Il WiFi pubblico è sicuro senza VPN?
Risposta breve
Per lo più sì, ma non del tutto. HTTPS moderno cifra il traffico web end-to-end, quindi quello a cui accedi resta privato anche su WiFi di hotel o bar. Cosa resta esposto: i nomi di dominio che visiti, le query DNS, traffico app senza TLS, e qualunque cosa intercettata da un access point malevolo che si finge la rete attesa.
Il modello di minaccia è cambiato negli anni 2010. Prima di HTTPS il WiFi pubblico era davvero pericoloso; oggi è in larga parte ok per navigare, con qualche caso limite che ancora conta — captive portal, evil-twin, e tutto ciò che passa fuori da TLS.
Cosa vedono gli altri sulla rete
Nomi di dominio: alla visita di `nytimes.com`, il campo SNI nell'handshake TLS rivela il dominio anche se path e contenuto restano cifrati. Chi ascolta passivamente vede l'elenco dei siti che visiti.
Query DNS: tipicamente ancora in chiaro a meno che non abbia attivato DNS-over-HTTPS o DNS-over-TLS. L'intera lista dei siti che il dispositivo interroga è visibile.
Gli access point evil-twin sono la vera minaccia residua
Un attaccante mette in piedi un SSID `Hilton-Guest` accanto alla rete reale dell'hotel. Il dispositivo si connette al segnale più forte. La macchina dell'attaccante vede tutto il DNS, può servire pagine captive portal false, e MITM su tutto ciò che non fa pinning stretto dei certificati.
Una VPN chiude il discorso: anche su una rete ostile, l'attaccante vede solo traffico cifrato verso l'IP del provider VPN.
Quando una VPN aiuta davvero
Tre benefici concreti su WiFi pubblico: nasconde DNS alla rete, nasconde lo stream SNI dei domini, e rende inutili gli evil-twin perché tunneli fuori dalla rete locale prima di tutto. In pratica: tratta il WiFi pubblico come non fidato, usa VPN se devi loggarti, altrimenti HTTPS oggi fa la maggior parte del lavoro.
Ultima verifica: 2026-05-05
Domande correlate