Risposte alle domande più frequenti su DNS-over-HTTPS

Questo articolo riporta un elenco di risposte alle domande più frequenti sulla funzione DNS over HTTPS (DoH). Per ulteriori informazioni su questa funzione e sulla sua gestione, leggere l'articolo Informazioni su DNS over HTTPS.

Indice dei contenuti

Come funziona DNS over HTTPS per gli utenti di Firefox negli Stati Uniti

Qual è l'informativa sulla privacy di DNS over HTTPS

L'implementazione di DoH fa parte del lavoro svolto da Mozilla per salvaguardare gli utenti dal pervasivo monitoraggio online dei dati personali. Per fare ciò, Mozilla richiede che tutti i provider DNS che possono essere selezionati in Firefox rispettino la sua Trusted Recursive Resolver (TRR) policy (informazioni in inglese) attraverso un contratto legalmente vincolante. Questi requisiti pongono limiti rigorosi al tipo di dati che possono essere conservati, a che cosa il provider può fare con tali dati e per quanto tempo possono essere conservati. Questa politica rigorosa ha lo scopo di proteggere gli utenti dai provider che sono in grado di raccogliere i loro dati personali e di trarne profitti economici.

Gli utenti verranno avvisati quando questa funzione è attiva e potranno scegliere di non utilizzarla?

Sì, verrà visualizzato un pop-up e non scomparirà fino a quando l'utente non avrà deciso se attivare o disattivare le protezioni per la privacy DNS.

DoH Opt Out

Gli utenti saranno in grado di disattivare DoH?

Sì, potranno disattivare la funzione DoH dalle Opzioni/Preferenze > pannello Generale > Impostazioni di rete. È possibile disattivare DoH e/o selezionare il proprio provider DoH come spiegato in queste procedure.

Gli utenti possono scegliere in anticipo di non utilizzare la funzione?

Sì, dalla pagina about:config è possibile impostare manualmente la preferenza network.trr.mode sul valore 5. Ulteriori informazioni (in inglese) sui "mode" sono disponibili in questa pagina del Wiki di Mozilla.

Quale sarà l'impatto di DoH sulle aziende con DNS personalizzati?

Mozilla ha fatto in modo che sia facile per le aziende disattivare questa funzione. Tramite Firefox verrà rilevato se sul dispositivo sono stati impostati i criteri aziendali e in tali circostanze disattiverà il protocollo DoH. Gli amministratori di sistema interessati a imparare come configurare i criteri aziendali per Firefox, possono consultare la documentazione disponibile in questa pagina del sito di supporto di Mozilla.

Quale sarà l'impatto di DoH sul controllo genitori?

Mozilla è a conoscenza che alcuni ISP utilizzano il protocollo DNS per offrire un servizio di controllo genitori che blocca i contenuti per adulti. L'opinione di Mozilla è che il protocollo DNS non sia l'approccio migliore ai controlli parentali, ma allo stesso tempo non desidera interferire con i servizi esistenti, quindi, prima di attivare il protocollo DoH, viene effettuato il controllo di una serie di domini "canary". Se questi domini indicano che il controllo parentale è attivo, il protocollo DoH viene disattivato automaticamente. Per ulteriori informazioni, consultare questa pagina (in inglese) del blog di Mozilla.

Le reti non possono semplicemente attivare sempre il controllo del dominio canary e disattivare DoH?

Sì, i domini canary sono una soluzione che offre la migliore sicurezza per combattere gli attacchi alla rete e per prevenire problemi in sistemi esistenti. Mozilla monitorerà il loro utilizzo, indagando su qualsiasi caso di abuso ed esaminando le misure per contenere tali incidenti.

Il protocollo DoH comporterà problemi per i sistemi di distribuzione Content Delivery Network (CDN)?

Mozilla è consapevole che alcune CDN alcune CDN utilizzano una gestione del traffico basata su DNS che potrebbe essere influenzata da DoH. Tuttavia, i test effettuati da Mozilla mostrano che i tempi di caricamento di una pagina tramite DoH sono competitivi rispetto ai normali tempi di caricamento della stessa pagina tramite DNS. Durante e dopo il periodo di lancio, Mozilla monitorerà le prestazioni di Firefox per verificare se vengono riscontrati rallentamenti del browser.

In che modo Firefox gestisce il DNS split-horizon?

Se Firefox non riesce a risolvere un dominio tramite DoH, utilizzerà il DNS come soluzione di backup. Ciò significa che tutti i domini disponibili solo sul normale DNS (perché non sono pubblici) verranno risolti in questo modo. Se si dispone di un dominio che è pubblicamente risolvibile ma si risolve internamente in modo diverso, è necessario utilizzare le impostazioni aziendali per disattivare la funzione DoH.

Mozilla convalida le specifiche DNSSEC?

