DNS over HTTPS (DoH) basta a proteggere la mia privacy?

No. DoH cifra la query DNS tra il tuo browser (o sistema operativo) e il resolver DoH scelto (Cloudflare, NextDNS, Quad9). È un miglioramento significativo: il tuo provider non vede più la lista dei domini che visiti in chiaro (prima di DoH, le query DNS viaggiavano sulla porta UDP 53 non cifrate, leggibili da qualsiasi intermediario). Ma DoH non maschera né il tuo indirizzo IP pubblico (visibile ai server web) né la connessione TCP stessa (visibile al provider tramite l'SNI TLS — a meno che ECH non sia attivo, vedi sotto). Per una privacy completa, DoH si combina con una VPN no-log auditata che maschera l'IP e incanala tutto il traffico. DoH da solo è utile contro la sorveglianza passiva (provider, hotspot Wi-Fi pubblico, operatore di rete aziendale), insufficiente contro la correlazione IP/SNI.

Quale resolver DoH scegliere nel 2026: Cloudflare, NextDNS o Quad9?

Tre profili distinti. **Cloudflare 1.1.1.1**: in genere tra i più veloci in Europa (classifiche pubbliche indipendenti come DNSPerf lo collocano costantemente in cima), policy no-log auditata da KPMG 2024, con sede negli USA (giurisdizione sfavorevole ma audit trasparente). **NextDNS**: il più configurabile (filtro pubblicità, tracking, parental, blocklist personalizzate), gratuito fino a 300.000 query/mese, con sede in Francia/Irlanda, log opt-in opzionali. **Quad9 9.9.9.9**: orientato alla sicurezza con filtro malware automatico, organizzazione svizzera senza scopo di lucro, no-log rigoroso (solo cookie di sessione). Per uso personale: NextDNS se conta il filtro personalizzato, Cloudflare se conta la pura velocità, Quad9 se conta la fiducia in un'organizzazione svizzera. Per uso pro: account NextDNS a pagamento (1,99 $/mese) sblocca illimitato + analytics.

Il DoH del browser entra in conflitto con la mia VPN?

Sì — è la causa nº 1 di leak DNS residui nonostante la VPN attiva. Quando Chrome o Firefox attivano DoH per impostazione predefinita, inviano le query DNS direttamente al resolver DoH (Cloudflare, NextDNS) bypassando il DNS di sistema — e quindi bypassando il tunnel VPN. Tre soluzioni: (1) **disattivare il DoH del browser** quando la VPN è attiva (impostazioni → privacy → DNS sicuro → off), lasciando che la VPN gestisca il DNS a livello di sistema; (2) **configurare il browser sul DNS della VPN** (NordVPN espone 103.86.96.X, ExpressVPN ha i propri resolver) — possibile ma richiede una ricerca manuale; (3) **usare una VPN con DoH nativo integrato** che instrada il DoH nel tunnel. NordVPN Threat Protection include il proprio resolver DoH dal 2024. Poi testa via dnsleaktest.com — nessun DNS fuori dalla VPN dovrebbe comparire.

DoH funziona su iOS e Android?

Sì, nativamente su entrambi dal 2021. **iOS 14+**: Impostazioni → Wi-Fi → rete attuale → Configura DNS → Manuale → aggiungi un URL DoH (`https://dns.nextdns.io/[il-tuo-id]` o `https://1.1.1.1/dns-query`). Per un'applicazione universale, installa un profilo di configurazione firmato (NextDNS ne fornisce uno firmato Apple). **Android 9+**: Impostazioni → Rete e Internet → DNS privato → Nome host del provider DNS privato → inserisci l'hostname (`dns.nextdns.io` o `1dot1dot1dot1.cloudflare-dns.com`). Nota: Android usa DoT (DNS over TLS) sotto l'etichetta «DNS privato», non strettamente DoH — funzionalità equivalente, incapsulamento diverso. Attivare questa opzione cifra tutte le query DNS del telefono tranne le app che forzano il proprio resolver.

