Come crittografare il DNS senza toccare il router con DoH: una guida completa

Ultimo aggiornamento: 16/10/2025
Autore: Cristian Garcia

  • DoH crittografa le query DNS tramite HTTPS (porta 443), migliorando la privacy e prevenendo le manomissioni.
  • Può essere attivato nei browser e nei sistemi (incluso Windows Server 2022) senza dipendere dal router.
  • Prestazioni simili al DNS classico; completato da DNSSEC per convalidare le risposte.
  • Server DoH popolari (Cloudflare, Google, Quad9) e possibilità di aggiungere o configurare il proprio resolver.

Come crittografare il DNS senza toccare il router utilizzando DNS su HTTPS

¿Come crittografare il DNS senza toccare il router utilizzando DNS su HTTPS? Se ti preoccupa chi può vedere a quali siti web ti connetti, Crittografa le query del Domain Name System con DNS su HTTPS È uno dei modi più semplici per aumentare la privacy senza dover combattere con il router. Con DoH, il traduttore che converte i domini in indirizzi IP smette di viaggiare in chiaro e passa attraverso un tunnel HTTPS.

In questa guida troverete, in un linguaggio diretto e senza troppi termini tecnici, Cos'è esattamente DoH e in cosa si differenzia da altre opzioni come DoT, come abilitarlo nei browser e nei sistemi operativi (incluso Windows Server 2022), come verificare che funzioni effettivamente, i server supportati e, se ti senti coraggioso, anche come configurare il tuo resolver DoH. Tutto, senza toccare il router…tranne una sezione facoltativa per coloro che desiderano configurarlo su un MikroTik.

Cos'è DNS su HTTPS (DoH) e perché potrebbe interessarti

DNS di Google

Quando digiti un dominio (ad esempio, Xataka.com), il computer chiede a un risolutore DNS qual è il suo IP; Questo processo è solitamente in testo normale E chiunque nella tua rete, il tuo provider Internet o dispositivi intermedi possono intercettarlo o manipolarlo. Questa è l'essenza del DNS classico: veloce, onnipresente... e trasparente a terze parti.

Ed è qui che entra in gioco DoH: Sposta le domande e le risposte DNS sullo stesso canale crittografato utilizzato dal web sicuro (HTTPS, porta 443)Il risultato è che non viaggiano più "allo scoperto", riducendo la possibilità di spionaggio, dirottamento di query e di alcuni attacchi man-in-the-middle. Inoltre, in molti test la latenza non peggiora in modo apprezzabile e può addirittura essere migliorato grazie all'ottimizzazione dei trasporti.

Un vantaggio fondamentale è che DoH può essere abilitato a livello di applicazione o di sistema, quindi non devi affidarti al tuo operatore o router per abilitare nulla. In altre parole, puoi proteggerti "dal browser all'esterno", senza toccare alcuna apparecchiatura di rete.

È importante distinguere DoH da DoT (DNS su TLS): DoT crittografa il DNS sulla porta 853 direttamente su TLS, mentre DoH lo integra in HTTP(S). DoT è più semplice in teoria, ma È più probabile che venga bloccato dai firewall che tagliano le porte non comuni; DoH, utilizzando 443, aggira meglio queste restrizioni e previene gli attacchi "pushback" forzati al DNS non crittografato.

Sulla privacy: l'utilizzo di HTTPS non implica cookie o tracciamento in DoH; le norme ne sconsigliano espressamente l'uso In questo contesto, TLS 1.3 riduce anche la necessità di riavviare le sessioni, riducendo al minimo le correlazioni. E se si è preoccupati per le prestazioni, HTTP/3 su QUIC può offrire ulteriori miglioramenti eseguendo il multiplexing delle query senza blocchi.

Come funziona il DNS, rischi comuni e dove si inserisce DoH

Normalmente il sistema operativo apprende quale resolver utilizzare tramite DHCP; A casa di solito usi gli ISP, in ufficio, la rete aziendale. Quando questa comunicazione non è crittografata (UDP/TCP 53), chiunque sia connesso alla tua rete Wi-Fi o sul percorso può vedere i domini interrogati, iniettare risposte false o reindirizzarti a ricerche quando il dominio non esiste, come fanno alcuni operatori.

Un'analisi tipica del traffico rivela porte, IP di origine/destinazione e il dominio stesso risolti; Ciò non solo espone le abitudini di navigazione, rende anche più facile correlare le connessioni successive, ad esempio agli indirizzi Twitter o simili, e dedurre quali pagine esatte hai visitato.

