NextDNS: La migliore protezione da pubblicità, tracciamento e tanto altro

Diciamocelo chiaramente: la pubblicità su Internet è diventata una piaga biblica. Non parlo dei bannerini laterali che cercavano di venderti suonerie polifoniche nel 2005. Parlo di quel tracciamento invasivo, costante e quasi inquietante che vi segue ovunque, manco fosse un ex fidanzato/a stalker.

Per anni, la risposta "nerd" a questo problema è stata una sola: Pi-Hole o AdGuard Home. Io stesso ho passato nottate a configurare Raspberry Pi, a litigare con container Docker che si riavviavano a caso e a cercare di capire perché, improvvisamente, la Smart TV non si connettesse più a Netflix.

Poi, dopo vent'anni di informatica e un bel po' di tempo speso a occuparmi di cybersecurity (e a cercare di preservare la mia sanità mentale), ho deciso di dire basta. Ho staccato la spina al "ferro" in casa e sono passato interamente al cloud.

La risposta ai miei problemi? NextDNS.

In questo post vi spiego perché è diventato il pilastro della mia sicurezza domestica (e mobile), perché è infinitamente meglio di AdGuard DNS e, soprattutto, perché se lo configurate bene potreste smettere di pagare quell'abbonamento alla VPN che qualche YouTuber vi ha convinto a sottoscrivere.

Ah, disclaimer doveroso: questo NON è un contenuto sponsorizzato. Nessuno mi paga per dirlo. Lo dico perché funziona dannatamente bene.

Cos'è NextDNS? (Spiegato tanto semplice)

Immaginate che NextDNS sia il buttafuori del vostro locale preferito (la vostra rete). Normalmente, quando digitate www.sito-a-caso.com, il vostro computer chiede a un server DNS (spesso quello del vostro provider, tipo TIM, Vodafone, ecc., oppure a Google 8.8.8.8) dove si trova quel sito. Il server DNS risponde con l'indirizzo IP e voi ci andate. Fine.

Il problema è che la maggior parte dei server DNS si limita a fare da "Pagine Gialle": voi chiedete, loro rispondono. Non gli interessa se state entrando in un sito pieno di malware o se quella pagina caricherà 45 script per tracciare pure il colore dei vostri calzini.

NextDNS si mette in mezzo. Voi chiedete l'indirizzo. Lui controlla le sue liste (aggiornate in tempo reale).

È un sito legittimo? "Prego, entri pure".
È un server pubblicitario? "Tu non entri".
È un tracker di Facebook? "Fuori".
È un sito di phishing? "Bloccato e segnalato".

Il risultato? Il vostro dispositivo non scarica nemmeno la spazzatura. Risparmiate banda, batteria e fegato. E la cosa bella è che non serve installare nulla. Funziona a livello di rete.

🧑‍💻

Approfondimento Tecnico - DNS over HTTPS/TLS NextDNS utilizza protocolli moderni come DoH (DNS over HTTPS) e DoT (DNS over TLS). Questo significa che le vostre richieste DNS sono crittografate. Nemmeno il vostro provider Internet può vedere cosa state chiedendo. È il primo passo verso la vera privacy. Per approfondire gli standard:RFC 8484 per DoH.

NextDNS vs. AdGuard (e Pi-Hole): Davide contro Golia (ma Golia è pigro)

Perché ho abbandonato AdGuard Home e Pi-Hole? Semplice: manutenzione.

Avere un Pi-Hole in casa significa avere un serverino acceso 24/7.

Devi aggiornarlo.
La scheda SD si corrompe (succede sempre nel momento peggiore).
Se va via la corrente e non hai un UPS, piangi.
Ma soprattutto: funziona solo a casa.

Appena uscite di casa e passate al 4G/5G, addio protezione. Certo, potreste configurare una VPN WireGuard verso casa vostra per rientrare nella rete domestica e sfruttare il Pi-Hole anche in mobilità. L'ho fatto. Funziona. Ma consuma batteria, riduce la velocità di navigazione (perché tutto il traffico deve passare da casa vostra in upload, che in Italia è spesso ridicolo) e, onestamente, è una complicazione inutile.

