Cloudflare aveva risposto alle critiche sul suo servizio di DNS assumendo un controllore esterno per verificare il rispetto delle promesse. Il rapporto conclusivo conferma il rispetto della privacy degli utenti – con qualche problema minore qua e là.

Il servizio DNS di Cloudflare (1.1.1.1) ha aperto ufficialmente i battenti nel 2018, e all’inizio la corporation si è dovuta scontrare con le critiche di chi evidenziava la possibile violazione della privacy da parte del network CDN statunitense. Per ovviare al problema, Cloudflare ha assunto la società di consulenza KPMG per una verifica indipendente del rispetto delle promesse formulate dall’azienda in merito alla gestione dei dati degli utenti.

La verifica indipendente si è ora conclusa, e KPMG ha distribuito il rapporto finale sul modo in cui il DNS 1.1.1.1 gestisce i dati delle connessioni. Il lavoro di revisione ha più o meno confermato in concreto quanto promesso da Cloudflare sulla carta, anche se sono emersi alcune questioni “minori” che hanno costretto la corporation a modificare i termini del servizio.

Secondo KPMG, la promessa sulla cancellazione di tutti i log del servizio di DNS 1.1.1.1 entro 24 non è proprio rispettata alla lettera; in realtà, i log vengono azzerati entro 25 ore al massimo e alcuni dati anonimi vengono conservati a tempo “indefinito”.

I router di Cloudflare catturano poi lo 0,05% dei pacchetti di dati in maniera “casuale”, una procedura che secondo l’azienda è indipendente dal servizio DNS ed è utile alla manutenzione della rete (anche contro gli attacchi DDoS) con una ritenzione dei dati per un “periodo di tempo limitato”.

Stando ai revisori esterni, i DNS di Cloudflare sono “effettivamente” consistenti con le promesse fatte dalla corporation sul rispetto della privacy degli utenti e sulla politica “no log” annunciata al debutto del servizio. Promesse ribadite ancora una volta da Cloudflare in occasione dell’annuncio della conclusione della revisione di KPMG.

