Questo articolo riporta un elenco di risposte alle domande più frequenti sulla funzione DNS over HTTPS (DoH). Per ulteriori informazioni su questa funzione e sulla sua gestione, leggere l'articolo [[Firefox DNS-over-HTTPS]]. __TOC__ =Come funziona DNS over HTTPS per gli utenti di Firefox negli Stati Uniti= ==Qual è l'informativa sulla privacy di DNS over HTTPS== L'implementazione di DoH fa parte del lavoro svolto da Mozilla per salvaguardare gli utenti dal pervasivo monitoraggio online dei dati personali. Per fare ciò, Mozilla richiede che tutti i provider DNS che possono essere selezionati in Firefox siano conformi alla sua [https://wiki.mozilla.org/Security/DOH-resolver-policy Trusted Recursive Resolver (TRR) policy] (informazioni in inglese) attraverso un contratto legalmente vincolante. Questi requisiti pongono limiti rigorosi al tipo di dati che possono essere conservati, a che cosa il provider può fare con tali dati e per quanto tempo possono essere conservati. Questa politica rigorosa ha lo scopo di proteggere gli utenti dai provider che sono in grado di raccogliere i loro dati personali e di trarne profitti economici. ==Gli utenti verranno avvisati quando questa funzione è attiva e potranno scegliere di non utilizzarla?== Sì, verrà visualizzato un pop-up e non scomparirà fino a quando l'utente non deciderà decisione se attivare o disattivare le protezioni per la privacy DNS. [[Image:DoH Opt Out]] ==Gli utenti saranno in grado di disattivare DoH?== Sì, potranno disattivare la funzione DoH dalle '''Opzioni/Preferenze > pannello Generale > Impostazioni di rete'''. È possibile disattivare DoH e/o selezionare il proprio provider DoH come spiegato in [[Firefox DNS-over-HTTPS#w_attivare-e-disattivare-la-funzione-dns-over-https-manualmente|queste procedure]]. ==Gli utenti possono scegliere in anticipo di non utilizzare la funzione?== Sì, dalla pagina [[Configuration Editor for Firefox|about<nowiki>:</nowiki>config]] è possibile impostare manualmente la preferenza {pref network.trr.mode} sul valore {pref 5}. Ulteriori informazioni (in inglese) sui "mode" sono disponibili in [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode questa pagina] del Wiki di Mozilla. ==Quale sarà l'impatto di DoH sulle aziende con soluzioni DNS personalizzate?== Mozilla ha fatto in modo che sia facile per le aziende disattivare questa funzione. Tramite Firefox verrà rilevato se sul dispositivo sono stati impostati i criteri aziendali e in tali circostanze disattiverà il protocollo DoH. Gli amministratori di sistema interessati a imparare come configurare i criteri aziendali per Firefox, possono consultare la documentazione disponibile in [https://support.mozilla.org/it/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise questa pagina] del sito di supporto di Mozilla. ==Quale sarà l'impatto di DoH sul controllo parentale?== Mozilla è a conoscenza che alcuni ISP utilizzano il protocollo DNS per offrire un servizio di controllo parentale che blocca i contenuti per adulti. L'opinione di Mozilla è che il DNS non sia l'approccio migliore ai controlli parentali, ma allo steso tempo non desidera interferire con i servizi esistenti, quindi, prima di attivare il protocollo DoH, viene effettuato il controllo di una serie di domini "canary". Se questi domini indicano che il controllo parentale è attivo, il protocollo DoH viene disattivato automaticamente. Per ulteriori informazioni, consultare [https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/ questa pagina] (in inglese) del blog di Mozilla. ==Le reti non possono semplicemente attivare sempre il controllo del dominio canary e disattivare DoH?== Sì, i domini canary sono una soluzione che offre la migliore sicurezza per combattere gli attaccanti di rete e per prevenire il malfunzionamento delle implementazioni esistenti. Mozilla monitorerà il loro utilizzo, indagando su qualsiasi caso di abuso ed esaminando le misure per contenere tali incidenti. ==Il protocollo DoH comporterà problemi per i sistemi di distribuzione Content Delivery Network (CDN)?== Mozilla è consapevole che alcune [https://it.wikipedia.org/wiki/Content_Delivery_Network CDN] utilizzano il controllo del traffico basato su DNS che potrebbe essere interessato da DoH. Tuttavia, i [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps/ test] effettuati da Mozilla mostrano che i tempi di caricamento di una pagina tramite DoH sono competitivi rispetto ai normali tempi di caricamento della stessa pagina tramite DNS. Durante e dopo il periodo di lancio, Mozilla monitorerà le prestazioni di Firefox per verificare se vengono riscontrati malfunzionamenti del browser. ==In che modo Firefox gestisce il DNS split-horizon?== Se Firefox non riesce a risolvere un dominio tramite DoH, tornerà al DNS. Ciò significa che tutti i domini disponibili solo sul normale DNS (perché non sono pubblici) verranno risolti in questo modo. Se si dispone di un dominio che è pubblicamente risolvibile ma si risolve internamente in modo diverso, è necessario utilizzare le impostazioni aziendali per disattivare la funzione DoH. ==Mozilla convalida le specifiche DNSSEC?