NextDNS è "Serverless". Vive nel cloud. Voi collegate il vostro telefono (tramite app o profilo nativo) a NextDNS e lui filtra il traffico ovunque vi troviate. Sotto Wi-Fi, in 4G, in 5G, in roaming in Papuasia (primo nome tirato fuori da Google... 😅). E rispetto ad AdGuard DNS (la versione pubblica, non quella Home self-hosted)? NextDNS vince a mani basse sulla personalizzazione. AdGuard DNS vi offre dei profili preimpostati (Default, Family). NextDNS vi dà una dashboard dove potete decidere voi quali liste attivare, quali domini mettere in whitelist e quali bloccare manualmente. Avete il controllo totale, senza lo sbattimento dell'hardware. E, inoltre, NextDNS vince a mani basse sul controllo dei log, dei blocchi, ecc.

Il mito della VPN: Perché NextDNS può (quasi) sostituirla

Qui so che scatenerò l'inferno dei pensieri, ma seguitemi nel ragionamento. Il marketing aggressivo delle VPN (NordVPN, Surfshark, ExpressVPN, ecc.) vi ha convinto che vi serva una VPN per due motivi principali:

Sicurezza: "Proteggiti dagli hacker e dai malware!".
Privacy: "Nascondi quello che fai al tuo provider!".
(Motivo bonus): Guardare il catalogo Netflix USA.

Se il vostro obiettivo è il punto 3, ok, tenetevi la VPN. NextDNS non vi cambia la geolocalizzazione (anche se ha una funzione per aggirare alcuni blocchi geo-restrittivi, ma non è il suo core business).

Ma se pagate una VPN per i punti 1 e 2... state buttando i soldi.

1. Sicurezza e Blocco Malware

Le VPN commerciali bloccano la pubblicità e i malware facendo passare il traffico dai loro server DNS filtrati. NextDNS fa esattamente la stessa cosa, spesso meglio, perché potete scegliere voi le liste di Threat Intelligence. Potete attivare liste che bloccano domini appena registrati (spesso usati per il phishing), liste di C2 (Command & Control) di botnet e molto altro. Il tutto senza dover incanalare tutto il vostro traffico (video, download, ecc.) attraverso un tunnel VPN che inevitabilmente rallenta la connessione e aumenta la latenza. NextDNS filtra solo la "chiamata", non il flusso dati.

2. Privacy

"Ma la VPN nasconde il mio IP!". Vero. Ma a chi volete nasconderlo?

A Google/Facebook? Se siete loggati su Chrome o Instagram, sanno chi siete anche se il vostro IP risulta essere a Francoforte.
Al Provider Internet? Con NextDNS impostato su DNS-over-HTTPS (DoH), il vostro provider vede solo che state parlando con NextDNS. Non vede quali siti state visitando. Certo, vede l'IP di destinazione della connessione (SNI permettendo), ma il livello di offuscamento è già altissimo.

Se configurato correttamente, NextDNS offre un livello di protezione da tracciamento, pubblicità e malware superiore a molte VPN commerciali, con impatto zero sulla velocità di download e a un costo irrisorio (o nullo).

📝

Risorse Ufficiali Per capire meglio come i DNS cifrati proteggono la privacy, vi consiglio la lettura di questo articolo (in inglese) di Cloudflare che spiega il concetto di SNI e ESNI/ECH:Cloudflare Learning - ECH.

Come configurarlo (senza impazzire)

La configurazione è banale, ma ci sono dei trucchi per farla da "pro".

1. Creare l'account

Andate su NextDNS.io, create un account. È gratis fino a 300.000 query al mese (che per un utente singolo sono tante, ma se avete una casa domotica ci arrivate in fretta. Il piano Pro costa circa 2€ al mese. Un caffè.).

