Glossario — Termini VPN in linguaggio chiaro

Un kill switch monitora il tunnel VPN e blocca tutto il traffico internet se il tunnel viene interrotto — per esempio quando cambi rete wifi o il server perde la connessione. Senza di esso, il computer continua a inviare pacchetti attraverso la tua rete normale finché il client non si riconnette, rivelando il tuo indirizzo IP reale. Per chi usa una VPN per nascondere la propria posizione, il kill switch è di fatto obbligatorio.

Lo split tunneling divide il traffico in due percorsi. Puoi per esempio usare il browser tramite VPN ma lasciare che l'app della banca o le stampanti locali vadano all'esterno, cosa che altrimenti finisce spesso con il servizio che ti blocca o che è più lento del necessario. L'opposto dello split tunneling — il full tunnel — invia tutto attraverso la VPN indipendentemente dall'app.

Con il multi-hop (a volte chiamato double VPN) il tuo traffico viene collegato attraverso una catena di due server in paesi diversi. Il primo server vede il tuo IP reale ma non ciò che visiti; il secondo vede la destinazione ma non da dove il traffico ha avuto origine. Protegge contro un provider che perde la disciplina sui log, ma costa velocità ed è eccessivo per la maggior parte degli utenti.

Ogni volta che apri una pagina web, il computer risolve il nome del dominio tramite un server DNS. Se il traffico DNS per errore va direttamente al tuo provider internet invece che attraverso il tunnel VPN, lui vede comunque l'intero elenco dei siti che visiti, anche se il caricamento della pagina stessa è crittografato. La protezione DNS leak forza le ricerche dentro il tunnel.

Un protocollo VPN determina come client e server negoziano un tunnel crittografato e come vengono confezionati i pacchetti. WireGuard è lo standard moderno con una base di codice piccola, è veloce e ottimo sulle reti mobili. OpenVPN è più vecchio e più lento ma estremamente collaudato e disponibile ovunque. IKEv2/IPsec gestisce bene i cambi di rete ed è spesso usato sui dispositivi mobili. Evita protocolli più vecchi come PPTP o L2TP senza IPsec.

Tutti i servizi VPN seri crittografano il traffico con AES-256 o ChaCha20. Entrambi sono oggi praticamente inviolabili con i metodi noti. Frasi come «military-grade» o «bank-grade encryption» sono puro marketing — non esiste uno standard simile. Ciò che conta di più è come vengono scambiate le chiavi e se viene usata la perfect forward secrecy, cosa che tutti i protocolli moderni fanno.

Il paese in cui la società ha sede determina quali tribunali e servizi di sicurezza possono richiedere dati o costringere il provider a iniziare a registrare i log. I paesi all'interno delle alleanze Five/Nine/14 Eyes condividono informazioni di intelligence di routine; i provider con sede al di fuori (per esempio Panama o Svizzera) sono un po' più liberi. Questo però non protegge da una cattiva politica no-logs — un paese senza obblighi di conservazione vale solo se il provider effettivamente non salva nulla.

Scopri di più su Five / Nine / 14 Eyes →

Il numero di server è una cifra popolare da mettere in evidenza ma da sola dice poco. Tremila server in cinque paesi sono peggio di trecento server in cinquanta paesi. Ciò che conta è se ci sono server vicino a dove ti trovi (latenza) e nei paesi a cui devi connetterti (geoblock). I numeri alti riflettono anche come il provider conta — le istanze virtuali e i bilanciatori di carico sono spesso inclusi nel conteggio.

Il numero di paesi con server determina da quali regioni geografiche puoi ottenere un indirizzo IP. Se vuoi raggiungere BBC iPlayer servono server nel Regno Unito; se vuoi vedere Netflix USA servono server negli Stati Uniti. Per la maggior parte degli utenti 30–50 paesi bastano e avanzano; tutto ciò che è oltre è soprattutto per casi limite.

