Quote:
Originariamente inviato da frncr
Sei OT, comunque a me risulta che sia più efficace DoH nel garantire la riservatezza e i diritti civili, visto che utilizza la porta standard HTTPS così che le richieste DNS non possano essere discriminate/filtrate rispetto al normale traffico. DoT ha dei vantaggi dal punto di vista della gestione tecnica delle reti, proprio per la capacità di discriminare il traffico DNS, ma visto che lo scopo di cifrare le richieste DNS è proprio la difesa della privacy e la lotta alla censura e alla repressione delle libertà civili, personalmente mi sembra più opportuno usare DoH.
Vixie rappresenta un punto di vista piuttosto di parte, puramente tecnicistico, non lo prenderei a riferimento per una riflessione equilibrata sull'argomento.
https://www.thesslstore.com/blog/dns...ns-over-https/ |
Hai ragione, il tema non è strettamente in topic, però è comunque critico in merito allo stato di salute della rete.
Vixie esprime un punto di vista strettamente tecnico, però ricordiamoci anche che ogni volta che si è utilizzato uno strumento tecnico per risolvere un problema politico i risultati non sono mai stati positivi.
Occorre anche tener presente che alcuni aspetti (controllo sulla risoluzione o l'accesso alla rete) non sono sbagliati a prescindere, possono esserlo in alcuni contesti (es paesi politicamente instabili, censura etc etc), mentre in altri non solo sono giusti ma anche sacrosanti (es lan, aziende, organizzazioni).
A mio parere le obiezioni portate in questa diatriba a favore di DOH sono poco significative, non perchè libertà di espressione, censura o tracciature degli utenti non siano importanti, ma perchè questa soluzione non cambia nulla a tal proposito.
L'obiezione della tracciatura degli utenti è poco significativa perchè comunque i big dell'advertising hanno ben altri strumenti molto più efficaci per tracciare e profilare gli utenti.
Per quanto riguarda invece censura/repressione i vantaggi del DOH sono sostanzialmente poco significativi, entrambi le implementazioni usano lo stesso protocollo layer 4 (TCP) e di modi per interrogare un DNS over TLS anche dietro firewall o paesi politicamente instabili ce ne sono a bizzeffe (VPN, tunnel ssh, multiplexer ssl, nat, reverse proxy, oppure banalmente binding del resolver DOT sulla 443).
Tutto questo senza considerare i dettagli tecnici delle due implementazioni, dove è universalmente riconosciuta la maggiore solidità di DOT.
Al di la di questi aspetti, proprio ragionando in termini di "salute" della rete sarebbe utile interrogarsi se sia lecito che un operatore (per giunta no-profit che ha nel suo statuto la difesa della privacy e la trasparenza) possa permettersi di forzare la risoluzione tramite un DOH specifico (per giunta commerciale, Cloudflare nello specifico) bypassando le impostazioni di rete del sistema operativo senza avvisare l'utente finale.