Indice dei Contenuti
- Perché DoH e DoT sono importanti nel 2026
- Analisi approfondita di Cloudflare 1.1.1.1
- Analisi approfondita di NextDNS
- Analisi approfondita di Quad9
- Analisi approfondita del resolver self-hosted
- Tabella di confronto: 5 opzioni × 10 criteri
- Raccomandazioni per profilo
Cos'è DNS-over-HTTPS e perché è importante?
DNS-over-HTTPS (DoH) cripta le query DNS all'interno del traffico HTTPS standard sulla porta 443, rendendole indistinguibili dalla normale navigazione web. Senza crittografia, ogni nome host che risolvi — ogni sito che visiti — viaggia in chiaro leggibile dal tuo ISP, dagli operatori di Wi-Fi pubblici e dai middlebox di rete. Nel 2026, il DNS non criptato rimane il vettore di sorveglianza a livello di rete più ampiamente sfruttato.
I termini chiave utilizzati in questo articolo — DoH, DoT, ECH, SNI, CNAME cloaking — sono definiti nel glossario sulla privacy e sicurezza del browser.
Perché DoH e DoT sono importanti nel 2026
Il DNS è stato progettato nel 1983 con un solo requisito: la correttezza. La privacy non era all'ordine del giorno. Ogni query DNS che invii — il nome host di ogni sito che visiti, ogni API che chiami, ogni aggiornamento che il tuo telefono controlla — viaggia in chiaro per impostazione predefinita. Il tuo ISP può leggerlo. L'operatore di qualsiasi rete WiFi pubblica può leggerlo. Qualsiasi stato-nazione che gestisce un middlebox su una rete di transito può leggerlo.
Nel 2026, questa non è una minaccia teorica. I mandati normativi per il filtraggio basato su DNS sono attivi nell'UE, nel Regno Unito, in Australia, in India e in dozzine di altre giurisdizioni. Gli ISP in diversi paesi monetizzano i log delle query DNS vendendoli a broker di dati. L'iniezione di contenuti basata su DPI — dove il tuo ISP riscrive le risposte DNS o inietta contenuti nelle connessioni HTTP — è stata documentata in almeno 14 paesi nel 2025. Il DNS non criptato è contemporaneamente la superficie di attacco più facile sulla tua rete e quella più frequentemente lasciata non corretta.
Due protocolli affrontano questo problema. DNS-over-TLS (DoT) avvolge il DNS in una connessione TLS sulla porta 853. Cripta la query, ma poiché la porta 853 è esclusiva per DoT, gli operatori di rete possono identificare e bloccare il traffico in modo banale. DNS-over-HTTPS (DoH) invia le query DNS all'interno dell'HTTPS standard sulla porta 443, indistinguibile per gli osservatori passivi dalla normale navigazione web. Questo rende DoH significativamente più difficile da censurare e aumenta notevolmente il costo della sorveglianza.
Oltre a questi due, DNS-over-QUIC (DoQ) esegue semantiche equivalenti a DoH sul trasporto QUIC, eliminando l'overhead della stretta di mano TCP e migliorando la latenza sulle reti mobili. Cloudflare e un piccolo numero di altri fornitori supportano DoQ nel 2026, ma il supporto a livello di sistema operativo è ancora limitato.
Il cambiamento nel modello di minaccia dal 2020 — la nostra guida alla modellazione delle minacce per utenti tecnici spiega come formalizzare il tuo — merita di essere nominato esplicitamente. Tre anni fa, l'argomento principale per il DNS criptato era la registrazione da parte dell'ISP. Questo rimane vero, ma sono emersi tre vettori aggiuntivi:
Esposizione GDPR e protezione dei dati. Nell'UE, i log delle query detenuti da un resolver costituiscono dati personali ai sensi dell'Articolo 4(1). Se instradi tutto il DNS domestico attraverso un fornitore commerciale con conservazione, stai creando una relazione di controllo dei dati a cui la maggior parte degli utenti non ha mai acconsentito in modo significativo.
MITM WiFi pubblico. Caffè, aeroporti, hotel e sedi di conferenze eseguono regolarmente l'intercettazione DNS. Con il DNS non criptato, possono reindirizzarti silenziosamente. DoH elimina questo vettore di attacco perché il punto finale del resolver è verificato dal certificato TLS.
