Configurare una rete in modo da disattivare il protocollo DNS over HTTPS

Mozilla ritiene che DNS over HTTPS (DoH) sia una funzionalità che tutti dovrebbero utilizzare per migliorare la propria privacy. Crittografando le richieste DNS, il protocollo DoH nasconde i dati di navigazione degli utenti a chiunque si trovi sul percorso di rete tra l'utente e il suo nameserver. Ad esempio, l'utilizzo di query DNS standard su una rete pubblica può potenzialmente rivelare ad altri utenti della rete e all'operatore di rete tutti i siti web visitati.

Sebbene Mozilla desideri incoraggiare tutti a utilizzare il protocollo DoH, è anche consapevole che esistono alcune circostanze in cui tale protocollo può non essere gradito, vale a dire:

  • Reti che hanno implementato una sorta di filtro tramite il risolutore DNS predefinito. Può essere utilizzato per attivare il controllo parentale o per bloccare l'accesso a siti web pericolosi.
  • Reti che rispondono a nomi che sono privati e/o che forniscono risposte diverse da quelle fornite pubblicamente. Ad esempio, una società può esporre solo l'indirizzo di un'applicazione utilizzata dai dipendenti sulla propria rete interna.

Le reti possono segnalare a Firefox che esistono funzioni speciali come queste e che tali funzioni verrebbero disattivate se il protocollo DoH venisse utilizzato per la risoluzione dei nomi di dominio. Il controllo di queste segnalazioni verrà implementato in Firefox quando il protocollo DoH verrà attivato per impostazione predefinita per gli utenti. Ciò accadrà per la prima volta per gli utenti negli Stati Uniti nell'autunno del 2019. Se un utente ha scelto di attivare manualmente il protocollo DoH, il segnale dalla rete verrà ignorato e le preferenze dell'utente verranno rispettate.

Gli amministratori di rete possono configurare le loro reti nel modo seguente per segnalare che il loro risolutore DNS locale ha implementato funzionalità speciali che rendono la rete inadatta per il protocollo DoH:

Le query DNS per i record A e AAAA per il dominio "use-application-dns.net" devono rispondere con NXDOMAIN (cioè non-existent domain, dominio non esistente) anziché con l'indirizzo IP recuperato dal name server autoritativo.

Il dominio "use-application-dns.net" viene definito "canary domain". Alcuni provider (fornitori) di filtri DNS esistenti implementano già domini simili per consentire agli utenti di verificare che il filtro funzioni. Questo nuovo dominio è diverso perché è pensato per essere attivato in molte soluzioni di filtraggio e anche interrogato da programmi come Firefox, invece che esplicitamente dall'utente. Questo meccanismo è stato creato da Mozilla come misura provvisoria fino a quando non sarà approvato uno standard Internet più stabile per segnalare la presenza di filtri del contenuto basati su DNS.

Oltre al segnale del dominio "canary" sopra descritto, in Firefox verranno eseguite alcune verifiche per le funzionalità di rete incompatibili con il protocollo DoH prima di attivarlo per un utente. Questi controlli verranno eseguiti all'avvio del browser e ogni volta che il browser rileva che il computer utilizzato è stato spostato su una rete diversa, ad esempio quando un laptop viene utilizzato a casa, al lavoro e in un Internet Point. Quando uno di questi controlli indica un potenziale problema, in Firefox verrà disattivato il protocollo DoH per il resto della sessione di rete, a meno che l'utente non abbia attivato la preferenza per utilizzare sempre il protocollo DoH come indicato in precedenza.

Le verifiche aggiuntive che verranno eseguite per il filtro contenuti sono:

  • Risoluzione dei domini "canary" di alcuni provider DNS noti, al fine di rilevare la presenza di filtri per i contenuti.
  • Risoluzione delle varianti di "safe-search" (ricerca sicura) di google.com e youtube.com per determinare se la rete reindirizza a loro.
  • Verifica della presenza di controlli parentali attivi nel sistema operativo (Windows e macOS).

Le verifiche aggiuntive che verranno eseguite per le reti "enterprise" (aziendali) private sono:

  • Valore della preferenza di Firefox security.enterprise_roots.enabled impostato come true.
  • Configurazione di criteri per le aziende.

È stato utile questo articolo?

Attendere…

Questi bravi collaboratori hanno contribuito alla scrittura di questo articolo:

Illustration of hands

Collabora

Impara e condividi la tua esperienza con gli altri. Rispondi alle domande e migliora la nostra Knowledge Base.

Ulteriori informazioni