Configurare una rete in modo da disattivare il protocollo DNS over HTTPS

Mozilla ritiene che [[Firefox DNS-over-HTTPS|DNS over HTTPS (DoH)]] sia una funzionalità che tutti dovrebbero utilizzare per migliorare la propria privacy. Crittografando queste richieste DNS, il protocollo DoH nasconde i dati di navigazione degli utenti a chiunque si trovi sul percorso di rete tra l'utente e il suo nameserver. Ad esempio, l'utilizzo di query DNS standard su una rete pubblica può potenzialmente rivelare ad altri utenti della rete e all'operatore di rete tutti i siti web visitati. Sebbene Mozilla desideri incoraggiare tutti a utilizzare il protocollo DoH, è anche consapevole che esistono alcune circostanze in cui tale protocollo può non essere gradito, vale a dire: *Reti che hanno implementato una sorta di filtro tramite il risolutore DNS predefinito. Può essere utilizzato per implementare il controllo parentale o per bloccare l'accesso a siti web pericolosi. *Reti che rispondono a nomi che sono privati e/o che forniscono risposte diverse da quelle fornite pubblicamente. Ad esempio, una società può esporre solo l'indirizzo di un'applicazione utilizzata dai dipendenti sulla propria rete interna. Le reti possono segnalare a Firefox che esistono funzioni speciali come queste e che tali funzioni verrebbero disattivate se il protocollo DoH venisse utilizzato per la risoluzione dei nomi di dominio. Il controllo di queste segnalazioni verrà implementato in Firefox quando il protocollo DoH verrà attivato per impostazione predefinita per gli utenti. Ciò accadrà per la prima volta per gli utenti negli Stati Uniti nell'autunno del 2019. Se un utente ha scelto di attivare manualmente il protocollo DoH, il segnale dalla rete verrà ignorato e le preferenze dell'utente verranno rispettate. Gli amministratori di rete possono configurare le loro reti come segue per segnalare che il loro risolutore DNS locale ha implementato funzionalità speciali che rendono la rete inadatta per il protocollo DoH: Le query DNS per i record A e AAAA per il dominio "use-application-dns.net" devono rispondere con NXDOMAIN anziché con l'indirizzo IP recuperato '''from the authoritative nameserver'''. Il dominio "use-application-dns.net" viene definito “canary domain”. Alcuni provider (fornitori) di filtri DNS esistenti implementano già domini simili per consentire agli utenti di verificare che il filtro funzioni. Questo nuovo dominio è diverso perché è pensato per essere implementato in molte soluzioni di filtraggio e anche controllato da programmi come Firefox, piuttosto che verificato espressamente dall'utente. Questo meccanismo è stato creato da Mozilla come misura provvisoria fino a quando non sarà possibile approvare uno standard Internet più stabile per segnalare la presenza di filtri del contenuto basati su DNS. Oltre al segnale del dominio "canary" sopra descritto, in Firefox verranno eseguite alcune verifiche per le funzionalità di rete incompatibili con il protocollo DoH prima di attivarlo per un utente. Questi controlli verranno eseguiti all'avvio del browser e ogni volta che il browser rileva che è stato spostato su una rete diversa, ad esempio quando un laptop viene utilizzato a casa, al lavoro e in un bar. Quando uno di questi controlli indica un potenziale problema, in Firefox verrà disattivato il protocollo DoH per il resto della sessione di rete, a meno che l'utente non abbia attivato la preferenza per utilizzare sempre il protocollo DoH come indicato in precedenza. Le verifiche aggiuntive che verranno eseguite per il filtro contenuti sono: *Risolvi i domini "canary" di alcuni provider DNS noti per rilevare il filtro dei contenuti *Risolvi le varianti di "safe-search" (ricerca sicura) di google.com e youtube.com per determinare se la rete reindirizza a loro *Su Windows e macOS, rileva i controlli parentali attivati nel sistema operativo Le verifiche aggiuntive che verranno eseguite per le reti "enterprise" (aziendali) private sono: *La preferenza di Firefox {pref security.enterprise_roots.enabled} è impostata su {pref true}? *È stato configurato qualche [/products/firefox-enterprise/policies-customization-enterprise/manage-settings-policy criterio per le aziende]?