Bypass della censura. I blocchi DNS imposti dallo stato sono il primo strato di infrastruttura di censura nella maggior parte dei paesi. Criptare e tunnelizzare il DNS attraverso un endpoint sulla porta 443 sconfigge questo strato senza richiedere una VPN completa. Per gli utenti in ambienti a accesso limitato, DoH è spesso lo strumento minimo di privacy praticabile.
Le sezioni rimanenti valutano le quattro principali opzioni di distribuzione disponibili nel 2026: Cloudflare 1.1.1.1, NextDNS, Quad9 e resolver self-hosted. Ogni sezione copre il supporto del protocollo, la postura sulla privacy, le capacità di filtraggio, la giurisdizione e la storia degli audit rilevanti.
Analisi approfondita di Cloudflare 1.1.1.1
Cloudflare ha lanciato 1.1.1.1 nell'aprile 2018 come resolver pubblico orientato alla privacy. Nel 2026 rimane il resolver DNS pubblico più veloce per latenza mediana globale e l'endpoint DoH più ampiamente distribuito su Internet, integrato di default in Chrome su Android, diversi firmware di router e l'infrastruttura iOS Private Relay.
Supporto del protocollo. 1.1.1.1 supporta DoH (RFC 8484), DoT (RFC 7858) e DoQ (RFC 9250). L'endpoint DoH è https://cloudflare-dns.com/dns-query e https://1.1.1.1/dns-query. Il server DoT è one.one.one.one sulla porta 853. Per DoQ, client come AdGuard DNS client supportano l'endpoint quic://dns.cloudflare.com.
Postura sulla privacy. Cloudflare pubblica un rapporto annuale sulla privacy verificato da KPMG. Impegni chiave: nessuna vendita di dati delle query DNS a terzi, nessun uso dei dati delle query di 1.1.1.1 per mirare annunci pubblicitari e cancellazione dei log degli indirizzi IP completi entro 25 ore. I metadati del resolver stub (IP troncati, conteggi aggregati delle query) sono conservati per metriche operative. Cloudflare è incorporata negli Stati Uniti, soggetta a NSL e ordini FISA Sezione 702. Per modelli di minaccia che includono il processo legale del governo degli Stati Uniti, questa è una limitazione non banale.
Varianti di filtraggio. Cloudflare gestisce tre resolver distinti. Il base 1.1.1.1 non applica alcun filtraggio. 1.1.1.2 (Cloudflare Security) blocca domini noti di malware e phishing utilizzando l'intelligence sulle minacce di Cloudflare. 1.1.1.3 (Cloudflare Family) aggiunge il filtraggio dei contenuti per adulti. Gli equivalenti DoH utilizzano sottodomini: security.cloudflare-dns.com e family.cloudflare-dns.com.
Latenza. La rete Anycast di Cloudflare si estende su oltre 300 punti di presenza. La latenza mediana dall'Europa occidentale è di circa 5-12ms, la più bassa di qualsiasi grande resolver pubblico. Dal Sud-est asiatico e dall'America Latina, di solito è di 15-30ms — ancora competitiva con i resolver ISP.
Storia degli audit. Sono stati pubblicati tre audit KPMG (2019, 2021, 2023). Tutti hanno confermato la conformità di Cloudflare con le pratiche sui dati dichiarate. L'audit del 2023 ha confermato l'assenza di prove di collegamento IP-query nei log conservati. Il prossimo audit programmato copre le operazioni del 2025.
Verdetto. Cloudflare 1.1.1.1 è la scelta giusta per gli utenti che danno priorità alla latenza e al supporto della piattaforma ampia, e il cui modello di minaccia non include specificamente il processo legale del governo degli Stati Uniti. Per casi d'uso ad alta sensibilità, la giurisdizione statunitense è una limitazione reale.
Analisi approfondita di NextDNS
NextDNS è stato lanciato nel 2019 come resolver pubblico configurabile. Il suo differenziatore principale è la personalizzazione per account: liste di blocco, liste di permessi, analisi, controlli parentali e politiche per dispositivo. Nel 2026, NextDNS ha circa 2 milioni di utenti attivi e elabora oltre 200 miliardi di query al mese.
Supporto del protocollo. NextDNS supporta DoH, DoT, DoQ e DNSCrypt. Ogni account ottiene un endpoint del resolver unico (https://dns.nextdns.io/XXXXXX) che consente l'applicazione di politiche per account. Questo è architettonicamente diverso da Cloudflare e Quad9, che applicano politiche globali.