Con DoT, il messaggio DNS entra in TLS sulla porta 853; con DoH, la query DNS è incapsulata in una richiesta HTTPS standard, che ne consente anche l'utilizzo da parte di applicazioni web tramite API del browser. Entrambi i meccanismi condividono lo stesso fondamento: l'autenticazione del server con un certificato e un canale crittografato end-to-end.

Contenuti esclusivi: clicca qui  Come crittografare le email in SeaMonkey?

Il problema con le nuove porte è che è comune per alcune reti bloccano 853, incoraggiando il software a "ripiegare" su DNS non crittografati. DoH mitiga questo problema utilizzando 443, un protocollo comune per il web. Anche DNS/QUIC esiste come un'altra opzione promettente, sebbene richieda UDP aperto e non sia sempre disponibile.

Anche quando si crittografa il trasporto, bisogna fare attenzione a una sfumatura: Se il risolutore mente, il cifrario non lo corregge.A questo scopo, esiste il protocollo DNSSEC, che consente la convalida dell'integrità delle risposte, sebbene la sua adozione non sia diffusa e alcuni intermediari ne compromettano il funzionamento. Ciononostante, il protocollo DoH impedisce a terzi di intercettare o manomettere le query.

Attivarlo senza toccare il router: browser e sistemi

Il modo più semplice per iniziare è abilitare DoH nel tuo browser o sistema operativo. Ecco come proteggere le query dal tuo team senza dipendere dal firmware del router.

Google Chrome

Nelle versioni attuali puoi andare a chrome://settings/security e, sotto “Usa DNS sicuro”, attiva l'opzione e scegli il fornitore (il tuo attuale provider se supporta DoH oppure uno dall'elenco di Google come Cloudflare o Google DNS).

Nelle versioni precedenti, Chrome offriva un interruttore sperimentale: tipo chrome://flags/#dns-over-https, cerca "Ricerche DNS sicure" e cambiarlo da Predefinito ad AbilitatoRiavvia il browser per applicare le modifiche.

Microsoft Edge (Chromium)

Edge basato su Chromium include un'opzione simile. Se ne hai bisogno, vai su edge://flags/#dns-over-https, individuare “Ricerche DNS sicure” e abilitarlo in AbilitatoNelle versioni moderne, l'attivazione è disponibile anche nelle impostazioni sulla privacy.

Mozilla Firefox

Apri il menu (in alto a destra) > Impostazioni > Generali > scorri verso il basso fino a "Impostazioni di rete", tocca Configurazione e segna "Attiva DNS su HTTPS”. Puoi scegliere tra provider come Cloudflare o NextDNS.

Se preferisci un controllo preciso, in about:config regolare network.trr.mode: 2 (opportunista) usa DoH e fa fallback se non disponibile; 3 mandati (rigorosi) DoH e fallisce se non c'è supporto. Con la modalità rigorosa, definisci un risolutore bootstrap come network.trr.bootstrapAddress=1.1.1.1.

Opera

Dalla versione 65, Opera include un'opzione per abilitare DoH con 1.1.1.1È disabilitato per impostazione predefinita e funziona in modalità opportunistica: se 1.1.1.1:443 risponde, utilizzerà DoH; altrimenti, ricorre al resolver non crittografato.

Windows 10/11: Rilevamento automatico (AutoDoH) e Registro di sistema

Windows può abilitare automaticamente DoH con alcuni resolver noti. Nelle versioni precedenti, puoi forzare il comportamento dal Registro: esegui regedit e vai a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Crea un DWORD (32 bit) chiamato EnableAutoDoh con valore 2 y Riavviare il computerFunziona se si utilizzano server DNS che supportano DoH.

Windows Server 2022: client DNS con DoH nativo

Il client DNS integrato in Windows Server 2022 supporta DoH. Sarà possibile utilizzare DoH solo con i server presenti nell'elenco "DoH noti". o che aggiungi tu stesso. Per configurarlo dall'interfaccia grafica:

  1. Apri Impostazioni di Windows > Rete e Internet.
  2. Entra Ethernet e scegli la tua interfaccia.
  3. Nella schermata di rete, scorrere verso il basso fino a Configuración de DNS e premere Modificare.
  4. Selezionare "Manuale" per definire i server preferiti e alternativi.
  5. Se quegli indirizzi sono nell'elenco DoH noto, sarà abilitato “Crittografia DNS preferita” con tre opzioni:
    • Solo crittografia (DNS su HTTPS): Forza DoH; se il server non supporta DoH, non ci sarà alcuna risoluzione.
    • Preferisci la crittografia, consenti la crittografia non crittografata: Tenta DoH e, se fallisce, ricorre al DNS classico non crittografato.
    • Solo non crittografato: Utilizza il tradizionale DNS in chiaro.
  6. Salva per applicare le modifiche.