== Le [https://it.wikipedia.org/wiki/DNSSEC DNSSEC] (Domain Name System Security Extensions) garantiscono che le risposte DNS non siano state manomesse durante il transito, ma non crittografano le richieste e le risposte DNS. Mozilla, per proteggere la privacy degli utenti, ha dato la priorità alla crittografia del DNS utilizzando DoH e sta valutando una futura implementazione delle DNSSEC. Cloudflare esegue la convalida DNSSEC sulle query che Firefox invia al risolutore DoH. Tuttavia, ciò non garantisce l'integrità end-to-end dei dati DNS. Attualmente Mozilla sta implementando DoH in "modalità fallback", il che significa che qualsiasi errore restituito dal risolutore Cloudflare come un errore di convalida DNSSEC farà sì che Firefox riprovi la query utilizzando il risolutore del sistema operativo invece di restituire un errore all'utente. =Le partnership DNS over HTTPS= ==Quale risolutore verrà utilizzato per Firefox?== Il lancio iniziale, previsto solo negli Stati Uniti, designa Cloudflare come risolutore predefinito. Mozilla sta discutendo attivamente con altri fornitori sull'adesione al suo programma Trusted Recursive Resolver, che richiede la conformità ai [https://wiki.mozilla.org/Security/DOH-resolver-policy requisiti] (informazioni in inglese) richiesti da Mozilla in materia di privacy e sicurezza degli utenti. Mozilla prevede e si augura di aggiungere ulteriori fornitori al suo programma Trusted Recursive Resolver. Inoltre, la visione di Mozilla è che DoH sia adottato e supportato universalmente da tutti i risolutori DNS. ==Perché Mozilla ha scelto Cloudflare come risolutore affidabile?== Cloudflare è stato in grado di soddisfare i [https://wiki.mozilla.org/Security/DOH-resolver-policy requisiti] rigorosi che Mozilla ha attualmente in vigore. Questi requisiti sono supportati nel contratto legalmente vincolante di Mozilla con Cloudflare e sono stati resi pubblici in un'[https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox/ informativa sulla privacy] "best in class" che documenta tali informative e fornisce trasparenza agli utenti. ==Mozilla viene pagata per indirizzare le richieste DNS a Cloudflare?== Assolutamente no. Mozilla non percepisce alcun pagamento per indirizzare le richieste DNS a Cloudflare. ==Mozilla o Cloudflare traggono profitti da questi dati?== No, la politica di Mozilla e di Cloudfire proibisce esplicitamente la monetizzazione di questi dati. L'obiettivo di Mozilla con questa funzione è quello di fornire una protezione significativa della privacy dei suoi utenti e di rendere più difficile per i risolutori DNS esistenti di trarre profitti dai dati DNS degli utenti. =Ulteriori informazioni sull'implementazione di DNS over HTTPS= ==Qual è il programma di lancio?== Mozilla inizierà un rilascio graduale a ottobre 2019 solo negli Stati Uniti, iniziando con un piccolo gruppo di utenti per poi estendere l'attivazione di DNS over HTTPS a tutti gli utenti e verificando costantemente la presenza di eventuali problemi. Per ulteriori dettagli sull'implementazione, è possibile consultare il [https://bugzilla.mozilla.org/show_bug.cgi?id=1573840 bug 1573840] (in inglese). ==Mozilla sta implementando questa funzione come predefinita anche in Europa?== Come parte della strategia continua per misurare attentamente i benefici e l'impatto del DoH, al momento Mozilla è focalizzata sul rilascio di questa funzione solo negli Stati Uniti. ==Perché per Firefox si sta implementando il protocollo DoH e non quello DoT?== L'[https://it.wikipedia.org/wiki/Internet_Engineering_Task_Force IETF] ha standardizzato due DNS su protocolli di trasmissione sicuri: [https://tools.ietf.org/rfcmarkup?doc=7858 DNS-over-TLS] (DoT) e [https://tools.ietf.org/rfcmarkup?doc=8484 DNS-over-HTTPS] (DoH). Questi due protocolli hanno proprietà di sicurezza e privacy sostanzialmente simili. Mozilla ha scelto il protocollo DoH perché ritene che si adatti meglio al suo attuale stack di rete per il browser esistente (che è focalizzato su HTTP) e fornisce un supporto migliore per le future funzionalità di protocollo come il multiplexing HTTP/DNS e QUIC. ==Il protocollo DoT è più facile da rilevare e bloccare da parte degli operatori di rete?== Sì, Mozilla crede comunques che questa non sia una scelta vantaggiosa. Tramite Firefox vengono forniti agli operatori di rete meccanismi per segnalare che hanno motivi legittimi per scegliere di disattivare DoH. Mozilla ritiene che bloccare la connessione al risolutore non sia una risposta appropriata. ==La "Server Name Indication" (SNI) non lascia comunque trapelare i nomi di dominio?== Sì, sebbene non tutti i nomi di dominio vengono diffusi tramite [https://en.wikipedia.org/wiki/Server_Name_Indication Server Name Indication](l'indicazione del nome del server), Mozilla è preoccupata per le perdite SNI e gli sviluppatori Mozilla hanno iniziato a lavorare su un [https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ Encrypted SNI] (SNI crittografato).

