non vedo il 127.0.0.1 ma sempre il cloudfare

Rispondi

Volevo sapere se utilizzando la vpn sia comunque crittografato

Rispondi

"anche se alcuni però potrebbero preferire attivare l'opzione "Forza TCP" per connettersi ai server via TCP invece che via UDP" la differenza in cosa consiste ? Grazie :)

Rispondi

@RENZO TAGLIAPIETRA SPIGOLON se sono visualizzati quelli di CloudFlare (o comunque del resolver DNS da te selezionato) allora va bene così.

Si, sotto VPN anche le query DNS sono crittografate, leggi qui:

https://www.guidami.info/2017/03/come-impedire-a-isp-di-vedere-cronologia.html

Rispondi

@Anonimo Per impostazione predefinita, per l'invio di pacchetti dati fra server, è utilizzato il protocollo internet UDP in quanto è più veloce rispetto al protocollo TCP. Il fatto è che l'UDP non dà alcuna garanzia di ricezione dei pacchetti dati; invece TCP in tal senso è più accurato e più affidabile in quanto i pacchetti dati sono tracciati in maniera tale che nessun dato venga perso o danneggiato durante il transito.

Dunque a seconda delle esigenze specifiche si potrebbe preferire TCP all'UDP, ma solo in determinati casi, mentre l'UDP va bene per la maggioranza dei casi (è spesso utilizzato per le trasmissioni video in diretta in streaming e per i giochi online).

Rispondi

grazie :)

Rispondi

Ho scaricato il programma e Firefox mi da' questo messaggio :“SimpleDNSCrypt64.msi” è un file eseguibile e potrebbe contenere virus o altri codici potenzialmente dannosi per il computer. Aprire questo file con cautela. Procedere con l’apertura di “SimpleDNSCrypt64.msi”
Posso procedere tranquillamente?

Rispondi

Io l'ho scaricato con Chrome e nessuna notifica in merito. Adesso, sopo la tua segnalazione, l'ho scaricato con Firefox e anche qui nessun avviso in merito. Più che altro assicurati di scaricarlo dal link di download che ho fornito nell'articolo. Ad ogni modo Simple DNSCrypt è un software arcinoto e pulito in tutti i sensi, quindi si procedi tranquillamente (se lo hai scaricato dal sito ufficiale che ho indicato).

Rispondi

Ho provato con Chrome : nessun problema. Per controllo ho scaricato con Firefox un altro software (malwarebytes anti malware )e non mi ha dato nessun messaggio ,strano visto che l'avvertimento era legato a " file eseguibile"; dovrebbe darlo per tutti o no ?

Rispondi

Come ho detto prima: scaricandolo dal sito ufficiale, che ho indicato nell'articolo, né con Chrome, né con Firefox viene segnalato software potenzialmente pericoloso. Poi ripeto, Simple DNSCrypt è un software arcinoto e pulito in tutti i sensi. Se poi hai dubbi sottoponilo a multiscansione VirusTotal, come ho già fatto io: 57 antivirus su 57 lo danno come pulito. Vedi tu.

Rispondi

ok.grazie, come sempre, per le risposte precise e professionali.

Rispondi

Posta un commento

I commenti prima di essere pubblicati verranno moderati dall'amministratore