Le DNSSEC (Domain Name System Security Extensions) garantiscono che le risposte DNS non siano state manomesse durante il transito, ma non crittografano le richieste e le risposte DNS. Mozilla, per proteggere la privacy degli utenti, ha dato la priorità alla crittografia del DNS utilizzando DoH e sta valutando una futura implementazione delle DNSSEC.

Cloudflare esegue la convalida DNSSEC sulle query che Firefox invia al risolutore DoH. Tuttavia, ciò non garantisce l'integrità end-to-end dei dati DNS. Attualmente Mozilla sta implementando DoH in "modalità fallback", il che significa che qualsiasi errore restituito dal risolutore Cloudflare, come un errore di convalida DNSSEC, farà sì che Firefox riprovi la query utilizzando il risolutore del sistema operativo invece di restituire un errore all'utente.

Le partnership DNS over HTTPS

Quale risolutore verrà utilizzato per Firefox?

Il lancio iniziale, previsto solo negli Stati Uniti, designa Cloudflare come risolutore predefinito. Gli utenti possono effettuare in alternativa una selezione da un elenco di fornitori aggiuntivi nel programma Trusted Recursive Resolver di Mozilla, che richiede la conformità ai requisiti (informazioni in inglese) richiesti da Mozilla in materia di privacy e sicurezza degli utenti. Mozilla si augura di aggiungere gradualmente ulteriori fornitori al suo programma Trusted Recursive Resolver. Inoltre, la visione di Mozilla è che DoH sia adottato e supportato universalmente da tutti i risolutori DNS.

Perché Mozilla ha scelto Cloudflare come risolutore affidabile?

Cloudflare è stato in grado di soddisfare i requisiti rigorosi che Mozilla ha attualmente in vigore. Questi requisiti sono supportati nel contratto legalmente vincolante di Mozilla con Cloudflare e sono stati resi pubblici in una delle migliori informative sulla privacy nella propria categoria che documenta tali informative e fornisce trasparenza agli utenti.

Mozilla viene pagata per indirizzare le richieste DNS a Cloudflare?

Mozilla non percepisce alcun pagamento per indirizzare le richieste DNS a Cloudflare.

Mozilla o Cloudflare traggono profitti da questi dati?

No, la politica di Mozilla e di Cloudflare proibisce esplicitamente la monetizzazione di questi dati. L'obiettivo di Mozilla con questa funzione è quello di fornire una protezione significativa della privacy dei suoi utenti e di rendere più difficile per i risolutori DNS esistenti di trarre profitto dai dati DNS degli utenti.

Ulteriori informazioni sull'implementazione di DNS over HTTPS

Qual è il programma di lancio?

Mozilla inizierà un rilascio graduale a ottobre 2019 solo negli Stati Uniti, iniziando con un piccolo gruppo di utenti per poi estendere l'attivazione di DNS over HTTPS a tutti gli utenti e verificando costantemente la presenza di eventuali problemi. Per ulteriori dettagli sull'implementazione, è possibile consultare il bug 1573840 (in inglese).

Mozilla sta rilasciando questa funzione come predefinita anche in Europa?

Come parte della strategia continua per misurare attentamente i benefici e l'impatto del protocollo DoH, al momento Mozilla è focalizzata sul rilascio di questa funzione solo negli Stati Uniti.

Perché per Firefox si sta implementando il protocollo DoH e non quello DoT?

L'IETF ha standardizzato due DNS su protocolli di trasmissione sicuri: DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Questi due protocolli hanno proprietà di sicurezza e privacy sostanzialmente simili. Mozilla ha scelto il protocollo DoH perché ritiene che si adatti meglio al suo attuale stack di rete per il browser esistente (che è focalizzato su HTTP) e fornisce un supporto migliore per le future funzionalità di protocollo come il multiplexing HTTP/DNS e QUIC.

Il protocollo DoT è più facile da rilevare e bloccare da parte degli operatori di rete?

Sì, Mozilla crede comunque che questa non sia una scelta vantaggiosa. Tramite Firefox vengono forniti agli operatori di rete dei meccanismi per segnalare che hanno motivi legittimi per scegliere di disattivare il protocollo DoH. Mozilla ritiene che bloccare la connessione al risolutore non sia una risposta appropriata.

La "Server Name Indication" (SNI) non lascia comunque trapelare i nomi di dominio?

Sì, sebbene non tutti i nomi di dominio vengano rivelati tramite Server Name Indication (l'indicazione del nome del server), Mozilla si preoccupa per i dati rivelati tramite SNI e i suoi sviluppatori hanno iniziato a lavorare su un Encrypted SNI (SNI crittografato).

È stato utile questo articolo?

Attendere…

Questi bravi collaboratori hanno contribuito alla scrittura di questo articolo:

Illustration of hands

Collabora

Impara e condividi la tua esperienza con gli altri. Rispondi alle domande e migliora la nostra Knowledge Base.

Ulteriori informazioni