DoH migliora o peggiora le prestazioni?

Lieve degrado teorico ma impercettibile nell'uso normale. Il DNS classico UDP/53 risponde in pochi millisecondi al resolver del provider. DoH aggiunge il costo di stabilire una connessione TLS (handshake iniziale), poi ogni query viaggia in HTTP/2 o HTTP/3. Su un resolver veloce come Cloudflare 1.1.1.1, la connessione TLS è persistente e l'handshake ammortizzato — il costo marginale per query dopo il warmup è piccolo. Nota: la cache DoH del browser (Chrome, Firefox) accelera le query ripetute così che il totale può diventare comparabile o più veloce del DNS UDP non cachato. In pratica, il DNS rappresenta una frazione trascurabile del tempo di caricamento della pagina, quindi l'overhead DoH è impercettibile per l'utente.

Il mio provider può bloccare il DoH?

Tecnicamente difficile, politicamente possibile. DoH gira sulla porta HTTPS 443 — bloccare la porta 443 bloccherebbe il 95% del web. Ma un provider può bloccare specificamente gli IP dei resolver DoH noti (1.1.1.1, 9.9.9.9, IP NextDNS pubblicati) se la regolamentazione lo consente. In Europa occidentale, nessun blocco DoH diffuso è documentato a maggio 2026. In Russia e in Iran, Cloudflare 1.1.1.1 è bloccato a intermittenza dal 2022 — soluzione: IP rotanti NextDNS o DoH via VPN che nasconde il DoH al provider. In azienda, il provider aziendale può bloccare il DoH di Cloudflare per forzare il DNS interno (audit, filtro URL) — legittimo e negoziabile con l'IT. Il resolver resta operativo via VPN privata che bypassa il DNS aziendale.

ECH (Encrypted Client Hello) sostituisce DoH?

No, ECH completa DoH senza sostituirlo. DoH cifra la **query DNS** (risoluzione dominio → IP). ECH cifra l'**SNI TLS** (Server Name Indication, che rivela quale sito è richiesto al momento dell'handshake TLS — visibile senza DoH o ECH anche con HTTPS attivo). Senza ECH, il tuo provider vede ancora quale sito visiti tramite l'SNI in chiaro durante l'handshake TLS, anche con DoH attivo. ECH è parzialmente distribuito su Cloudflare dal 2023 e attivo per impostazione predefinita in Firefox 118+ (ottobre 2023). Per verificare ECH attivo: vai su [cloudflare.com/ssl/encrypted-sni](https://www.cloudflare.com/ssl/encrypted-sni/), il risultato «Encrypted SNI» dovrebbe essere verde. Combo vincente 2026: DoH browser + ECH attivo + VPN no-log. Tripla protezione che rende la correlazione utente ↔ dominio praticamente impossibile.

Come impatta DoH il controllo parentale e il filtro aziendale?

Impatto importante da anticipare. Le soluzioni di controllo parentale basate su DNS (OpenDNS Family Shield, Cleanbrowsing, controlli lato operatore) funzionano intercettando le query DNS UDP/53 per bloccare i domini inappropriati. Se un bambino attiva il DoH del browser, il filtro è **completamente bypassato** — le query vanno a Cloudflare invece che al resolver di famiglia. Soluzioni parentali 2026: (1) bloccare il DoH sul router tramite regola firewall (Asus AiProtection, Pi-hole + dnsmasq), (2) configurare NextDNS con account famiglia su tutti i dispositivi (NextDNS supporta DoH con filtro), (3) usare una VPN parentale che forza il DNS di filtro. Lato azienda, stesso principio: forzare Cloudflare Gateway o Zscaler con policy compatibile DoH. Bloccare semplicemente UDP/53 non basta più.

DoH o DoT: qual è la differenza pratica?