Questo articolo riporta un elenco di risposte alle domande più frequenti sulla funzione DNS over HTTPS (DoH). Per ulteriori informazioni su questa funzione e sulla sua gestione, leggere l'articolo Informazioni sulla funzione DNS su HTTPS.

Come funziona DNS over HTTPS per gli utenti di Firefox negli Stati Uniti

Qual è l'informativa sulla privacy di DNS over HTTPS

L'implementazione di DoH fa parte del lavoro svolto da Mozilla per salvaguardare gli utenti dal pervasivo monitoraggio online dei dati personali. Per fare ciò, Mozilla richiede che tutti i provider DNS che possono essere selezionati in Firefox siano conformi alla sua Trusted Recursive Resolver (TRR) policy (informazioni in inglese) attraverso un contratto legalmente vincolante. Questi requisiti pongono limiti rigorosi al tipo di dati che possono essere conservati, a che cosa il provider può fare con tali dati e per quanto tempo possono essere conservati. Questa politica rigorosa ha lo scopo di proteggere gli utenti dai provider che sono in grado di raccogliere i loro dati personali e di trarne profitti economici.

Gli utenti verranno avvisati quando questa funzione è attiva e potranno scegliere di non utilizzarla?

Sì, verrà visualizzato un pop-up e non scomparirà fino a quando l'utente non deciderà decisione se attivare o disattivare le protezioni per la privacy DNS.

