Windows Server 2025 introduce DNS over HTTPS: perché è una svolta per la sicurezza

La stragrande maggioranza delle attività svolta sulla rete implica generalmente l’utilizzo dei resolver DNS. Aprire un’applicazione SaaS, raggiungere un server esterno, collegarsi a una piattaforma cloud o autenticarsi a un servizio online richiede spesso la risoluzione di nomi mnemonici (come google.it o www.ilsoftware.it). Per anni il traffico DNS ha viaggiato in chiaro, consentendo l’ispezione delle richieste, l’analisi delle abitudini degli utenti e, nei casi peggiori, la manipolazione delle risposte.

Microsoft ha finalmente deciso di affrontare il problema annunciando la disponibilità generale del supporto per DNS over HTTPS (DoH) su Windows DNS Server, una funzionalità che porta finalmente la cifratura del traffico DNS all’interno delle infrastrutture Windows Server. La novità arriva dopo una lunga fase di anteprima pubblica e rappresenta uno dei cambiamenti più significativi introdotti nel ruolo DNS negli ultimi anni.

Secondo Microsoft, la crescente adozione di modelli Zero Trust e la diffusione di servizi distribuiti tra data center e cloud hanno reso sempre più evidente una debolezza storica delle reti aziendali: proteggere applicazioni e utenti lasciando il DNS in chiaro significa mantenere aperta una finestra informativa estremamente preziosa per un potenziale attaccante.

Perché il DNS tradizionale non è più sufficiente

Il protocollo DNS fu progettato in un’epoca in cui la rete Internet era molto diversa da quella attuale. L’obiettivo principale consisteva nel garantire rapidità ed efficienza nella risoluzione dei nomi, non certo protezione dei dati. Per questo motivo, di default, le richieste DNS utilizzano normalmente il protocollo UDP sulla porta 53 e trasmettono le informazioni senza cifratura.

In questo caso chiunque abbia visibilità sul traffico può sapere quali domini sono interrogati dagli utenti: in molte situazioni queste informazioni risultano più preziose del contenuto stesso delle comunicazioni. Sapere che un dipendente accede a determinati servizi cloud, applicazioni o portali permette infatti di ricostruire parte dell’operatività di un’organizzazione.

Il problema non riguarda esclusivamente la riservatezza. Un aggressore che riesce a posizionarsi tra client e server DNS può tentare operazioni di intercettazione, alterare le risposte o reindirizzare il traffico verso destinazioni arbitrarie.

Tecniche come il DNS spoofing, che consiste nel falsificare le risposte del sistema di risoluzione dei nomi di dominio per reindirizzare gli utenti verso siti non legittimi, continuano a rappresentare ancora oggi una minaccia reale e concreta.

Cosa cambia con DNS over HTTPS

Con l’introduzione di DoH, le richieste DNS vengono trasmesse attraverso connessioni HTTPS protette tramite TLS: il traffico DNS non viaggia più in chiaro ma sfrutta gli stessi meccanismi crittografici utilizzati per proteggere le comunicazioni web.

Dopo aver da tempo inserito il supporto DoH in Windows, Microsoft ha implementato la funzionalità anche lato Windows Server seguendo lo standard definito dalla RFC 8484 dell’Internet Engineering Task Force. La conformità allo standard garantisce compatibilità con client e strumenti moderni che supportano DNS over HTTPS.

La cifratura impedisce l’ispezione non autorizzata delle query DNS, riduce la superficie esposta agli attacchi man-in-the-middle e limita la possibilità di effettuare attività di analisi del traffico basate sulle richieste di risoluzione. Inoltre, il server DNS utilizza certificati digitali che consentono ai client di verificarne l’identità prima di stabilire una connessione.

L’autenticazione crittografica del resolver contribuisce a contrastare tentativi di impersonificazione e scenari nei quali un attaccante prova a sostituirsi al server DNS legittimo.

I requisiti tecnici richiesti da Microsoft su Windows Server per attivare DoH

La funzionalità DoH è disponibile sulle installazioni di Windows Server 2025 aggiornate con gli ultimi aggiornamenti cumulativi distribuiti da Microsoft. L’azienda raccomanda esplicitamente di utilizzare sistemi completamente aggiornati prima di procedere all’attivazione negli ambienti produttivi.

Il server DNS deve disporre di un certificato TLS valido che permetta ai client di verificarne l’identità: senza tale requisito non è possibile stabilire connessioni DoH sicure.

L’implementazione attuale protegge solo le comunicazioni tra i client e Windows DNS Server, su Windows Server 2025, che esegue la risoluzione delle richieste.

Dopo aver ricevuto una richiesta DNS, il server può però continuare a interrogare altri resolver DNS esterni (upstream), utilizzando i tradizionali protocolli non cifrati.

Microsoft ha già confermato che il supporto alla cifratura delle comunicazioni tra Windows DNS Server e i resolver DNS upstream sarà introdotto in un futuro aggiornamento. Quando questa funzionalità sarà disponibile, l’intero processo di risoluzione DNS, dal client fino ai server esterni coinvolti, potrà essere protetto in modo più completo.

È un aspetto importante: in molte infrastrutture, infatti, il resolver DNS interno inoltra una parte rilevante delle richieste verso servizi DNS esterni. Proteggere esclusivamente il collegamento iniziale tra client e server DNS aumenta significativamente il livello di sicurezza, ma non impedisce che il traffico possa essere monitorato o analizzato nei passaggi successivi del percorso di comunicazione.

Una lacuna storica finalmente colmata

Le installazioni di Windows, come osservato in precedenza, supportano DNS over HTTPS già da diversi anni, ma fino a oggi il ruolo DNS di Windows Server non offriva una soluzione equivalente per le reti aziendali. Molte organizzazioni hanno quindi adottato software di terze parti oppure piattaforme DNS alternative per ottenere livelli di protezione superiori.

L’arrivo della disponibilità generale cambia lo scenario: Microsoft porta una tecnologia ormai considerata essenziale direttamente all’interno del proprio stack infrastrutturale, semplificando l’adozione di DNS cifrato senza richiedere componenti aggiuntivi.

Per gli amministratori, la novità significa poter proteggere uno dei protocolli più critici della rete utilizzando strumenti integrati, supportati ufficialmente e progettati per convivere con le architetture Windows già presenti nelle aziende. Considerando il ruolo centrale che il DNS svolge in qualsiasi comunicazione di rete, si tratta probabilmente di uno degli aggiornamenti di sicurezza più rilevanti introdotti in Windows Server 2025.