Differenza di incapsulamento, non di cifratura. **DoT (DNS over TLS, RFC 7858, 2016)** invia le query DNS sulla porta TCP 853 con TLS diretto — rilevamento facile (porta dedicata), blocco banale. **DoH (DNS over HTTPS, RFC 8484, 2018)** incapsula le query DNS in HTTP/2 o HTTP/3 sulla porta 443 — indistinguibile dal normale traffico web, aggira il filtro. Lato browser, DoH domina (Chrome, Firefox, Edge lo supportano nativamente). Lato sistema Android, DoT è usato sotto l'etichetta «DNS privato». Lato Linux, systemd-resolved supporta DoT dal 2020, DoH manualmente via cloudflared o dnsdist. Raccomandazione 2026: DoH lato client (browser, app) per la resistenza al blocco, DoT lato server (resolver ricorsivo domestico) per la semplicità di configurazione.

Come verifico che DoH sia attivo nel mio browser?

Tre test indipendenti per confermare. (1) **Test Cloudflare**: vai su [1.1.1.1/help](https://1.1.1.1/help) — la pagina elenca «Using DNS over HTTPS (DoH)» Sì/No. Se Sì, DoH è attivo. (2) **Test Mozilla**: [test.dnsleak.com](https://test.dnsleak.com/) mostra quale resolver risponde e il suo protocollo. (3) **Test Wireshark** (avanzato): cattura il traffico di rete e osserva l'assenza di query UDP/53 in uscita dopo una ricerca nel browser — dovrebbe comparire solo HTTPS/443 verso il resolver DoH. Se il DNS in chiaro continua a trapelare, è perché (a) un'altra app bypassa il DoH del browser (estensione, plugin, altro browser aperto), (b) il sistema risponde prima del browser (Windows Smart Multi-Homed). Disattiva i bypass per una configurazione solo DoH.

DNS over HTTPS: guida alla configurazione del browser per il 2026 (Chrome, Firefox, Edge, Safari)

DNS over HTTPS (DoH) cifra le tue query DNS dentro un tunnel HTTPS generico (porta 443) invece di lasciarle viaggiare in chiaro su UDP/53 verso il resolver del tuo provider. Concretamente: il tuo provider non vede più la lista dei domini che visiti, il tuo hotspot Wi-Fi pubblico non può più reindirizzare silenziosamente le tue query verso un resolver compromesso, e il tuo operatore di rete aziendale perde la visibilità dettagliata sulla tua attività. È un miglioramento significativo della privacy — ma configurarlo correttamente nel 2026 richiede di comprendere le interazioni con VPN, controllo parentale e il nuovo standard ECH. Ecco la configurazione passo passo per Chrome, Firefox, Edge, Safari, più il confronto dei tre principali resolver DoH (Cloudflare, NextDNS, Quad9) e le insidie note.

Perché configurare DoH nel 2026?

Il DNS classico (RFC 1035, 1987) invia ogni risoluzione di dominio su UDP sulla porta 53, in chiaro. Quando digiti nordvpn.com in Chrome, il tuo browser chiede al tuo resolver DNS (tipicamente quello del provider: Comcast, Verizon, Spectrum, BT, Deutsche Telekom) di tradurre quel nome in un indirizzo IP. Questa query è leggibile da:

Il tuo provider (i provider USA vendono dati di navigazione anonimizzati dal 2017; i provider UK conservano i log DNS per 12 mesi ai sensi dell'Investigatory Powers Act 2016).
L'operatore Wi-Fi pubblico (bar, hotel, aeroporto — cattura passiva banale).
Il tuo router (i modelli consumer registrano le query per i controlli parentali integrati).
Il tuo datore di lavoro sulle reti aziendali (Cisco Umbrella, Zscaler intercettano UDP/53).
Qualsiasi intermediario sul percorso di rete (MITM banale su UDP non cifrato).