Postura sulla privacy. NextDNS è incorporato nel Delaware (USA). Il modello di privacy è l'analisi opt-in: per impostazione predefinita, la registrazione delle query è disabilitata. Se abiliti i log, scegli il periodo di conservazione (un'ora, un giorno, una settimana, un mese o per sempre). La dashboard mostra analisi delle query in tempo reale quando la registrazione è abilitata. La politica sulla privacy di NextDNS afferma che i dati delle query non vengono venduti o utilizzati per la pubblicità. Tuttavia, la giurisdizione statunitense implica lo stesso avvertimento NSL/FISA di Cloudflare. Per gli utenti che disabilitano completamente la registrazione, l'esposizione pratica è minima.
Liste di blocco e personalizzazione. NextDNS viene fornito con oltre 40 liste di blocco curate: reti pubblicitarie, tracker, malware, phishing, coinminer, contenuti per adulti, social media e altro. Puoi combinarle, aggiungere domini personalizzati e creare liste di permessi per dispositivo. La dashboard di analisi mostra quali liste hanno bloccato il maggior numero di query, rendendo la regolazione semplice. Questo livello di controllo non ha equivalenti in Cloudflare o Quad9.
Prezzi. Piano gratuito: 300.000 query al mese, funzionalità complete. Un utente attivo tipico genera 50.000-150.000 query al mese. Famiglie o configurazioni di rete facilmente superano le 300.000. Il piano Pro costa $1,99 al mese o $19,90 all'anno, senza limite di query. Per gli standard del software per la privacy, è economico.
Prestazioni. NextDNS gestisce data center in Europa e Nord America, con una presenza minore rispetto a Cloudflare. La latenza mediana dall'Europa occidentale è di circa 15-25ms. Dalle regioni al di fuori della copertura di NextDNS, la latenza può salire a 60-100ms. Per gli utenti in Europa centrale o orientale, Asia o America Latina, la latenza è una considerazione reale.
Verdetto. NextDNS è la scelta migliore per gli utenti che desiderano un controllo approfondito del filtraggio, politiche per dispositivo e analisi in tempo reale. La giurisdizione statunitense e la minore impronta PoP sono le due principali limitazioni rispetto a Quad9.
Quale provider DNS è il migliore per la privacy: Quad9 vs Cloudflare?
Per gli utenti focalizzati sulla privacy, Quad9 è la scelta più forte: è una non-profit svizzera, non registra indirizzi IP, applica DNSSEC e non ha incentivi di ricavo pubblicitario. Cloudflare 1.1.1.1 è più veloce a livello globale (mediana ~10ms vs ~13ms in Europa) e verificato da KPMG, ma è una società statunitense soggetta a processi legali NSL/FISA. Scegli Cloudflare per la velocità; scegli Quad9 se il tuo modello di minaccia include la coercizione legale del governo degli Stati Uniti.
Analisi approfondita di Quad9
Quad9 è stato lanciato nel novembre 2017 come progetto congiunto tra IBM, Packet Clearing House e Global Cyber Alliance. Nel 2020 ha spostato la sua sede da San Francisco a Zurigo, Svizzera, e si è ristrutturato come fondazione non-profit svizzera. Questa mossa è stata deliberata: la legge svizzera fornisce tra i regimi di protezione dei dati più forti per un resolver, senza obblighi di conservazione per i log delle query e senza un quadro di sorveglianza di massa equivalente alla Sezione 702 del FISA statunitense.
Supporto del protocollo. Quad9 supporta DoH (https://dns.quad9.net/dns-query), DoT (dns.quad9.net sulla porta 853) e DNSCrypt. Il supporto DoQ è sulla roadmap ma non ancora disponibile in produzione a metà 2026.
Postura sulla privacy. L'impegno principale di Quad9 è non registrare gli indirizzi IP degli utenti finali in produzione. Il contenuto delle query (il nome host richiesto) è utilizzato in aggregato per l'intelligence sulle minacce ma non collegato agli indirizzi IP. Quad9 pubblica un rapporto annuale sulla trasparenza. Essendo una fondazione svizzera, non è soggetta a NSL o ordini FISA statunitensi. Il GDPR dell'UE si applica attraverso la presenza europea di Quad9. Nel 2021 il tribunale regionale tedesco di Monaco ha inizialmente emesso un'ingiunzione ordinando a Quad9 di bloccare un dominio di pirateria specifico; Quad9 ha fatto appello e ha vinto su tutti i fronti, stabilendo che un resolver DNS non è responsabile per i contenuti che risolve.