Gli utenti saranno in grado di disattivare DoH?

Sì, potranno disattivare la funzione DoH dalle Opzioni/Preferenze > pannello Generale > Impostazioni di rete. È possibile disattivare DoH e/o selezionare il proprio provider DoH come spiegato in queste procedure.

Gli utenti possono scegliere in anticipo di non utilizzare la funzione?

Sì, dalla pagina about:config è possibile impostare manualmente la preferenza network.trr.mode sul valore 5. Ulteriori informazioni (in inglese) sui "mode" sono disponibili in questa pagina del Wiki di Mozilla.

Quale sarà l'impatto di DoH sulle aziende con soluzioni DNS personalizzate?

Mozilla ha fatto in modo che sia facile per le aziende disattivare questa funzione. Tramite Firefox verrà rilevato se sul dispositivo sono stati impostati i criteri aziendali e in tali circostanze disattiverà il protocollo DoH. Gli amministratori di sistema interessati a imparare come configurare i criteri aziendali per Firefox, possono consultare la documentazione disponibile in questa pagina del sito di supporto di Mozilla.

Quale sarà l'impatto di DoH sul controllo parentale?

Mozilla è a conoscenza che alcuni ISP utilizzano il protocollo DNS per offrire un servizio di controllo parentale che blocca i contenuti per adulti. L'opinione di Mozilla è che il DNS non sia l'approccio migliore ai controlli parentali, ma allo steso tempo non desidera interferire con i servizi esistenti, quindi, prima di attivare il protocollo DoH, viene effettuato il controllo di una serie di domini "canary". Se questi domini indicano che il controllo parentale è attivo, il protocollo DoH viene disattivato automaticamente. Per ulteriori informazioni, consultare questa pagina (in inglese) del blog di Mozilla.

Le reti non possono semplicemente attivare sempre il controllo del dominio canary e disattivare DoH?

Sì, i domini canary sono una soluzione che offre la migliore sicurezza per combattere gli attaccanti di rete e per prevenire il malfunzionamento delle implementazioni esistenti. Mozilla monitorerà il loro utilizzo, indagando su qualsiasi caso di abuso ed esaminando le misure per contenere tali incidenti.

Il protocollo DoH comporterà problemi per i sistemi di distribuzione Content Delivery Network (CDN)?

Mozilla è consapevole che alcune CDN utilizzano il controllo del traffico basato su DNS che potrebbe essere interessato da DoH. Tuttavia, i test effettuati da Mozilla mostrano che i tempi di caricamento di una pagina tramite DoH sono competitivi rispetto ai normali tempi di caricamento della stessa pagina tramite DNS. Durante e dopo il periodo di lancio, Mozilla monitorerà le prestazioni di Firefox per verificare se vengono riscontrati malfunzionamenti del browser.

In che modo Firefox gestisce il DNS split-horizon?

Se Firefox non riesce a risolvere un dominio tramite DoH, tornerà al DNS. Ciò significa che tutti i domini disponibili solo sul normale DNS (perché non sono pubblici) verranno risolti in questo modo. Se si dispone di un dominio che è pubblicamente risolvibile ma si risolve internamente in modo diverso, è necessario utilizzare le impostazioni aziendali per disattivare la funzione DoH.

Mozilla convalida le specifiche DNSSEC?

Le DNSSEC (Domain Name System Security Extensions) garantiscono che le risposte DNS non siano state manomesse durante il transito, ma non crittografano le richieste e le risposte DNS. Mozilla, per proteggere la privacy degli utenti, ha dato la priorità alla crittografia del DNS utilizzando DoH e sta valutando una futura implementazione delle DNSSEC.

Cloudflare esegue la convalida DNSSEC sulle query che Firefox invia al risolutore DoH. Tuttavia, ciò non garantisce l'integrità end-to-end dei dati DNS. Attualmente Mozilla sta implementando DoH in "modalità fallback", il che significa che qualsiasi errore restituito dal risolutore Cloudflare come un errore di convalida DNSSEC farà sì che Firefox riprovi la query utilizzando il risolutore del sistema operativo invece di restituire un errore all'utente.

