DNS: Cos'è, Come Funziona e Come Configurarlo per Velocità e Sicurezza [Guida 2026]

🔍 TL;DR – I 3 DNS consigliati in sintesi

• Cloudflare 1.1.1.1 — Il più veloce in Italia, privacy eccellente, supporto DoH/DoT nativo. Ideale per uso generale.
• Quad9 9.9.9.9 — Blocco malware e phishing integrato con threat intelligence IBM X-Force. La scelta per la sicurezza senza compromessi.
• AdGuard DNS 94.140.14.14 — Blocco pubblicità e tracking a livello di rete. Per chi vuole navigare senza interruzioni pubblicitarie (con qualche possibile incompatibilità).

Cambiare DNS richiede 2 minuti. Continua a leggere per la guida passo-passo su router e tutti i dispositivi.

1. Introduzione: il DNS, la rubrica che decide quanto "scatta" Internet

Una connessione in fibra ottica FTTH da 1 Gigabit al secondo. Un router di ultima generazione. Eppure, quando si digita un indirizzo nella barra del browser, passano 2-3 secondi prima che la pagina inizi a caricarsi. La causa, in moltissimi casi, non è la linea: è il DNS.

Il Domain Name System è il servizio che traduce i nomi di dominio (come neomedia.it) in indirizzi IP numerici (come 185.53.3.15), che i computer usano per comunicare. Senza DNS, ogni sito sarebbe raggiungibile solo digitando sequenze di numeri. Con un DNS lento o insicuro, ogni clic diventa un'attesa, e ogni navigazione un potenziale rischio.

Chi ha già una connessione performante — come spiegato nella guida FTTH vs FTTC — dovrebbe sapere che il DNS è l'ultimo anello della catena: può annullare i benefici della fibra più veloce o, al contrario, far sembrare scattante anche una connessione modesta. È anche il primo layer di difesa contro phishing, malware e attacchi di spoofing.

Questa guida spiega tutto: dal funzionamento interno del DNS alla configurazione pratica su router, Windows, macOS, Android e iOS, fino alla scelta del resolver migliore per velocità, privacy o sicurezza familiare.

2. Come funziona il DNS: la risoluzione passo dopo passo

Ogni volta che un dispositivo deve raggiungere un sito web, viene attivata una catena di domande chiamata risoluzione DNS. Il processo, sebbene complesso, si completa in decine o centinaia di millisecondi.

La gerarchia DNS

Il sistema è organizzato in livelli, come una struttura ad albero rovesciato:

1. Root Server — I 13 server radice (in realtà cluster anycast distribuiti globalmente) sono il punto di partenza. Non conoscono gli IP dei siti, ma sanno chi gestisce ogni Top-Level Domain (.com, .it, .org).
2. TLD Server (Top-Level Domain) — Gestiscono un dominio di primo livello specifico. Il server TLD di .it sa quali server autoritativi gestiscono ogni dominio .it registrato. In Italia, il Registry di .it è gestito dall'Istituto di Informatica e Telematica del CNR di Pisa.
3. Server Autoritativi (Authoritative) — Contengono i record DNS definitivi del dominio: sanno esattamente quale IP corrisponde a www.esempio.it. Sono gestiti dal provider di hosting o dal titolare del dominio.
4. Resolver DNS (ricorsivo) — È il server che fa il lavoro per conto dell'utente, interrogando in sequenza root → TLD → authoritative. Di default, è fornito dall'ISP (TIM, Fastweb, Vodafone, ecc.).

Il flusso di risoluzione in 7 passaggi

1. L'utente digita www.esempio.it nel browser.
2. Il dispositivo interroga il resolver DNS configurato.
3. Il resolver controlla la cache: se la risposta è già stata memorizzata (il TTL — Time To Live — non è scaduto), la restituisce subito.
4. Se non è in cache, il resolver interroga un root server: "Chi gestisce .it?"
5. Il root risponde con l'indirizzo del TLD server di .it.
6. Il resolver interroga il TLD server di .it: "Chi gestisce esempio.it?"
7. Il TLD server risponde con l'indirizzo del server autoritativo, che infine restituisce l'IP corretto.