DoH (RFC 8484, 2018) risolve questo: la query DNS è incapsulata in HTTP/2 o HTTP/3 sulla porta 443 (HTTPS standard), quindi cifrata end-to-end tra il tuo browser e il resolver DoH. Per un osservatore sul percorso, è traffico HTTPS generico indistinguibile da una visita a Gmail o Wikipedia. Nessun modo di estrarre la lista dei domini visitati senza rompere TLS — economicamente e tecnicamente irrealistico su larga scala.

DoH non risolve tutti i problemi di privacy. L'IP di destinazione resta visibile (la successiva connessione TLS a nordvpn.com mostra che ti connetti all'IP di nordvpn.com — Cloudflare in questo caso — visibile lato rete). E l'SNI (Server Name Indication) nell'handshake TLS rivela l'hostname di destinazione in chiaro per impostazione predefinita. Qui entra in gioco ECH (Encrypted Client Hello) — dettagliato sotto. Combo vincente 2026: DoH + ECH + VPN no-log = traffico web praticamente anonimo contro la sorveglianza passiva. Per il contesto più ampio del perché questa difesa in profondità conta, vedi perché la privacy digitale conta nel 2026.

Configurazione DoH per browser

Chrome / Edge / Brave / Opera (motore Chromium)

Tutti i browser basati su Chromium condividono la stessa implementazione DoH dal 2020. La configurazione è identica.

Apri chrome://settings/security (o edge://settings/privacy su Edge).
Sezione Sicurezza → trova «Usa DNS sicuro».
Attiva l'interruttore. Compaiono due opzioni:
- Con il tuo attuale fornitore di servizi: Chrome usa DoH se il DNS di sistema lo supporta (raro — la maggior parte dei provider consumer non espone DoH).
- Con: selezione manuale del fornitore dal menu a tendina (Cloudflare 1.1.1.1, Google 8.8.8.8, NextDNS, Quad9, OpenDNS) o inserimento di un URL DoH personalizzato.
Scegli Personalizzato → incolla l'URL DoH per resolver:
- Cloudflare: https://1.1.1.1/dns-query
- NextDNS: https://dns.nextdns.io/[il-tuo-id-personale] (ID disponibile nella tua dashboard NextDNS)
- Quad9: https://dns.quad9.net/dns-query
Salva. La pagina si ricarica automaticamente con DoH attivo.

Verifica: vai su 1.1.1.1/help. Se «Using DNS over HTTPS (DoH)» mostra Yes, validato. Se No, controlla il firewall locale (Windows Defender, Little Snitch) che in modalità restrittiva potrebbe bloccare la porta 443 verso gli IP Cloudflare. Per validare che nessun DNS trapeli nonostante DoH attivo, segui la nostra metodologia completa di test dei leak DNS.

Firefox

Firefox ha distribuito DoH per impostazione predefinita negli USA dal 2020, manualmente in Europa.

Apri about:preferences#privacy.
Scorri fino in fondo → sezione Impostazioni DNS over HTTPS.
Clicca su Attiva DNS sicuro usando → tre modalità:
- Protezione massima: DoH forzato, fallisce se non disponibile (consigliato per la privacy).
- Protezione aumentata: DoH attivo, fallback al DNS classico se DoH fallisce (compromesso).
- Off: DNS di sistema (provider).
Scegli il resolver: Cloudflare (predefinito), NextDNS o «Personalizzato» (inserisci l'URL DoH).
Salva.

Firefox ha un grande vantaggio: ECH (Encrypted Client Hello) è attivo per impostazione predefinita dalla versione 118 (ottobre 2023). Nulla da configurare — Firefox negozia automaticamente ECH con Cloudflare e altri CDN compatibili. Per verificare: about:config → cerca network.dns.echconfig.enabled → deve essere true.

Safari (macOS / iOS)

Safari non supporta il DoH nativo come Chrome o Firefox. La configurazione avviene a livello di sistema.

macOS Sonoma/Sequoia: installa un profilo di configurazione DoH firmato.