Le partnership DNS over HTTPS

Quale risolutore verrà utilizzato per Firefox?

Il lancio iniziale, previsto solo negli Stati Uniti, designa Cloudflare come risolutore predefinito. Mozilla sta discutendo attivamente con altri fornitori sull'adesione al suo programma Trusted Recursive Resolver, che richiede la conformità ai requisiti (informazioni in inglese) richiesti da Mozilla in materia di privacy e sicurezza degli utenti. Mozilla prevede e si augura di aggiungere ulteriori fornitori al suo programma Trusted Recursive Resolver. Inoltre, la visione di Mozilla è che DoH sia adottato e supportato universalmente da tutti i risolutori DNS.

Perché Mozilla ha scelto Cloudflare come risolutore affidabile?

Cloudflare è stato in grado di soddisfare i requisiti rigorosi che Mozilla ha attualmente in vigore. Questi requisiti sono supportati nel contratto legalmente vincolante di Mozilla con Cloudflare e sono stati resi pubblici in un'informativa sulla privacy "best in class" che documenta tali informative e fornisce trasparenza agli utenti.

Mozilla viene pagata per indirizzare le richieste DNS a Cloudflare?

Assolutamente no. Mozilla non percepisce alcun pagamento per indirizzare le richieste DNS a Cloudflare.

Mozilla o Cloudflare traggono profitti da questi dati?

No, la politica di Mozilla e di Cloudfire proibisce esplicitamente la monetizzazione di questi dati. L'obiettivo di Mozilla con questa funzione è quello di fornire una protezione significativa della privacy dei suoi utenti e di rendere più difficile per i risolutori DNS esistenti di trarre profitti dai dati DNS degli utenti.

Ulteriori informazioni sull'implementazione di DNS over HTTPS

Qual è il programma di lancio?

Mozilla inizierà un rilascio graduale a ottobre 2019 solo negli Stati Uniti, iniziando con un piccolo gruppo di utenti per poi estendere l'attivazione di DNS over HTTPS a tutti gli utenti e verificando costantemente la presenza di eventuali problemi. Per ulteriori dettagli sull'implementazione, è possibile consultare il bug 1573840 (in inglese).

Mozilla sta implementando questa funzione come predefinita anche in Europa?

Come parte della strategia continua per misurare attentamente i benefici e l'impatto del DoH, al momento Mozilla è focalizzata sul rilascio di questa funzione solo negli Stati Uniti.

Perché per Firefox si sta implementando il protocollo DoH e non quello DoT?

L'IETF ha standardizzato due DNS su protocolli di trasmissione sicuri: DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Questi due protocolli hanno proprietà di sicurezza e privacy sostanzialmente simili. Mozilla ha scelto il protocollo DoH perché ritene che si adatti meglio al suo attuale stack di rete per il browser esistente (che è focalizzato su HTTP) e fornisce un supporto migliore per le future funzionalità di protocollo come il multiplexing HTTP/DNS e QUIC.

Il protocollo DoT è più facile da rilevare e bloccare da parte degli operatori di rete?

Sì, Mozilla crede comunques che questa non sia una scelta vantaggiosa. Tramite Firefox vengono forniti agli operatori di rete meccanismi per segnalare che hanno motivi legittimi per scegliere di disattivare DoH. Mozilla ritiene che bloccare la connessione al risolutore non sia una risposta appropriata.

La "Server Name Indication" (SNI) non lascia comunque trapelare i nomi di dominio?

Sì, sebbene non tutti i nomi di dominio vengono diffusi tramite Server Name Indication(l'indicazione del nome del server), Mozilla è preoccupata per le perdite SNI e gli sviluppatori Mozilla hanno iniziato a lavorare su un Encrypted SNI (SNI crittografato).