Nei test interni condotti da Neomedia su connessioni FTTH in Italia, il tempo medio di risoluzione DNS con i resolver predefiniti di alcuni ISP si attesta tra 80 e 180 ms, mentre servizi ottimizzati come Cloudflare e Google rispondono in 12-30 ms nella maggior parte delle regioni italiane. Su centinaia di richieste al giorno, la differenza è percepibile.

I tipi di record DNS

• Record A — Associa un dominio a un indirizzo IPv4 (es. neomedia.it → 185.53.3.15).
• Record AAAA — Equivalente per IPv6. Per approfondire: guida IPv6.
• Record CNAME — Crea un alias (es. www punta allo stesso IP del dominio principale).
• Record MX — Indirizza le email al server di posta corretto.
• Record TXT — Contiene metadati; usato per SPF, DKIM e verifica del dominio.
• Record NS — Indica i name server autoritativi del dominio.

3. DNS lento vs DNS veloce: come testare la propria configurazione

Un resolver DNS lento può aggiungere da 100 a 500 millisecondi a ogni richiesta non ancora in cache. In una pagina web moderna che carica risorse da 30-50 domini diversi (script, immagini, tracker, font, CDN), il ritardo si accumula. Ecco perché il DNS incide sulla velocità percepita anche se non aumenta la banda disponibile.

Strumenti per misurare la velocità DNS

• GRC DNS Benchmark (Windows) — Sviluppato da Gibson Research, testa decine di resolver pubblici e locali, generando un report comparativo con tempi di risposta medi, minimi e massimi. È gratuito e non richiede installazione.
• Dig (Linux/macOS/WSL) — Comando da terminale: dig @1.1.1.1 neomedia.it mostra il tempo di query in millisecondi. Aggiungendo l'opzione +stats si ottengono statistiche dettagliate.
• nslookup (Windows) — Comando PowerShell/Terminale: nslookup neomedia.it 1.1.1.1 verifica che un resolver specifico funzioni e misura il tempo di risposta.
• DNSPerf.com — Piattaforma web che confronta le performance globali dei principali DNS pubblici con dati aggiornati.

Come interpretare i risultati

Tre metriche chiave da osservare:

1. Tempo medio di risposta (avg) — Sotto i 30 ms è eccellente; 30-60 ms è buono; sopra 100 ms indica un problema.
2. Percentuale di cache hit — Più è alta, meno query devono risalire la gerarchia. I resolver degli ISP dovrebbero eccellere qui per i siti popolari.
3. Affidabilità (error rate) — Timeout o risposte NXDOMAIN errate segnalano un resolver instabile.

4. I migliori DNS pubblici nel 2026: confronto e tabella

Non esiste un resolver "migliore in assoluto": la scelta dipende da cosa si privilegia tra velocità, privacy, blocco dei contenuti malevoli e filtraggio famiglia. La tabella seguente confronta i 5 DNS pubblici più utilizzati e affidabili, con dati verificati dalle rispettive documentazioni ufficiali.

Provider	IPv4	Velocità media IT	Privacy (log)	Blocco malware	Filtri famiglia	DoH/DoT	Sede legale
Cloudflare	1.1.1.1 1.0.0.1	12–18 ms	Nessun log IP (audit KPMG)	❌ (variante 1.1.1.2)	❌ (variante 1.1.1.3)	✅ nativo	USA
Google	8.8.8.8 8.8.4.4	15–22 ms	Log temporanei (24-48h)	❌	❌	✅ nativo	USA
Quad9	9.9.9.9 149.112.112.112	18–28 ms	Nessun dato personale	✅ (IBM X-Force + 20+ feed)	❌	✅ nativo	Svizzera
OpenDNS	208.67.222.222 208.67.220.220	25–40 ms	Log anonimizzati	✅ (configurabile)	✅ (FamilyShield)	✅ (Cisco Umbrella)	USA
AdGuard DNS	94.140.14.14 94.140.15.15	25–35 ms	Nessun log personale	✅	✅ (variante Family)	✅ nativo	Cipro