È anche possibile interrogare ed estendere l'elenco dei resolver DoH noti utilizzando PowerShell. Per vedere l'elenco attuale:

Get-DNSClientDohServerAddress

Per registrare un nuovo server DoH noto con il tuo modello, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Si noti che il cmdlet Set-DNSClientServerAddress non si controlla L'uso di DoH; la crittografia dipende dal fatto che tali indirizzi siano presenti nella tabella dei server DoH noti. Attualmente non è possibile configurare DoH per il client DNS di Windows Server 2022 da Windows Admin Center o con sconfig.cmd.

Criteri di gruppo in Windows Server 2022

C'è una direttiva chiamata “Configura DNS su HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSSe abilitato, puoi scegliere:

  • Consenti DoH: Utilizzare DoH se il server lo supporta; in caso contrario, eseguire la query in chiaro.
  • Vietare il DoH: non utilizza mai DoH.
  • Richiedi DoH: forza DoH; se non c'è supporto, la risoluzione fallisce.
Contenuti esclusivi: clicca qui  Perché l'applicazione ESET NOD32 Antivirus non si apre quando provo a utilizzarla?

Importante: Non abilitare "Richiedi DoH" sui computer aggiunti al dominioActive Directory si basa sul DNS e il ruolo Server DNS di Windows Server non supporta le query DoH. Se è necessario proteggere il traffico DNS all'interno di un ambiente AD, si consiglia di utilizzare Regole IPsec tra client e risolutori interni.

Se sei interessato a reindirizzare domini specifici a risolutori specifici, puoi utilizzare NRPT (Tabella delle politiche di risoluzione dei nomi)Se il server di destinazione è nell'elenco DoH noto, quelle consultazioni viaggerà attraverso il DoH.

Android, iOS e Linux

Su Android 9 e versioni successive, l'opzione DNS privado consente DoT (non DoH) con due modalità: "Automatica" (opportunistica, utilizza il resolver di rete) e "Rigorosa" (è necessario specificare un nome host convalidato dal certificato; gli IP diretti non sono supportati).

Su iOS e Android, l'app 1.1.1.1 Cloudflare abilita DoH o DoT in modalità rigorosa utilizzando l'API VPN per intercettare le richieste non crittografate e inoltrarli tramite un canale sicuro.

En Linux, systemd-resolved supporta DoT da systemd 239. È disabilitato per impostazione predefinita; offre la modalità opportunistica senza convalidare i certificati e la modalità rigorosa (da 243) con convalida CA ma senza SNI o verifica del nome, che indebolisce il modello di fiducia contro gli aggressori sulla strada.

Su Linux, macOS o Windows, puoi optare per un client DoH in modalità rigorosa come cloudflared proxy-dns (di default usa 1.1.1.1, anche se puoi definire gli upstream alternative).

Server DoH noti (Windows) e come aggiungerne altri

Windows Server include un elenco di resolver che supportano DoH. Puoi verificarlo con PowerShell e aggiungi nuove voci se necessario.

Questi sono i server DoH noti già pronti all'uso:

Proprietario del server Indirizzi IP del server DNS
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Per ver la lista, correre:

Get-DNSClientDohServerAddress

Per aggiungere un nuovo resolver DoH con il suo modello, utilizza:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Se gestisci più namespace, l'NRPT ti consentirà di gestire domini specifici a uno specifico resolver che supporta DoH.

Come verificare se DoH è attivo

Nei browser, visita https://1.1.1.1/help; lì vedrai se il tuo traffico utilizza DoH con 1.1.1.1 o no. È un test rapido per vedere in che stato ti trovi.

In Windows 10 (versione 2004), è possibile monitorare il traffico DNS classico (porta 53) con pktmon da una console privilegiata:

pktmon filter add -p 53
pktmon start --etw -m real-time

Se sul 53 appare un flusso costante di pacchetti, è molto probabile che stai ancora utilizzando DNS non crittografatiRicorda: il parametro --etw -m real-time richiede 2004; nelle versioni precedenti verrà visualizzato un errore "parametro sconosciuto".

Facoltativo: configurarlo sul router (MikroTik)

Se preferisci centralizzare la crittografia sul router, puoi facilmente abilitare DoH sui dispositivi MikroTik. Per prima cosa, importa la CA radice che sarà firmato dal server a cui ti connetterai. Per Cloudflare puoi scaricare DigiCertGlobalRootCA.crt.pem.