NextDNS fornisce un profilo firmato su nextdns.io dopo la creazione dell'account. Scarica il profilo .mobileconfig.
Apri il profilo → Preferenze di Sistema → Profili → Installa.
Inserisci la password admin. Il profilo DoH è attivo a livello di sistema, così Safari (e tutte le app) lo usano automaticamente.

iOS 14+: Impostazioni → Wi-Fi → tocca la rete attiva → Configura DNS → Manuale → aggiungi l'URL DoH. Più semplice: installa il profilo NextDNS da Safari mobile, accetta l'installazione. Tutte le app iOS usano poi DoH (tranne quelle che forzano il proprio resolver — TikTok, alcune app cinesi).

Per il DoH Cloudflare su iOS: installa l'app gratuita «1.1.1.1» che configura il DoH di sistema e propone opzionalmente WARP (la VPN gratuita di Cloudflare, da non confondere con una VPN per la privacy rigorosa).

Confronto dei tre resolver DoH dominanti

Le liste di fornitori preinstallate in Chrome e Firefox (Cloudflare per primo) facilitano l'adozione predefinita, ma la scelta del resolver resta tua.

Resolver	Sede	Policy log	Filtro integrato	Prezzo
Cloudflare 1.1.1.1	USA (PoP globale, UE inclusa)	No-log auditato KPMG 2024	Nessuno (1.1.1.2 aggiunge malware)	Gratuito
NextDNS	Francia/Irlanda/globale	No-log predefinito, log opt-in	Pubblicità, tracker, malware, parental, liste personalizzate	Gratuito <300k req/mese, 1,99 $/mese illimitato
Quad9 9.9.9.9	Svizzera (consorzio PCH)	No-log rigoroso, org no-profit	Malware automatico	Gratuito
Google 8.8.8.8	USA	Log anonimizzato 24-48h	Nessuno	Gratuito
OpenDNS Family	USA (Cisco)	Log aziendale	Parental, malware	Gratuito personale / pro a pagamento

Sulla velocità, classifiche pubbliche indipendenti (come DNSPerf) misurano continuamente la latenza di questi resolver da molti punti di osservazione: Cloudflare e Google si collocano regolarmente tra i più veloci, mentre NextDNS e Quad9 restano competitivi in Europa. I divari reali dipendono dalla tua posizione, dal tuo provider e dal punto di presenza più vicino — controlla un benchmark pubblico per la tua situazione specifica.

Raccomandazione pratica 2026:

Massimalista della privacy, semplicità: Cloudflare 1.1.1.1 (il più veloce, audit KPMG, zero configurazione).
Filtro personalizzato (bloccare pubblicità, tracker, parental): NextDNS, piano gratuito sufficiente per uso personale <300k query/mese (una famiglia normale consuma ~50-150k query/mese).
Fiducia in un'organizzazione, giurisdizione svizzera: Quad9, no-profit, nessun legame con le Big Tech USA.

Da evitare per la privacy rigorosa: Google 8.8.8.8 (giurisdizione USA, log 24-48h, evidente interesse commerciale pubblicitario) e i resolver DoH offerti dai provider (Comcast, Verizon — policy log = policy del provider, quindi nessun guadagno di privacy).

Conflitto DoH ↔ VPN: il leak più frequente nel 2026

Questo è il problema nº 1 identificato negli audit dei leak DNS post-2022. Quando Chrome/Firefox/Edge attivano DoH per impostazione predefinita a livello di browser, le query DNS escono dal browser direttamente verso Cloudflare via HTTPS, bypassando il DNS di sistema. Ma la VPN gestisce il DNS a livello di sistema (instrada le query UDP/53 nel tunnel). Conseguenza: il tuo traffico HTTP/HTTPS passa attraverso la VPN, ma le tue query DNS viaggiano via HTTPS direttamente fuori dalla VPN — la lista dei domini che visiti resta visibile a Cloudflare (potenzialmente loggata) e alla rete del provider (che vede le connessioni HTTPS verso Cloudflare accanto alla VPN).