Alternative e scelte di nicchia

• NextDNS — Servizio freemium con dashboard di controllo granulare: permette di scegliere esattamente quali blocklist attivare e visualizzare statistiche di utilizzo. Ottimo per utenti avanzati, ma il piano gratuito ha un limite di 300.000 query/mese.
• DNS0.eu — Resolver europeo con sede in Francia, focalizzato sulla conformità GDPR e sulla protezione dei minori. Offre filtri progressivi (zero, base, moderate, strict).
• Comodo Secure DNS (8.26.56.26) — Blocco di domini malevoli basato sulla threat intelligence Comodo. Meno performante in Italia rispetto ai primi in classifica.

Come scegliere: criteri decisionali

Tre domande per orientarsi:

1. La priorità è la velocità assoluta? → Cloudflare 1.1.1.1. In Italia è spesso il più rapido grazie alla rete anycast con nodi a Milano e Roma.
2. Serve protezione da malware e phishing senza pensieri? → Quad9 9.9.9.9. Blocca automaticamente i domini malevoli senza bisogno di configurazioni aggiuntive.
3. Si vuole bloccare la pubblicità a livello di rete? → AdGuard DNS. Attenzione: può causare malfunzionamenti in app che dipendono da domini di tracking (alcuni social, e-commerce con redirect).

Limiti e trade-off: nessun DNS con blocco malware sostituisce un antivirus. Il blocco avviene via blacklist: un dominio malevolo appena creato potrebbe non essere ancora censito. Inoltre, i DNS con filtro famiglia non sono infallibili — bloccano domini noti ma non possono filtrare contenuti serviti tramite VPN o proxy.

5. Come cambiare DNS: guida passo-passo per ogni dispositivo

Cambiare DNS è gratuito, richiede pochi minuti e non comporta alcun rischio: se qualcosa non funziona, basta tornare alle impostazioni automatiche. La configurazione migliore è a livello router: copre tutta la rete domestica (PC, smartphone, smart TV, console, dispositivi IoT).

5.1 Router (consigliato — copre tutta la rete)

Vantaggio: ogni dispositivo connesso alla rete domestica userà i nuovi DNS senza bisogno di configurazioni individuali. Include TV, console, smart speaker e domotica.

1. Aprire il browser e digitare l'IP del router: solitamente 192.168.1.1 o 192.168.0.1. Su router Fastweb può essere 192.168.1.254; su TIM 192.168.1.1; su Vodafone Station 192.168.1.1.
2. Accedere con le credenziali (se mai cambiate, spesso sono admin/admin o admin/password — verificarle sull'etichetta del router).
3. Cercare la sezione Internet, WAN o Rete → Impostazioni DNS.
4. Disattivare l'assegnazione automatica DNS (DHCP DNS) e selezionare l'opzione manuale.
5. Inserire DNS primario e secondario (es. 1.1.1.1 e 1.0.0.1 per Cloudflare). Se disponibili, compilare anche i campi IPv6.
6. Salvare e riavviare il router.

Nota importante: su alcuni router forniti dagli ISP italiani, le opzioni DNS sono bloccate o nascoste. In questi casi, conviene configurare i DNS sui singoli dispositivi oppure valutare un router di proprietà — tema approfondito nella guida QoS Router.

5.2 Windows 10 e 11

1. Aprire Impostazioni → Rete e Internet → Wi-Fi (o Ethernet) → cliccare sulla rete attiva.
2. Sotto Impostazioni IP, cliccare Modifica e passare da Automatico (DHCP) a Manuale.
3. Attivare IPv4 e inserire:
   DNS preferito: 1.1.1.1
   DNS alternativo: 1.0.0.1
4. Opzionale: attivare IPv6 e inserire i corrispondenti indirizzi (2606:4700:4700::1111 e 2606:4700:4700::1001).
5. Salvare. Per sicurezza, svuotare la cache DNS con ipconfig /flushdns nel Prompt dei comandi.