Carica il file sul router (trascinandolo su "File") e vai su Sistema > Certificati > Importa per incorporarlo. Quindi, configura il DNS del router con URL DoH di CloudflareUna volta attivo, il router darà priorità alla connessione crittografata rispetto al DNS predefinito non crittografato.

Contenuti esclusivi: clicca qui  Come decifrare le password WiFi dal mio cellulare

Per convalidare che tutto sia in ordine, visita 1.1.1.1/aiuto da un computer dietro il router. Puoi fare tutto anche tramite terminale in RouterOS, se preferisci.

Prestazioni, privacy aggiuntiva e limiti dell'approccio

Quando si parla di velocità, due parametri sono importanti: il tempo di risoluzione e il caricamento effettivo della pagina. Test indipendenti (come SamKnows) Concludono che la differenza tra DoH e DNS classico (Do53) è marginale su entrambi i fronti; in pratica, non si dovrebbe notare alcuna lentezza.

DoH crittografa la "query DNS", ma sulla rete ci sono più segnali. Anche se nascondi il DNS, un ISP potrebbe dedurre cose Tramite connessioni TLS (ad esempio, SNI in alcuni scenari legacy) o altre tracce. Per migliorare la privacy, è possibile esplorare DoT, DNSCrypt, DNSCurve o client che riducono al minimo i metadati.

Non tutti gli ecosistemi supportano ancora DoH. Molti resolver legacy non offrono questa funzionalità., costringendo a fare affidamento su fonti pubbliche (Cloudflare, Google, Quad9, ecc.). Ciò apre il dibattito sulla centralizzazione: concentrare le query su pochi attori comporta costi in termini di privacy e fiducia.

Negli ambienti aziendali, DoH può entrare in conflitto con le policy di sicurezza basate su Monitoraggio o filtraggio DNS (malware, controlli parentali, conformità legale). Le soluzioni includono MDM/Group Policy per impostare un resolver DoH/DoT in modalità rigorosa, o in combinazione con controlli a livello di applicazione, che sono più precisi del blocco basato sul dominio.

DNSSEC integra DoH: DoH protegge il trasporto; DNSSEC convalida la rispostaL'adozione è disomogenea e alcuni dispositivi intermedi la violano, ma il trend è positivo. Lungo il percorso tra resolver e server autorevoli, il DNS rimane tradizionalmente non crittografato; sono già in corso esperimenti con DoT tra i grandi operatori (ad esempio, 1.1.1.1 con i server autorevoli di Facebook) per migliorare la protezione.

Un'alternativa intermedia è quella di crittografare solo tra il router e il resolver, lasciando la connessione tra i dispositivi e il router non crittografata. Utile su reti cablate sicure, ma non consigliato su reti Wi-Fi aperte: altri utenti potrebbero spiare o manipolare queste query all'interno della LAN.

Crea il tuo risolutore DoH

Se desideri la completa indipendenza, puoi implementare il tuo resolver. Non vincolato + Redis (cache L2) + Nginx è una combinazione popolare per servire URL DoH e filtrare domini con elenchi aggiornabili automaticamente.

Questo stack funziona perfettamente su un VPS modesto (ad esempio, un nucleo/2 fili per una famiglia). Esistono guide con istruzioni pronte all'uso, come questo repository: github.com/ousatov-ua/dns-filtering. Alcuni provider VPS offrono crediti di benvenuto per i nuovi utenti, così puoi impostare una prova a basso costo.

Con il tuo risolutore privato, puoi scegliere le tue fonti di filtraggio, decidere le politiche di conservazione e evita di centralizzare le tue query a terze parti. In cambio, gestisci la sicurezza, la manutenzione e l'elevata disponibilità.

Prima di concludere, una nota di validità: su Internet le opzioni, i menu e i nomi cambiano frequentemente; alcune vecchie guide sono obsolete (Ad esempio, nelle versioni recenti di Chrome non è più necessario passare attraverso i "flag".) Verificare sempre la documentazione del browser o del sistema.

Se sei arrivato fin qui, sai già cosa fa DoH, come si inserisce nel puzzle con DoT e DNSSEC e, cosa più importante, come attivarlo subito sul tuo dispositivo Per impedire al DNS di viaggiare in chiaro. Con pochi clic nel browser o modifiche in Windows (anche a livello di policy in Server 2022) otterrai query crittografate; se vuoi portare le cose a un livello superiore, puoi spostare la crittografia sul router MikroTik o creare un tuo resolver. La chiave è che, Senza toccare il router, puoi proteggere una delle parti del tuo traffico più chiacchierate al giorno d'oggi..