Filtraggio malware. Il feed di sicurezza di Quad9 aggrega l'intelligence sulle minacce da oltre 25 partner, tra cui F-Secure, Secureworks, Abuse.ch e diversi CERT nazionali. L'endpoint predefinito (9.9.9.9, 149.112.112.112) blocca i domini associati a malware, ransomware, phishing e infrastrutture di comando e controllo botnet. Un endpoint non filtrato è disponibile su 9.9.9.10 per gli utenti che vogliono crittografia senza blocco.
Prestazioni. Quad9 gestisce circa 200 PoP, principalmente in Europa e Nord America. La latenza mediana dall'Europa occidentale è di 8-18ms. La copertura nel Sud-est asiatico, America Latina e Africa è più sottile rispetto a Cloudflare ma in espansione. Per gli utenti europei, Quad9 è tipicamente entro pochi millisecondi da Cloudflare.
Verdetto. Quad9 è l'opzione di resolver pubblico più forte per gli utenti con un serio modello di minaccia per la privacy. Giurisdizione svizzera, struttura non-profit, nessuna registrazione IP e robusto filtraggio malware lo rendono la raccomandazione predefinita per gli utenti che vogliono un resolver gestito senza self-hosting.
Analisi approfondita del resolver self-hosted
Ospitare autonomamente un resolver DNS elimina completamente il problema della registrazione da parte di terzi. Nessuna entità esterna riceve il tuo log delle query. Il compromesso è la complessità operativa: sei responsabile del tempo di attività, della correzione della sicurezza e della correttezza della configurazione.
Le quattro opzioni più pratiche nel 2026 sono:
Unbound. Un resolver ricorsivo e validante mantenuto da NLnet Labs. Unbound esegue la validazione completa di DNSSEC e supporta DoT come inoltro upstream. Non supporta nativamente DoH lato server ma si abbina bene con un frontend DoH come dnsdist. Unbound è la scelta di riferimento per gli utenti che vogliono un resolver snello e verificabile. La configurazione è basata su testo e ben documentata.
AdGuard Home. Un server DNS completo con un'interfaccia web integrata, motore di blocco e politiche per client. AdGuard Home supporta DoH, DoT, DoQ e DNSCrypt sia sul lato upstream che listener. L'installazione richiede meno di 30 minuti su qualsiasi sistema Linux. L'interfaccia di blocco è la più accessibile delle opzioni self-hosted. AdGuard Home è open-source (GPL-3.0) e attivamente mantenuto.
Pi-hole con un proxy DoH. Pi-hole è il bloccatore DNS domestico più conosciuto, principalmente mirato a pubblicità e tracker. Per impostazione predefinita non cripta le query upstream. Aggiungere dnscrypt-proxy o cloudflared come proxy DoH locale fornisce crittografia. Questa configurazione a due componenti è funzionale ma ha più parti mobili rispetto ad AdGuard Home.
dnscrypt-proxy. Un proxy flessibile e a basso ingombro che supporta DoH, DoT, DNSCrypt e DNSCrypt anonimizzato (instradando le query attraverso un relay per nascondere il resolver dall'IP di origine). dnscrypt-proxy è lo strumento giusto per gli utenti che vogliono la massima flessibilità del protocollo o instradamento anonimizzato. Funziona su Linux, macOS, Windows e BSD.
Considerazioni sulla distribuzione. Per uso domestico, un Raspberry Pi 4 che esegue AdGuard Home gestisce il traffico domestico con meno del 5% di carico CPU. Per un piccolo team o ufficio, un VPS da $6 al mese è sufficiente. Il rischio operativo principale è la disponibilità: se il tuo resolver si guasta e lo hai codificato come unico nameserver, la risoluzione DNS fallisce per tutti i dispositivi sulla rete. Configurare un upstream di fallback — idealmente Quad9 o un altro resolver senza registrazione — mitiga questo.
Verdetto. L'hosting autonomo è l'opzione di massima privacy e vale il costo di configurazione per utenti esperti, famiglie focalizzate sulla privacy e piccoli team. AdGuard Home è il punto di partenza raccomandato per la maggior parte degli utenti; Unbound è la scelta per gli utenti che vogliono uno stack snello e con il minimo delle dipendenze.