5.3 macOS

1. Impostazioni di Sistema → Rete → selezionare la connessione attiva (Wi-Fi o Ethernet).
2. Cliccare Dettagli → scheda DNS.
3. Rimuovere gli eventuali server esistenti con il tasto "–".
4. Aggiungere i nuovi server con il tasto "+", inserendo l'IP primario e poi il secondario.
5. Cliccare OK e Applica.

5.4 Android (consigliato: DNS Privato con DoT)

Su Android, l'opzione DNS Privato non solo cambia il resolver ma cifra anche tutto il traffico DNS via TLS (DoT). È il metodo più sicuro e moderno.

1. Impostazioni → Rete e Internet → DNS Privato (su alcune versioni è sotto "Avanzate").
2. Selezionare Nome host del provider DNS privato.
3. Inserire l'hostname:
   • Cloudflare: one.one.one.one
   • Google: dns.google
   • Quad9: dns.quad9.net
4. Salvare. La modifica si applica anche alla rete mobile (4G/5G), non solo al Wi-Fi.

5.5 iPhone e iPad (iOS/iPadOS)

Su iOS la modifica DNS è legata alla singola rete Wi-Fi: cambiando rete, i DNS tornano automatici. Per la rete cellulare (4G/5G) non esiste un'impostazione DNS nativa; servono app di terze parti o un profilo di configurazione.

1. Impostazioni → Wi-Fi → toccare l'icona ⓘ accanto alla rete attiva.
2. Scorrere fino a Configura DNS → selezionare Manuale.
3. Rimuovere i server esistenti e aggiungere quelli desiderati con Aggiungi server.
4. Toccare Salva.

6. DNS e cybersecurity: il primo layer di difesa

Il DNS non è solo un traduttore di indirizzi: è anche un punto strategico per la sicurezza della rete. Configurarlo correttamente può bloccare un attacco prima ancora che raggiunga il browser o il client di posta.

Le principali minacce veicolate via DNS

• DNS Spoofing / Cache Poisoning — Un attaccante inserisce record DNS falsi nella cache di un resolver, reindirizzando le vittime verso siti malevoli identici agli originali. Secondo il rapporto ENISA Threat Landscape 2025, gli attacchi di DNS poisoning sono aumentati del 34% rispetto all'anno precedente.
• Pharming — Variante del phishing: invece di inviare un link via email, l'attaccante manipola il DNS per reindirizzare il traffico legittimo verso un sito clone che ruba le credenziali.
• DNS Hijacking — Un malware modifica le impostazioni DNS del dispositivo o del router, dirottando tutto il traffico verso resolver controllati dall'attaccante.
• DNS Tunneling — Tecnica di esfiltrazione dati che incapsula informazioni in query DNS, spesso usata per bypassare firewall. La guida Firewall e NAT spiega come mitigare anche questo vettore.

Come un DNS sicuro blocca le minacce

I resolver come Quad9 integrano threat intelligence in tempo reale: quando un dispositivo chiede di risolvere un dominio, il resolver lo confronta con database di domini malevoli (malware, phishing, C2 botnet) e, se trovato in blacklist, restituisce un NXDOMAIN — il sito non si apre. È un filtro che agisce prima del browser, prima dell'antivirus, prima che l'utente possa cliccare.

Cloudflare offre una variante con blocco malware (1.1.1.2) e una con blocco malware + contenuti adulti (1.1.1.3). OpenDNS permette di configurare filtri personalizzati tramite il pannello Cisco Umbrella.

Limite importante: il blocco DNS funziona solo per domini noti. Un sito di phishing creato poche ore prima potrebbe non essere ancora nelle blacklist. Per una protezione completa, il DNS sicuro deve far parte di una strategia a più livelli, come descritto nella guida Ransomware PMI: protezione efficace.

