DNS-over-QUIC, cos'è e come funziona il successore di DoH

Il tempo delle comunicazioni non crittografate sta volgendo al termine. Anni fa l’IETF (Internet Engineering Task Force), organismo internazionale libero composto da tecnici, specialisti e ricercatori interessati all’evoluzione tecnica e tecnologica della rete Internet, ha approvato l’utilizzo dei protocolli DNS-over-TLS (DoT) prima e DNS-over-HTTPS (DoH) poi per proteggere, grazie alla crittografia, le richieste di risoluzione dei nomi a dominio inviate ai server DNS.

A metà maggio 2022 IETF ha adottato le specifiche di DNS-over-QUIC (DoQ), protocollo ormai destinato a diventare uno standard ufficiale e, stando a quanto emerso, a superare i predecessori come DoT e DoH.

DNS-over-QUIC è un protocollo DNS che utilizza il protocollo del livello di trasporto QUIC per trasmettere le richieste di risoluzione dei domini. Il protocollo QUIC è stato presentato da Google nel 2015 e si propone di velocizzare lo scambio dei dati sul Web.
Rispetto al protocollo TCP QUIC non è soltanto più veloce ma anche più affidabile e sicuro offrendo un maggior numero di opzioni crittografiche.

I principali vantaggi di DNS-over-QUIC (DoQ)

Il protocollo DNS-over-QUIC supporta innanzi tutto la crittografia del traffico DNS: nessuno può stabilire quali siti Web vengono visitati dall’utente.

QUIC funziona bene anche nelle reti con un alto tasso di perdita di pacchetti e supporta la cosiddetta “migrazione della connessione”: quando si esce di casa o dall’ufficio e lo smartphone passa dalla WiFi alla rete mobile con QUIC la connessione con l’host remoto non si interrompe mai.
QUIC consente inoltre di stabilire una connessione di rete molto più velocemente, cosa molto utile quando utilizzano i dispositivi mobili. Con l’implementazione di DNS-over-QUIC, la connessione viene stabilita due volte più velocemente rispetto a DNS-over-TLS.
Grazie all’utilizzo di QUIC, DNS-over-QUIC può fornire il servizio di risoluzione DNS con una latenza minima.

Nonostante DoQ non sia ancora considerabile come uno standard, esistono già diverse implementazioni sperimentali che offrono il supporto sia lato client che server. Alcuni server DNS sono stati a loro volta arricchiti con il supporto DoQ.
Come conferma APNIC si calcola che a livello mondiale esistano ormai centinaia e centinaia di resolver DNS compatibili DoQ con l’adozione del protocollo che cresce giorno dopo giorno.

Analizzando i tempi di risposta di DoQ, APNIC ha rilevato che i tempi di handshake sfruttano appieno il potenziale di QUIC in circa il 20% delle misurazioni. Tuttavia, circa in 40% dei rilevamenti le tempistiche sono apparse notevolmente più elevate del previsto a testimonianza delle ottimizzazioni che devono essere ancora implementate.
Sebbene quindi il potenziale di DoQ non sia ancora completamente sfruttato, il nuovo protocollo supera già oggi DoT e DoH rendendolo la scelta migliore per gestire richieste DNS crittografate.

Sullo sfondo c’è sempre il progetto del DNS europeo che le Autorità regolatorie intendono realizzare e mettere a disposizione di cittadini ed imprese.