Testa la tua situazione: apri dnsleaktest.com in modalità estesa → se vedi Cloudflare rispondere (non l'IP della tua VPN), il DoH del browser è attivo e bypassa la VPN. È tecnicamente un leak DNS residuo.

Tre soluzioni in ordine di preferenza:

Disattivare il DoH del browser quando la VPN è attiva (impostazioni Chrome → DNS sicuro → off). La VPN gestisce il DNS a livello di OS e incanala tutte le query. Approccio standard. Svantaggio: richiede una riconfigurazione a ogni passaggio VPN/non-VPN.
Usare una VPN con DoH nativo integrato. NordVPN Threat Protection include il proprio resolver DoH dal 2024, che instrada le query DoH dentro il tunnel WireGuard — nessun leak, navigazione coerente. ExpressVPN e Mullvad hanno adottato lo stesso approccio.
Configurare il browser sul resolver DoH della VPN (avanzato). NordVPN espone i suoi resolver interni su 103.86.96.X (conferma con il supporto — l'IP varia per server). Non la soluzione consigliata — troppe complicazioni.

Scelta editoriale

4.6 / 5

NordVPN Threat Protection — DoH nativo integrato

Risolve il conflitto DoH/VPN senza configurazione manuale · Audit Deloitte 2024 · Rimborso 30 giorni

Audit Deloitte 2024Garanzia di 30 giorni14M+ utenti

Vedi l'offerta

DoH su mobile: iOS e Android

iOS 14+

Tre approcci a seconda del livello di configurazione desiderato:

Per-Wi-Fi: Impostazioni → Wi-Fi → rete attiva → Configura DNS → Manuale → aggiungi l'URL DoH. Svantaggio: configurazione per rete, non si applica sui dati mobili.
Profilo di sistema (consigliato): installa un profilo .mobileconfig da Safari mobile. Cloudflare fornisce 1.1.1.1 che preconfigura il DoH a livello di sistema. NextDNS genera un profilo personalizzato dalla dashboard utente, incluso l'ID account e le regole di filtro.
App di terze parti: 1.1.1.1, AdGuard, app NextDNS. Configura il DoH a livello di VPN locale — tutte le app iOS usano automaticamente DoH.

Android 9+

Android usa ufficialmente DoT (DNS over TLS) sotto l'etichetta «DNS privato» in Impostazioni → Rete e Internet → DNS privato. Configurazione:

Seleziona Nome host del provider DNS privato.
Inserisci l'hostname (non l'URL completo):
- Cloudflare: 1dot1dot1dot1.cloudflare-dns.com
- NextDNS: [il-tuo-id].dns.nextdns.io
- Quad9: dns.quad9.net
Salva. DoT attivo a livello di sistema.

Per il DoH rigoroso su Android (invece di DoT), installa un'app dedicata: AdGuard Android, app NextDNS, 1.1.1.1 di Cloudflare. Creano una VPN locale che intercetta il DNS e lo invia via DoH. Compatibile con VPN esterna (NordVPN) tramite concatenamento VPN se l'app lo supporta.

ECH: lo strato complementare nel 2026

Una schermata di login con un campo password

DoH cifra la query DNS. Ma una volta risolta, il tuo browser stabilisce una connessione TLS verso l'IP del sito — e invia l'SNI (Server Name Indication) in chiaro nel ClientHello TLS per indicare al server quale sito specifico è richiesto (utile per i server che ospitano più siti HTTPS). Questo SNI è visibile al tuo provider e a qualsiasi intermediario di rete, anche se tutto il resto è cifrato. Conseguenza: nonostante DoH, il tuo provider può ricostruire la lista dei siti visitati tramite l'SNI.

ECH (Encrypted Client Hello, bozza RFC 2023) corregge questa falla cifrando l'SNI stesso. Il ClientHello è diviso in due parti: un «esterno» inviato in chiaro (con un SNI finto generico come cloudflare.com) e un «interno» cifrato con la chiave pubblica del resolver. Per un osservatore: impossibile sapere quale sito specifico è richiesto.