2. Le Liste di Blocco (Il cuore del sistema)

Nella tab Privacy, non limitatevi alla lista di default. Io consiglio caldamente di aggiungere:

OISD (La migliore in assoluto: blocca tutto senza rompere i siti).
Steven Black (Un classico).
AdGuard Mobile Ads filter (Ottimo per smartphone).

Nella tab Sicurezza, attivate tutto.

AI-Driven Threat Detection: Sì.
Google Safe Browsing: Sì.
Cryptojacking Protection: Assolutamente sì.
Block Newly Registered Domains (NRDs): Attivatelo. È incredibile quanti siti di phishing siano registrati da meno di 30 giorni.

3. Installazione sui dispositivi

Su Android: Impostazioni -> Rete e Internet -> DNS Privato. Inserite l'hostname che vi dà NextDNS (es: tuo-id.dns.nextdns.io). Fatto. Cifratura nativa.
Su iOS: Scaricate l'app NextDNS (che in realtà installa un profilo di configurazione locale) o usate il generatore di profili .mobileconfig per usare il DNS over HTTPS nativo di Apple.
Questo farà si di farvi installare un profilo su iOS (iPhone o iPAD) e di filtrare ogni singola connessione, senza dover attivare o disattivare nulla. Sarete sempre protetti.
Su Router: Qui dipende. Se avete un router serio (Asus con Merlin, Ubiquiti, MikroTik), potete configurare DoT/DoH direttamente. Se avete il router del provider... beh, buona fortuna (spesso non si può cambiare, in tal caso dovete agire sui singoli device).
L'aternativa più sensata è pagare l'abbonamento "Pro" e vi verranno assegnati due indirizzi IP da utilizzare come DNS al posto di quelli del vostro gestore o di quelli Google...

Test del funzionamento di AdBlock

Per testare il funzionamento di un qualunque AdBlock potete cvisitare questa pagina

Il problema "Windows": Quando Microsoft fa i capricci

C'è un piccolo "segreto sporco" che ho scoperto dopo aver testato tanto. Su Windows, se impostate NextDNS (o qualsiasi DNS personalizzato) a volte l'icona della rete nella barra delle applicazioni (Systray) vi segnalerà il triangolino giallo: "Nessuna connessione a Internet". Spoiler: Internet funziona benissimo. Navigate, scaricate, fate tutto. Ma quell'icona dice che siete offline.

Perché? Perché Microsoft, per verificare se siete online, tenta di contattare un file di testo su un server proprietario (msftconnecttest.com o simili). A volte, bloccando i tracker e la telemetria Microsoft (cosa che dovete fare), questo check fallisce.

È fastidioso, perché alcune app (tipo Spotify o lo Store) leggono quello stato e smettono di funzionare dicendo "Sei offline", anche se non è vero.

La Soluzione (Definitiva) Dovete dire a Windows di smetterla di fare i capricci. Ho preparato una guida rapida basata sulla mia esperienza (e su imprecazioni in aramaico antico, in cui sto diventanto un luminare 👨‍🏫):

Potete scaricare un file .reg già pronto (cercate "NextDNS Reg Key" online, ce ne sono a bizzeffe su GitHub), oppure fare la modifica a mano da veri smanettoni.

Procedura manuale per il Registro di Sistema:

Aprite regedit (Tasto Win + R, digitate regedit, Invio).
Andate su: HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\Windows\
Cliccate col tasto destro sulla cartella Windows (a sinistra) -> Nuovo -> Chiave.
Chiamatela: NetworkConnectivityStatusIndicator.
Entrateci. Tasto destro a destra -> Nuovo -> Valore DWORD (32 bit).
Nome: NoActiveProbe.
Valore: 1.

In alternativa, a volte basta modificare il dominio di controllo. Ma la soluzione sopra taglia la testa al toro (e alla telemetria).

