Google ha aggiunto una nuova funzione che sta testando per il sistema operativo mobile Android. La nuova funzione crittografa le richieste DNS (Domain Name Server) utilizzando il protocollo TLS (Transport Layer Security) e si chiama DNS-over-TLS, analogamente a come i dati HTTP vengono crittografati con TLS quando si utilizza il protocollo HTTPS. Android è attualmente il sistema operativo mobile più popolare in uso in tutto il mondo, e l’aggiunta di DNS-over-TLS contribuirebbe a proteggere la privacy e la sicurezza degli utenti impedendo che le loro richieste DNS venissero spiate dal proprio Internet Service Provider (ISP), Virtual Private Network (VPN), hacker e programmi di sorveglianza di massa globali governativi.
Il sistema DNS traduce gli indirizzi Web in indirizzi IP. Con le richieste DNS crittografate, un fornitore di servizi o un utente malintenzionato può solo dire che è stata fatta una richiesta, ma non quale sito web è stato richiesto. È importante notare che anche con DNS-over-TLS abilitato, i provider di servizi e gli autori di attacchi saranno comunque in grado di vedere l’indirizzo IP a cui è connesso un utente. Pur avendo un indirizzo IP può rivelare a quale sito è connesso un utente, un indirizzo IP stesso rivela veramente a quale server è connesso un utente, poiché i servizi di hosting Web condivisi possono servire molti siti Web utilizzando lo stesso indirizzo IP. Pertanto, l’abilitazione della crittografia delle query e delle risposte DNS contribuisce ad aumentare ulteriormente la protezione della privacy.
È probabile che Google intenda implementare la funzione nelle versioni future del sistema operativo Android. Google ha precedentemente implementato DNS-over-TLS per il suo servizio di risoluzione DNS pubblico, chiamato DNS-over-HTTPS. Mentre utilizza HTTPS per crittografare i dati inviati tra un utente e il server del sito, impedendo a un provider di servizi o malintenzionato di vedere con precisione ciò che viene inviato e ricevuto, il DNS non crittografato consente ai provider di servizi e agli aggressori di vedere con quale sito si è connessi. L’adozione di massa di un sistema DNS crittografato fornirebbe un ulteriore livello di privacy e sicurezza e renderebbe un po ‘più difficile per i governi di tutto il mondo condurre i loro programmi globali di sorveglianza di massa. Le query e le risposte DNS regolari vengono inviate non crittografate su TCP / IP (Transmission Control Protocol / Internet Protocol) o su UDP (User Datagram Protocol), che consente agli utenti malintenzionati di intercettare facilmente le richieste DNS effettuate dall’utente e abilitare il filtro DNS , censura e spoofing.
Il DNS-over-TLS di Android non è l’unica implementazione di DNS-over-TLS o l’unico metodo di crittografia delle richieste DNS. Stubby, un resolver di stub della privacy DNS implementa anche DNS-over-TLS. DNS-over-TLS è uno standard proposto con Internet Engineering Task Force (IETF). Un altro metodo per effettuare richieste DNS crittografate è attraverso l’uso di DNSCrypt. Tuttavia, DNSCrypt non è mai stato inviato a IETF come standard proposto, in quanto gli sviluppatori non hanno mai inviato una richiesta di commenti. Molti risolutori DNS offrono supporto per DNSCrypt e alcuni offrono persino supporto per DNSCrypt e DNS-over-TLS. Altre implementazioni crittografate di DNS includono DNSCurve, DNS riservato e IPSECA. Il gruppo di lavoro PRIVATE Exchange (DPRIVE) DNS di IETF, che cerca di creare metodi per proteggere le transazioni DNS, mantenendoli riservati anche in “monitoraggio pervasivo”, ha adottato un sistema DNS crittografato chiamato DNSoD o DNS su Datagram Transport Layer Security (DTLS) .
L’IETF ha anche un intero set di specifiche per la protezione del DNS, note come Domain Name System Security Extensions o DNSSEC. Tuttavia, DNSSEC fornisce solo l’autenticazione crittografica dell’origine dei dati DNS, la negazione dell’esistenza e l’integrità dei dati, ma non crittografa le risposte DNS. La nuova funzione DNS-over-TLS includerebbe la possibilità per gli utenti di disabilitare DNS-over-TLS. Le nuove aggiunte al sistema operativo Android includono anche una funzione per gli sviluppatori di controllare la funzione DNS-over-TLS. Quando DNS-over-TLS è abilitato e le richieste DNS vengono effettuate a un resolver DNS che supporta DNS-over-TLS, tutte le richieste e le risposte DNS vengono crittografate e eseguite tramite il protocollo TLS.