Le località dei server ti dicono dove puoi ottenere un punto di uscita. Alcuni provider gestiscono server fisici in tutti i paesi elencati; altri usano server virtuali dove la macchina si trova altrove ma assegna un indirizzo IP del paese di destinazione. Per il geoblocking entrambi sono equivalenti; per la latenza la posizione fisica è migliore.

Un piano gratuito di solito è un assaggio, non un'alternativa completa. I limiti tipici sono da 500 MB a 10 GB di traffico al mese, pochi paesi server e velocità inferiore. Evita le VPN gratuite di provider sconosciuti — la gestione è costosa e se non paghi probabilmente sei tu il prodotto (misurazione pubblicitaria o rivendita del traffico).

La garanzia è in pratica un periodo di prova gratuito: paghi l'abbonamento annuale e chiedi indietro i soldi prima che il periodo scada se non sei soddisfatto. Leggi i termini — alcuni provider rifiutano il rimborso se hai usato troppo traffico, hai acquistato tramite App Store o tramite promozioni speciali.

Quasi tutti i provider VPN si pubblicizzano con un prezzo del primo periodo fortemente scontato e poi tornano a un prezzo ordinario significativamente più alto al rinnovo. Lo sconto può essere del 60–80% il primo anno. È il prezzo di rinnovo a essere il costo a lungo termine — è questa la cifra che dovresti confrontare.

Il limite controlla quanti dei tuoi dispositivi possono essere collegati alla VPN contemporaneamente. Un router conta come un dispositivo ma copre tutto ciò che si connette dietro di esso, quindi installarlo sul router è un buon modo per risparmiare sul numero di dispositivi. Se condividi l'account con la famiglia, di solito serve il supporto per 5–10 dispositivi simultanei.

Con un numero illimitato di connessioni simultanee puoi connetterti a tutti i dispositivi che vuoi contemporaneamente. Pratico per grandi famiglie, dispositivi smart home e se vuoi condividere l'account con i familiari stretti. Si presume un uso ragionevole — i provider in genere intervengono contro la condivisione commerciale.

La maggior parte degli ad blocker VPN è fondamentalmente una blacklist DNS: il server rifiuta di risolvere domini pubblicitari noti. Funziona contro banner e tracker di terze parti ma non intercetta gli annunci che si trovano sullo stesso dominio dei contenuti (per esempio YouTube). Un'estensione browser dedicata come uBlock Origin è più approfondita. Due vantaggi della variante VPN: protegge tutti i dispositivi e funziona nelle app, non solo nel browser.

Un'app ufficiale per il servizio VPN rende l'installazione facile e gestisce automaticamente dettagli come kill switch e protezione DNS leak. Il supporto comune c'è per Windows, macOS, Linux, iOS, Android. Se manca una piattaforma (per esempio un router specifico o Apple TV), spesso si può comunque connettersi manualmente tramite file di configurazione OpenVPN o WireGuard, ma senza funzionalità aggiuntive.

Un'estensione VPN in Chrome o Firefox è nella maggior parte dei casi un proxy HTTPS, non un tunnel VPN completo. Solo il traffico del browser è protetto; tutto il resto del traffico di rete (altre app, aggiornamenti di sistema, client email) passa per la via normale. Utile quando vuoi cambiare paese di uscita temporaneamente senza configurare un tunnel di sistema, ma non sostituisce un vero client VPN.

Mettiamo Sì se il sito del provider stesso menziona lo streaming come funzionalità. Molti servizi di streaming mantengono elenchi di indirizzi IP VPN e li bloccano. Un provider che funziona oggi può smettere di funzionare la settimana prossima. Una breve garanzia di rimborso è la migliore assicurazione se lo streaming è il tuo scopo principale.

Il numero di servizi di streaming che il provider stesso elenca come supportati sul proprio sito. Alcuni elencano in modo esaustivo su una pagina dedicata, altri solo un sottoinsieme, altri ancora non li elencano affatto.