7. DNS over HTTPS (DoH) e DNS over TLS (DoT): navigare con il DNS cifrato

Il DNS tradizionale (protocollo UDP, porta 53) viaggia in chiaro. Chiunque sulla rete — l'ISP, l'amministratore del Wi-Fi pubblico, un attaccante in ascolto — può vedere quali siti vengono visitati. DoH e DoT risolvono questo problema crittografando le query.

Differenze tra DoH e DoT

Caratteristica	DoH (DNS over HTTPS)	DoT (DNS over TLS)
Porta	443 (HTTPS)	853 (dedicata)
Standard	RFC 8484	RFC 7858
Rilevabilità	Difficile da bloccare (mimetico nel traffico HTTPS)	Facile da bloccare (porta dedicata)
Adozione	Browser (Chrome, Firefox, Edge)	Sistema operativo (Android DNS Privato)
Prestazioni	Leggero overhead HTTP/2	Minimo overhead TLS

Come attivare DoH e DoT

• Android (DoT) — Usare la funzione "DNS Privato" descritta nella sezione 5.4. È DoT nativo, senza app aggiuntive.
• Browser desktop (DoH) — Chrome/Edge: Impostazioni → Privacy e sicurezza → Sicurezza → "Usa DNS sicuro" → scegliere un provider (Cloudflare, Google, Quad9, OpenDNS) o inserirne uno personalizzato. Firefox: Impostazioni → Privacy e sicurezza → "DNS over HTTPS" → abilitare e scegliere il provider.
• Router — Router Fritz!Box e alcuni modelli ASUS supportano DoT nativamente nelle impostazioni DNS. Su router che non lo supportano, si può usare un client DNS locale come dnscrypt-proxy su un server nella rete (es. Raspberry Pi).
• Windows 11 — Supporta DoH nativamente: nelle impostazioni DNS manuali (sezione 5.2), se il resolver è riconosciuto (Cloudflare, Google, Quad9), appare un menu a tendina per attivare la cifratura.

8. DNS per famiglie: filtraggio contenuti e controllo parentale

Per le famiglie con minori, i DNS con filtro famiglia offrono un primo strato di protezione che agisce a livello di rete, prima che i contenuti raggiungano qualsiasi dispositivo. Non sostituiscono una strategia completa di controllo parentale (per cui si rimanda alla Guida Parental Control 2026), ma la integrano efficacemente.

Opzioni DNS family-friendly

• Cloudflare Families (1.1.1.3 / 1.0.0.3) — Blocco combinato di malware e contenuti per adulti. Semplice da configurare, nessuna personalizzazione.
• OpenDNS FamilyShield (208.67.222.123 / 208.67.220.123) — Preconfigurato per bloccare contenuti adulti. Non richiede registrazione.
• CleanBrowsing Family Filter (185.228.168.168 / 185.228.169.168) — Blocco più aggressivo: oltre ai contenuti adulti, blocca anche VPN, proxy e domini "mixed content". Disponibile anche in versione "Adult Filter" (solo contenuti espliciti) e "Security Filter" (solo malware).
• AdGuard DNS Family (94.140.14.15 / 94.140.15.16) — Blocco contenuti adulti + SafeSearch forzato su Google, YouTube e Bing + blocco pubblicità e tracking.

Limiti dei filtri DNS per famiglia

• Nessun filtro DNS blocca il 100% dei contenuti inappropriati. I domini nuovi o poco conosciuti possono sfuggire.
• I filtri DNS non possono distinguere tra utenti: se configurati sul router, si applicano a tutti i dispositivi della rete, adulti compresi.
• Un adolescente con conoscenze tecniche minime può cambiare i DNS sul proprio dispositivo o usare una VPN per aggirare il filtro. Per approfondire: guida VPN in Italia.
• Alcuni filtri (specialmente CleanBrowsing) possono bloccare anche siti legittimi con contenuti borderline, generando falsi positivi.

