Questo articolo descrive la funzione DNS su HTTPS e come attivarla, modificarne le impostazioni o disattivarla.

Informazioni su DNS su HTTPS

Quando si digita un indirizzo web o un nome di dominio nella barra degli indirizzi (ad esempio: www.mozilla.org), il browser invia una richiesta attraverso Internet per cercare l'indirizzo IP per quel sito web. Tradizionalmente, questa richiesta viene inviata ai server tramite una connessione in testo normale (plaintext). Questa connessione non è crittografata, rendendo facile per le terze parti vedere a quale sito web l'utente sta per accedere.

Il protocollo DNS over HTTPS (DoH) funziona in modo diverso. Invia il nome di dominio digitato dall'utente a un server DNS compatibile con DoH utilizzando una connessione HTTPS crittografata anziché una in testo normale. Ciò impedisce alle terzi parti di vedere a quali siti web si sta tentando di accedere.

Vantaggi

Il protocollo DoH migliora la privacy nascondendo le ricerche dei nomi di dominio a chiunque sia in agguato sul Wi-Fi pubblico, ad esempio il proprio ISP (Internet Service Provider ovvero fornitore di servizi Internet) o chiunque altro si trovi sulla rete locale dell'utente. Il protocollo DoH, quando è attivato, garantisce che l'ISP dell'utente non possa raccogliere e vendere informazioni personali relative al suo comportamento di navigazione.

Rischi

• Alcune persone e organizzazioni fanno affidamento sul DNS per bloccare il malware, attivare il controllo parentale o filtrare l'accesso del browser ai siti web. Se attivato, il protocollo DoH ignora il risolutore DNS locale e rende inefficaci questi criteri speciali. Nei casi in cui il protocollo DoH è stato attivato per impostazione predefinita per gli utenti, in Firefox viene consentito agli utenti (tramite le impostazioni) e alle organizzazioni (tramite i criteri aziendali e una ricerca nel dominio "canary") di disattivarlo quando interferisce con un criterio preferito.
• Quando il protocollo DoH è attivato, per impostazione predefinita, tramite Firefox le query DoH vengono indirizzate ai server DNS gestiti da un partner affidabile di Mozilla che è in grado di visualizzare le query degli utenti. Mozilla ha messo in atto una politica Trusted Recursive Resolver (TRR) policy (informazioni in inglese) che proibisce ai suoi partner DoH di raccogliere informazioni identificative personali. Per mitigare questo rischio, i partner di Mozilla sono contrattualmente tenuti ad aderire a questa politica.
• DoH potrebbe essere più lento delle query DNS tradizionali ma, nei vari test, gli sviluppatori Mozilla hanno scoperto che l'impatto è minimo e in molti casi DoH è più veloce (informazioni in inglese).

Informazioni sul lancio di DNS su HTTPS da parte di Mozilla

Mozilla ha completato il lancio del protocollo DoH per tutti gli utenti di Firefox per desktop negli Stati Uniti nel 2019 e per tutti gli utenti di Firefox per desktop in Canada nel 2021 e a marzo 2022 ha iniziato l'implementazione del protocollo DoH per impostazione predefinita per gli utenti di Firefox per desktop in Russia e Ucraina. Mozilla sta attualmente lavorando per attivare DoH in altri Paesi. Durante questa fase di implementazione graduale, DoH sarà attivato per gli utenti in modalità "fallback". Ad esempio, se per qualche motivo le ricerche dei nomi di dominio che utilizzano DoH non vanno a buon fine, il browser Firefox ripiegherà sull'utilizzo del DNS predefinito configurato dal sistema operativo invece di visualizzare un errore.

Scegliere di non utilizzare il protocollo DoH

L'utente può scegliere di non utilizzare DoH oppure scegliere un provider DoH personalizzato nelle impostazioni DNS su HTTPS di Firefox.

Inoltre, tramite Firefox verranno verificate alcune funzioni che potrebbero essere interessate dall'attivazione di DoH, tra cui:

• Attivazione dei controlli parentali.
• Presenza di filtri per il server DNS predefinito per bloccare contenuti potenzialmente pericolosi.
• Configurazioni DNS speciali per i dispositivi gestiti da un'organizzazione.

Se il risultato di uno di questi test indica la possibile interferenza di DoH con la funzione, il protocollo DoH non verrà attivato. Questi test verranno eseguiti ogni volta che il dispositivo si connette a una rete diversa.

Attivare, disattivare e configurare la funzione DNS su HTTPS

Per informazioni dettagliate, leggere l'articolo Configurare i livelli di protezione DNS su HTTPS in Firefox.

Configurare le reti per disattivare il protocollo DoH

Per informazioni su questo argomento, leggere gli articoli:

• Configurare una rete in modo da disattivare il protocollo DNS over HTTPS
• Risposte alle domande più frequenti su DNS-over-HTTPS

Il protocollo Encrypted Client Hello (ECH)

Con la versione di Firefox 118 gli sviluppatori Mozilla hanno implementato un'importante funzionalità di sicurezza: Encrypted Client Hello (ECH). Il suo ruolo principale è rafforzare la sicurezza della connessione iniziale "handshake" effettuata durante le interazioni online. ECH, insieme alla funzione DNS su HTTPS (DoH), porta la sicurezza della navigazione a un livello superiore:

• DoH come prerequisito: nell'implementazione di Firefox, ECH si affida a DoH per recuperare le chiavi di crittografia necessarie per l'handshake. Senza DoH attivato, ECH non può funzionare.
• Protezione sinergica: DoH funziona crittando le query DNS, salvaguardando efficacemente la conversione dei nomi dei siti web in indirizzi IP. D'altro canto, ECH si concentra sulla crittografia degli scambi iniziali tra l'utente e il sito web. Insieme, rappresentano una difesa completa contro molte minacce online.
• Protezione migliorata: attivando sia ECH che DoH, gli utenti beneficiano di un doppio livello di protezione della privacy, riducendo potenziali vulnerabilità e aumentando la privacy su Internet.

Per beneficiare appieno dei miglioramenti della sicurezza forniti da ECH, assicurarsi che DoH sia attivato in Firefox. Per informazioni più complete e dettagliate, consultare gli articoli Informazioni sul protocollo Encrypted Client Hello (ECH) e Encrypted Client Hello (ECH) - risposte alle domande più frequenti.