TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.

Circola da anni l’idea che usare DNS over HTTPS o DNS over TLS renda invisibili al proprio ISP. È una semplificazione sbagliata, e David Bombal, youtuber specializzato in networking e sicurezza, ha deciso di smontarla con una dimostrazione pratica: traffico reale, tap fisico su Ethernet, Wireshark aperto.

// affiliato ▸ Alternative ID · La tua identità, sotto il tuo controllo all'80% di sconto · Provalo gratis →

Il video, pubblicato il 17 aprile, dura circa mezz’ora e se avete tempo da dedicargli vale sicuramente la pena. Purtroppo è solo su YouTube e non ci penso nemmeno a embeddarlo, quindi vi lascio solo il link: https://www.youtube.com/watch?v=46hy3r_1VqY così potete aprirlo dove preferite.

Il problema: lo SNI nel ClientHello

Cifrare le query DNS nasconde le richieste al resolver, ma non basta a nascondere il nome del sito che si sta raggiungendo. Quando il browser avvia una connessione HTTPS, durante l’handshake TLS invia il messaggio ClientHello, che di norma contiene il campo SNI, Server Name Indication, leggibile da chi osserva il traffico. Serve a indicare al server quale dominio si vuole raggiungere, perché sullo stesso indirizzo IP possono convivere molti siti diversi.

Bombal lo mostra in diretta: anche con DNS cifrato tramite Google o Cloudflare, e anche con TLS 1.3, i domini visitati possono ancora comparire in chiaro nel traffico se il sito non usa protezioni aggiuntive. Microsoft, Cisco, Nvidia, ChatGPT: tutto visibile.

ECH: soluzione parziale

L’Encrypted Client Hello prova a chiudere proprio questa falla, cifrando anche quella parte dell’handshake. Nella cattura mostrata da Bombal, i siti che lo usano correttamente espongono solo cloudflare-ech.com invece del dominio reale. È un passo avanti importante, ma non risolve tutto: non tutti i siti lo supportano e, anche quando è attivo, possono restare altri indizi collaterali utili a capire dove si sta andando, a partire dall’indirizzo IP di destinazione.

La soluzione più pratica

Nella parte finale, Bombal attiva e ripete le catture: i domini non sono più visibili sulla rete locale, e al loro posto compare solo traffico WireGuard cifrato verso il server VPN. Nella pratica, è il modo più semplice per impedire a ISP, reti aziendali o chiunque stia osservando quella connessione di vedere direttamente i siti visitati.

Il video usa Proton per la demo, ma il concetto vale per qualsiasi VPN seria. Questo però non rende “invisibili” in assoluto: sposta semplicemente la fiducia dal provider Internet al provider VPN, che va scelto con attenzione. L’importante è puntare su un servizio affidabile, con una politica no-log verificabile e una storia credibile. Mullvad è un’altra scelta solida in questo senso, con un modello di business volutamente minimale e senza account legati all’identità dell’utente. Trovate un elenco aggiornato di VPN valide su Le Alternative.

Il video è su YouTube e lo trovate qui sotto. Se avete dieci minuti, saltate direttamente alla sezione delle catture Wireshark: vedere i propri domini scorrere in chiaro è più convincente di qualsiasi spiegazione testuale.