Tabella di confronto: 5 opzioni × 10 criteri
| Criterio | Cloudflare 1.1.1.1 | NextDNS | Quad9 | Self-hosted (AdGuard Home) | Self-hosted (Unbound) |
|---|---|---|---|---|---|
| Giurisdizione | USA | USA | Svizzera | Tu | Tu |
| Protocolli di crittografia | DoH, DoT, DoQ | DoH, DoT, DoQ, DNSCrypt | DoH, DoT, DNSCrypt | DoH, DoT, DoQ, DNSCrypt | DoT (upstream), DoH via proxy |
| Filtro malware | Opzionale (1.1.1.2) | Sì (configurabile) | Sì (predefinito) | Sì (liste di blocco) | No (lista di blocco via RPZ) |
| Liste di blocco personalizzate | No | Sì (40+ curate + personalizzate) | No | Sì (estese) | Sì (RPZ/zone locali) |
| Analisi delle query | No | Opzionale (opt-in) | No | Sì (solo locale) | No |
| Audit indipendente | Sì (KPMG annuale) | No | Sì (trasparenza annuale) | N/A | N/A |
| Prezzo | Gratuito | Gratuito / $1,99/mese | Gratuito | Gratuito (costo hardware) | Gratuito (costo hardware) |
| Latenza Europa/USA | ~10ms / ~5ms | ~20ms / ~10ms | ~13ms / ~8ms | <5ms (locale) | <5ms (locale) |
| Bypass della censura | Buono | Buono | Buono | Eccellente | Eccellente |
| Possibilità di self-hosting | No | No | No | Sì | Sì |
Raccomandazioni per profilo
Utente esperto domestico. Distribuisci AdGuard Home su un Raspberry Pi o mini PC. Configura Quad9 DoH come resolver upstream. Questo ti dà controllo locale sulle liste di blocco, zero registrazione delle query esterne, upstream in giurisdizione svizzera e protezione malware. L'installazione richiede due ore; la manutenzione è inferiore a 30 minuti al mese.
Sviluppatore con una VPN. Usa NextDNS con la registrazione disabilitata. Il sistema di politiche per dispositivo ti consente di attivare e disattivare il blocco per ambiente. L'endpoint DoH si integra perfettamente nelle configurazioni VPN a tunnel diviso. Se il tuo provider VPN offre il proprio resolver criptato — vedi il nostro benchmark VPN per utenti tecnici — preferiscilo: riduce il numero di entità che possono correlare le tue query.
Famiglia con bambini. NextDNS Pro con le stack di Protezione dalle Minacce + Protezione dal Tracciamento Nativo + Controlli Parentali abilitati. Il sistema di politiche per dispositivo ti consente di impostare regole più rigide per i dispositivi dei bambini senza influenzare i dispositivi degli adulti. Abilita la registrazione delle query per una settimana per regolare le liste di blocco, quindi imposta la conservazione a un'ora o disabilitala.
Profilo paranoico o aziendale. Unbound self-hosted su un VPS rinforzato in una giurisdizione che controlli, con la validazione DNSSEC abilitata, nessuna registrazione del forwarder e instradamento anonimizzato dnscrypt-proxy per il passaggio ricorsivo. Abbinalo a un firewall a livello di rete che blocca tutto il traffico UDP/53 e TCP/853 in uscita tranne attraverso il tuo stack controllato. Questa configurazione massimizza il numero di attori che puoi rimuovere dal percorso delle query.
Per tutti i profili: indipendentemente dal resolver che scegli, applica anche il DNS criptato a livello di sistema operativo o router piuttosto che fare affidamento solo sul DoH a livello di browser. Il DoH a livello di browser crea una divisione in cui alcune applicazioni utilizzano il tuo resolver configurato e altre utilizzano l'endpoint del browser stesso. La configurazione a livello di sistema chiude questa lacuna. Una volta che tutto è a posto, verifica la configurazione end-to-end con la nostra guida al rilevamento delle perdite di rete.
Risorse interne: Stato della privacy del browser 2026 copre il fingerprinting, l'identità TLS e il rafforzamento a livello di sistema operativo che completano la crittografia DNS. Modalità di blocco iOS e prestazioni JSC esamina i compromessi della modalità di isolamento massimo sui dispositivi Apple. Per gli operatori che gestiscono le proprie proprietà web, il nostro controllo degli header di sicurezza HTTP verifica gli header di risposta inviati dal tuo server — inclusi HSTS, CSP e politiche di referrer che completano una postura DNS criptata.