💾

Download Script Se non volete toccare il registro a mano (paura eh?), potete trovare lo script / gli script pronti qui
👉 File .cmd
👉 File .reg

Analisi e Log: La soddisfazione del nerd

Una delle cose che amo di più di NextDNS è la sezione Analytics. Aprire la dashboard dopo una settimana e vedere:

Queries Totali: 450.000
Bloccate: 120.000 (26%)

Significa che un quarto del traffico generato dai miei dispositivi era spazzatura. Pubblicità, tracker, telemetria inutile che non ha mai raggiunto la mia rete. Vedere la lista dei domini bloccati e trovare cose come scribe.logs.roku.com o device-metrics.amazon.com che tentano di chiamare casa 5000 volte al giorno ti dà una soddisfazione perversa. Ti senti potente.

Inoltre, i log sono essenziali per il troubleshooting. Un sito non carica? Aprite i log di NextDNS, filtrate per "Bloccati", vedete qual è il dominio colpevole e lo aggiungete alla Whitelist con un clic. Tempo impiegato: 10 secondi. Con Pi-Hole dovevo aprire la VPN, loggarmi nell'interfaccia web, cercare nei log testuali... un'era geologica in confronto.

Cosa sa fare davvero? (La scheda tecnica)

Spesso si pensa che questi servizi siano solo dei banali "adblocker". In realtà, NextDNS è una suite di sicurezza completa.

Ho riassunto qui sotto tutte le capacità di questo servizio, perché leggere la documentazione tecnica è noioso, ma sapere cosa vi protegge è fondamentale.

Ecco cosa succede "sotto il cofano" quando navigate:

Funzione	A cosa serve (spiegato facile)
Feed di Threat Intelligence	Blocca domini noti per distribuire malware o phishing, aggiornati in tempo reale dai feed più affidabili al mondo.
AI Threat Detection	Usa l'intelligenza artificiale per individuare minacce che non sono ancora nelle liste ufficiali. Predittivo.
Navigazione Sicura Google	Integra il database di Google Safe Browsing senza inviare il vostro IP a Big G. Blocca i siti pericolosi all'istante.
Protezione Cryptojacking	Impedisce ai siti di usare la vostra CPU per minare criptovalute a vostra insaputa (e a vostre spese energetiche).
Anti-Rebinding & Homograph	Blocca attacchi complessi dove un sito finge di essere un altro (es. `g0ogle.com` o caratteri cirillici che sembrano latini).
Protezione Typosquatting	Se digitate per sbaglio `gooogle.it` invece di `google.it`, vi ferma prima che finiate su un sito truffa.
Blocco domini NRD	Blocca i "Newly Registered Domains". I siti creati da meno di 30 giorni sono spesso usati per truffe usa-e-getta.
Anti-DGA	Blocca i domini generati algoritmicamente, tecnica usata dai malware per comunicare con i server di comando.
Parental Control	Potete bloccare intere categorie (es. porno, gioco d'azzardo) o app specifiche (es. TikTok, Fortnite) con un clic.
SafeSearch Forzato	Pulisce i risultati di Google, Bing e YouTube da contenuti espliciti, senza doverlo configurare su ogni PC.
Modalità YouTube Ristretta	Filtra i video per adulti e nasconde i commenti (spesso la parte peggiore di YouTube).
Anti-Evasione	Cerca di bloccare l'uso di VPN, Proxy o Tor per aggirare i vostri blocchi (utile se avete figli "smanettoni").
Blocklist Personalizzabili	Il cuore del sistema: decidete voi quali liste di blocco usare (consiglio OISD o Steven Black).

Conclusioni: Meno sbatta, più sostanza

Abbandonare l'hosting locale (Pi-Hole) per NextDNS è stata una delle scelte migliori del "mio setup". Ho guadagnato:

Tempo: Zero manutenzione hardware.
Protezione Globale: Funziona anche quando mi porto fuori a fare la pipì e sono in 5G.
Sanità Mentale: Niente più imprecazioni perché "Internet non va" mentre stavo aggiornando il container Docker.

E voi? Siete team "Self-Hosted fino alla morte" o vi siete arresi alla comodità del Cloud come il sottoscritto? Fatemelo sapere.

📝

Link Ufficiale Potete provare il servizio qui: NextDNS.io. Ripeto: non ci guadagno un centesimo, ma la vostra privacy ci guadagnerà parecchio.