Mozilla ritiene che DNS over HTTPS (DoH) sia una funzionalità che tutti dovrebbero utilizzare per migliorare la propria privacy. Crittografando queste richieste DNS, il protocollo DoH nasconde i dati di navigazione degli utenti a chiunque si trovi sul percorso di rete tra l'utente e il suo nameserver. Ad esempio, l'utilizzo di query DNS standard su una rete pubblica può potenzialmente rivelare ad altri utenti della rete e all'operatore di rete tutti i siti web visitati.

Sebbene Mozilla desideri incoraggiare tutti a utilizzare il protocollo DoH, è anche consapevole che esistono alcune circostanze in cui tale protocollo può non essere gradito, vale a dire:

• Reti che hanno implementato una sorta di filtro tramite il risolutore DNS predefinito. Può essere utilizzato per implementare il controllo parentale o per bloccare l'accesso a siti web pericolosi.
• Reti che rispondono a nomi che sono privati e/o che forniscono risposte diverse da quelle fornite pubblicamente. Ad esempio, una società può esporre solo l'indirizzo di un'applicazione utilizzata dai dipendenti sulla propria rete interna.

Le reti possono segnalare a Firefox che esistono funzioni speciali come queste e che tali funzioni verrebbero disattivate se il protocollo DoH venisse utilizzato per la risoluzione dei nomi di dominio. Il controllo di queste segnalazioni verrà implementato in Firefox quando il protocollo DoH verrà attivato per impostazione predefinita per gli utenti. Ciò accadrà per la prima volta per gli utenti negli Stati Uniti nell'autunno del 2019. Se un utente ha scelto di attivare manualmente il protocollo DoH, il segnale dalla rete verrà ignorato e le preferenze dell'utente verranno rispettate.

Gli amministratori di rete possono configurare le loro reti come segue per segnalare che il loro risolutore DNS locale ha implementato funzionalità speciali che rendono la rete inadatta per il protocollo DoH:

Le query DNS per i record A e AAAA per il dominio "use-application-dns.net" devono rispondere con NXDOMAIN anziché con l'indirizzo IP recuperato from the authoritative nameserver.

Il dominio "use-application-dns.net" viene definito “canary domain”. Alcuni provider (fornitori) di filtri DNS esistenti implementano già domini simili per consentire agli utenti di verificare che il filtro funzioni. Questo nuovo dominio è diverso perché è pensato per essere implementato in molte soluzioni di filtraggio e anche controllato da programmi come Firefox, piuttosto che verificato espressamente dall'utente. Questo meccanismo è stato creato da Mozilla come misura provvisoria fino a quando non sarà possibile approvare uno standard Internet più stabile per segnalare la presenza di filtri del contenuto basati su DNS.

Oltre al segnale del dominio "canary" sopra descritto, in Firefox verranno eseguite alcune verifiche per le funzionalità di rete incompatibili con il protocollo DoH prima di attivarlo per un utente. Questi controlli verranno eseguiti all'avvio del browser e ogni volta che il browser rileva che è stato spostato su una rete diversa, ad esempio quando un laptop viene utilizzato a casa, al lavoro e in un bar. Quando uno di questi controlli indica un potenziale problema, in Firefox verrà disattivato il protocollo DoH per il resto della sessione di rete, a meno che l'utente non abbia attivato la preferenza per utilizzare sempre il protocollo DoH come indicato in precedenza.

Le verifiche aggiuntive che verranno eseguite per il filtro contenuti sono:

• Risolvi i domini "canary" di alcuni provider DNS noti per rilevare il filtro dei contenuti
• Risolvi le varianti di "safe-search" (ricerca sicura) di google.com e youtube.com per determinare se la rete reindirizza a loro
• Su Windows e macOS, rileva i controlli parentali attivati nel sistema operativo

Le verifiche aggiuntive che verranno eseguite per le reti "enterprise" (aziendali) private sono:

• La preferenza di Firefox security.enterprise_roots.enabled è impostata su true?
• È stato configurato qualche criterio per le aziende?