Prima di ECH, il tuo provider poteva correlare l'IP di destinazione con l'SNI in chiaro per ricostruire la tua cronologia di navigazione. Combinare DoH + ECH + kill switch VPN resta la migliore pratica 2026 proprio per neutralizzare questo leak residuo — ogni strato copre le lacune degli altri due.

Stato della distribuzione a maggio 2026:

Firefox 118+: ECH attivo per impostazione predefinita da ottobre 2023. Nessuna configurazione necessaria.
Chrome / Edge / Brave: ECH disponibile dietro flag da Chrome 117, attivo per impostazione predefinita in Chrome 124 (aprile 2026). Controlla chrome://flags/#encrypted-client-hello → Default o Enabled.
Safari: ECH in anteprima da macOS Sequoia, rollout progressivo nel 2026.

Lato server, Cloudflare distribuisce ECH su tutto il suo CDN dal 2023 (copre ~20% del web globale). Fastly e Akamai in distribuzione progressiva. Siti self-hosted: richiede Nginx 1.27+ con modulo ECH o Caddy sperimentale.

Verifica ECH attivo: cloudflare.com/ssl/encrypted-sni. Il risultato «Encrypted SNI» deve essere verde. Se rosso, controlla di usare Firefox 118+ o Chrome 124+ con DoH attivo (ECH dipende da DoH per recuperare la chiave pubblica del server tramite il record DNS HTTPS).

Prestazioni e impatto reale

DoH aggiunge un lieve overhead rispetto al DNS UDP classico: il tempo per stabilire la connessione TLS, poi l'incapsulamento HTTP di ogni query. Su un resolver veloce con connessione persistente, questo overhead si riduce a pochi millisecondi per query dopo il primo handshake — trascurabile in pratica, dato che il DNS rappresenta meno dell'1% del tempo totale di caricamento della pagina. La cache DoH del browser (Chrome mantiene una cache delle voci recenti per impostazione predefinita) accelera ulteriormente le query ripetute, rivaleggiando con il DNS UDP classico.

Su reti degradate (dati mobili in movimento, hotspot Wi-Fi pubblico saturo), DoH può addirittura comportarsi meglio del DNS UDP in alcuni casi — i pacchetti UDP a volte si perdono senza un meccanismo di ritrasmissione aggressivo sulle reti sature, mentre DoH beneficia del retry TCP nativo che compensa la perdita di pacchetti. L'impatto esatto dipende dalla rete, dal resolver e dal punto di presenza più vicino.

Insidie note nel 2026

Insidia #1 — Controllo parentale rotto. Se i tuoi figli attivano DoH nel loro browser (Chrome, Firefox), il controllo parentale basato su DNS (OpenDNS Family, Cleanbrowsing sul router, lato operatore) è completamente bypassato. Soluzione 2026: bloccare il DoH sul router tramite regola firewall (Asus AiProtection, Pi-hole + dnsmasq che forza il DNS locale), o installare un NextDNS famiglia che supporta DoH con filtro parentale.

Insidia #2 — Filtro aziendale bypassato. Le policy DLP (Data Loss Prevention) e di filtro URL aziendali si basano sull'intercettazione DNS. DoH attivato sulle workstation dei dipendenti bypassa la policy IT. Soluzione: distribuire Cloudflare Gateway o Zscaler con policy compatibile DoH (l'agente aziendale intercetta il DoH invece del DNS).

Insidia #3 — DoH bloccato in certi paesi. Russia, Iran, Cina bloccano a intermittenza Cloudflare 1.1.1.1 e altri resolver DoH pubblici. Soluzione: IP rotanti NextDNS, o DoH via VPN (la VPN incanala il DoH, diventa invisibile al filtro nazionale).

Insidia #4 — Conflitto con Pi-hole. Se usi Pi-hole per bloccare la pubblicità a livello di rete, il DoH del browser bypassa Pi-hole. Soluzione: configurare Pi-hole con cloudflared come upstream DoH (Pi-hole diventa resolver DoH locale), bloccare il DoH del browser tramite regole firewall e forzare il browser a usare il DNS di sistema (Pi-hole).