9. FAQ: domande frequenti sul DNS

Il DNS influisce sul ping nei giochi online? No, il ping (latenza) dipende dalla qualità della connessione e dalla distanza fisica dal server di gioco, non dal DNS. Tuttavia, un DNS lento può ritardare la connessione iniziale al server e la risoluzione dei domini dei servizi di matchmaking, dando l'impressione di lentezza. Per una spiegazione completa: guida a Ping, Latenza e Jitter. Cambiare DNS è illegale in Italia? No. Cambiare DNS sul proprio dispositivo o router è perfettamente legale. L'AGCOM non ha alcuna normativa che lo vieti. Potrebbe essere una violazione dei termini di servizio di alcuni ISP, ma nella pratica non ci sono conseguenze per l'utente domestico. Alcuni provider potrebbero reindirizzare il traffico DNS verso i propri resolver, ma l'uso di DoH/DoT rende questa pratica tecnicamente difficile. DNS del provider (TIM, Fastweb, Vodafone) vs DNS pubblici: cosa cambia? I DNS dell'ISP sono geograficamente vicini (stessa rete) e possono offrire tempi di risposta bassissimi per i domini in cache — ma spesso non supportano DoH/DoT, non offrono blocchi di sicurezza e, in alcuni casi, possono reindirizzare il traffico (es. pagine di errore con pubblicità quando un dominio non esiste). I DNS pubblici offrono funzionalità moderne e politiche di privacy più chiare. Posso usare due DNS di provider diversi (es. Cloudflare primario e Google secondario)? Sì, ma è sconsigliato. Il secondario viene interrogato solo se il primario non risponde. Usare due provider diversi può causare comportamenti incoerenti: se Cloudflare blocca un dominio malevolo ma Google no, la risoluzione potrebbe riuscire comunque via secondario, vanificando il filtro. Meglio usare primario e secondario dello stesso provider. Il DNS pubblico può rallentare i CDN (Content Delivery Network)? Potenzialmente sì, ma il problema è in gran parte risolto. I CDN usano il resolver DNS per determinare la posizione geografica dell'utente e instradarlo al server più vicino (EDNS Client Subnet). Cloudflare e Google supportano ECS o hanno nodi anycast globali che mitigano il problema. In Italia, la differenza è trascurabile con i resolver più diffusi. Cosa fare se, dopo aver cambiato DNS, alcuni siti non si aprono? Se si usano DNS con blocco (AdGuard, Quad9, varianti Family), il dominio potrebbe essere in blacklist. Provare temporaneamente con 1.1.1.1 per verificare. Se il sito si apre, il blocco è intenzionale. Altrimenti, svuotare la cache DNS (ipconfig /flushdns su Windows) e riavviare il dispositivo.

10. Conclusione: il DNS come leva di performance e sicurezza

Il DNS è uno di quei componenti di Internet che funzionano in silenzio, invisibili, fino a quando qualcosa non va. Ma è anche una leva concreta e gratuita per migliorare l'esperienza di navigazione: pochi minuti di configurazione possono tradursi in pagine che si caricano più rapidamente, meno rischi di phishing e una privacy più solida.

I tre takeaway essenziali:

1. Testare prima di cambiare — Con strumenti come GRC DNS Benchmark si può verificare se i DNS del provider sono già ottimali o se un resolver alternativo offre vantaggi misurabili.
2. Configurare il router — Impostare i DNS a livello router protegge e velocizza ogni dispositivo della rete in un colpo solo.
3. Scegliere in base alle priorità — Velocità pura (Cloudflare), sicurezza integrata (Quad9), blocco pubblicità (AdGuard) o filtri famiglia (OpenDNS/Cloudflare Families).

Una connessione internet performante è il risultato di tanti anelli che collaborano: la fibra, il router, la gestione della banda via QoS, e — a monte di tutto — il DNS. Trascurare l'ultimo anello significa non ottenere il massimo da tutti gli altri.

Chi sta valutando un nuovo ISP o vuole verificare l'effettiva qualità della propria connessione può approfondire i criteri tecnici nella guida Come scegliere l'ISP giusto in Italia.