Insidia #5 — App che forzano il proprio DNS. TikTok, certe app OEM cinesi (Xiaomi, Huawei), app bancarie con anti-MITM forzano il proprio resolver indipendentemente dalla configurazione DoH di sistema. Nessuna soluzione pulita — limite intrinseco dell'ecosistema mobile.

Riepilogo: configurazione DoH nel 2026

Livello	Strumento	Difficoltà	Copertura
Solo browser	Chrome / Firefox DoH	1 minuto	Solo traffico browser
App mobile	1.1.1.1, app NextDNS	2 minuti	Tutte le app mobili
Sistema macOS	Profilo `.mobileconfig`	3 minuti	Tutte le app macOS
Sistema Android	DNS privato nativo	1 minuto	Tutte le app Android
Rete locale	Pi-hole + cloudflared	30 minuti	Tutti i dispositivi domestici
VPN integrata	NordVPN Threat Protection	0 minuti	Tutto il traffico VPN

Raccomandazione 2026: per uso personale, attiva il DoH del browser (Cloudflare o NextDNS) + combina con una VPN no-log che gestisce il DoH a livello di tunnel. NordVPN Threat Protection risolve il conflitto DoH/VPN senza configurazione manuale. Verifica ECH attivo su Firefox 118+ o Chrome 124+. Per le famiglie con bambini, aggiungi un NextDNS famiglia che filtra i domini inappropriati rispettando la cifratura DoH.

Scelta editoriale

4.6 / 5

NordVPN con DoH nativo — Privacy DNS senza configurazione

Threat Protection incluso · Audit Deloitte 2024 · Garanzia rimborso 30 giorni

Audit Deloitte 2024Garanzia di 30 giorni14M+ utenti

Vedi l'offerta

Punti chiave

DoH non è una protezione magica, è un mattone fondamentale della privacy web del 2026 — proprio come HTTPS lo è diventato dopo il 2018. Cifrare la risoluzione DNS impedisce la sorveglianza passiva banale (provider, hotspot, datore di lavoro) ma non maschera né IP né SNI senza ECH. Combo vincente: DoH (Cloudflare o NextDNS) + ECH (Firefox 118+ o Chrome 124+) + VPN no-log auditata = tripla protezione che rende la sorveglianza nell'uso personale praticamente impossibile senza accesso diretto al dispositivo.

Configurare DoH richiede 5 minuti per browser, 0 minuti con una VPN che lo include nativamente. Verifica che il controllo parentale e il filtro aziendale funzionino ancora dopo l'attivazione. Per la privacy rigorosa, disattiva il DoH del browser quando una VPN gestisce già il DNS a livello di sistema — altrimenti un doppio strato ridondante che può creare leak.

Approfondisci la privacy DNS e del browser

Scelta editoriale

4.4 / 5

Le VPN orienté vie privée → Proton VPN

No-log audité · juridiction suisse · open-source · offre gratuite

Audit SEC Consult 2024Giurisdizione svizzeraOpen-source

Vedi l'offerta

DNS over HTTPS: guida alla configurazione del browser per il 2026 (Chrome, Firefox, Edge, Safari)

Perché configurare DoH nel 2026?

Configurazione DoH per browser

Chrome / Edge / Brave / Opera (motore Chromium)

Firefox

Safari (macOS / iOS)

Confronto dei tre resolver DoH dominanti

Conflitto DoH ↔ VPN: il leak più frequente nel 2026

DoH su mobile: iOS e Android

iOS 14+

Android 9+

ECH: lo strato complementare nel 2026

Prestazioni e impatto reale

Insidie note nel 2026

Riepilogo: configurazione DoH nel 2026

Punti chiave

Approfondisci la privacy DNS e del browser

Leggi dopo

Tor su VPN: configurazione e modello di minaccia 2026 (guida completa)