Informazioni su DNS over HTTPS

Informazioni su DNS-over-HTTPS

Quando si digita un indirizzo web o un nome di dominio nella barra degli indirizzi (ad esempio: www.mozilla.org), il browser invia una richiesta attraverso Internet per cercare l'indirizzo IP per quel sito web.

Tradizionalmente, questa richiesta viene inviata ai server tramite una connessione in testo normale (plaintext). Questa connessione non è crittografata, rendendo facile per le terze parti vedere a quale sito web l'utente sta per accedere.

Il protocollo DNS-over-HTTPS (DoH) funziona in modo diverso. Invia il nome di dominio digitato dall'utente a un server DNS compatibile con DoH utilizzando una connessione HTTPS crittografata anziché una in testo normale. Ciò impedisce alle terzi parti di vedere a quali siti web si sta tentando di accedere.

Vantaggi

Il protocollo DoH migliora la privacy nascondendo le ricerche dei nomi di dominio a chiunque sia in agguato sul WiFi pubblico, ad esempio il proprio ISP (Internet Service Provider ovvero fornitore di servizi Internet) o chiunque altro si trovi sulla rete locale dell'utente. Il protocollo DoH, quando è attivato, garantisce che l'ISP dell'utente non possa raccogliere e vendere informazioni personali relative al suo comportamento di navigazione.

Rischi

  • Alcune persone e organizzazioni fanno affidamento sul DNS per bloccare il malware, attivare il controllo parentale o filtrare l'accesso del browser ai siti web. Se attivato, il protocollo DoH ignora il risolutore DNS locale e rende inefficaci questi criteri speciali. Con Firefox viene consentito agli utenti (tramite le impostazioni) e alle organizzazioni (tramite i criteri aziendali e una ricerca nel dominio "canary") di disattivare il protocollo DoH quando interferisce con un criterio preferito.
  • Negli Stati Uniti, per impostazione predefinita, tramite Firefox le query DoH vengono indirizzate ai server DNS gestiti da CloudFlare, il che significa che CloudFlare è in grado di visualizzare le query degli utenti. Mozilla ha messo in atto una politica Trusted Recursive Resolver (TRR) policy (informazioni in inglese) che proibisce a CloudFlare o a qualsiasi altro partner DoH di raccogliere informazioni identificative personali. Per mitigare questo rischio, i partner di Mozilla sono contrattualmente tenuti ad aderire a questa politica.
  • DoH potrebbe essere più lento delle query DNS tradizionali ma, nei vari test, gli sviluppatori Mozilla hanno scoperto che l'impatto è minimo e in molti casi DoH è più veloce (informazioni in inglese).

Informazioni sul lancio di DNS over HTTPS negli Stati Uniti

Mozilla ha programmato piani per attivare negli Stati Uniti il protocollo DoH per tutti gli utenti di Firefox per desktop nel 2019. DoH sarà attivato per gli utenti in modalità "fallback". Ad esempio, se per qualche motivo le ricerche dei nomi di dominio che utilizzano DoH non vanno a buon fine, il browser Firefox ripiegherà sull'utilizzo del DNS predefinito configurato dal sistema operativo invece di visualizzare un errore.

Scegliere di non utilizzare il protocollo DoH

Per coloro che già utilizzano Firefox negli Stati Uniti, una notifica come quella nell'immagine sottostante mostrerà se e quando DoH viene attivato per la prima volta, consentendo all'utente di scegliere di non utilizzare DoH e continuare invece a utilizzare il risolutore DNS del sistema operativo predefinito.

DoH Opt Out

Inoltre, tramite Firefox verranno verificate alcune funzioni che potrebbero essere interessate dall'attivazione di DoH, tra cui:

  • Attivazione dei controlli parentali.
  • Presenza di filtri per il server DNS predefinito per bloccare contenuti potenzialmente pericolosi.
  • Configurazioni DNS speciali per i dispositivi gestiti da un'organizzazione.

Se il risultato di uno di questi test indica la possibile interferenza di DoH con la funzione, il protocollo DoH non verrà attivato. Questi test verranno eseguiti ogni volta che il dispositivo si connette a una rete diversa.

Durante la fase iniziale del lancio, DoH sarà attivato tramite uno studio di Firefox. Se un utente ha accettato la notifica, può successivamente rinunciare digitando about:studies nella barra degli indirizzi, premendo Invio e cercando uno studio attivo chiamato DNS over HTTPS US Rollout . Se esiste, è possibile rimuovere lo studio. Poiché lo studio potrebbe aver già attivato i controlli sopra descritti, si dovrebbe anche digitare about:config nella barra degli indirizzi, premere Invio, accettare l'avviso e cercare la preferenza network.trr.mode per verificare che il valore sia 0 (disattivata) o 5 (disattivata per scelta dell'utente). Per modificare il valore della preferenza, fare doppio clic su di essa. Impostando questo valore su 5 si garantisce che DoH non verrà automaticamente attivato in futuro.

Attivare e disattivare la funzione DNS-over-HTTPS manualmente

È possibile attivare e disattivare la funzione DNS-over-HTTPS nelle impostazioni di connessione di Firefox:

  1. Fare clic sul pulsante dei menu New Fx Menu Fx57Menu e selezionare OpzioniPreferenze.
  2. Nel pannello Generale, spostarsi fino a Impostazioni di rete e fare clic sul pulsante Impostazioni….
  3. Nella successiva finestra di dialogo, scorrere fino in fondo in modo da visualizzare l'opzione Attiva DNS over HTTPS.
    • Per attivare la funzione: contrassegnare la casella accanto a Attiva DNS over HTTPS e selezionare successivamente uno dei provider disponibili in elenco o inserirne uno personalizzato.
    • Per disattivare la funzione: togliere il contrassegno alla casella accanto a Attiva DNS over HTTPS.
  4. Fare clic su OK per salvare le modifiche e chiudere la finestra.

Cambiare provider

  1. Fare clic sul pulsante dei menu New Fx Menu Fx57Menu e selezionare OpzioniPreferenze.
  2. Nel pannello Generale, spostarsi fino a Impostazioni di rete fare clic sul pulsante Impostazioni….
  3. Fare clic sul menu a discesa accanto a Attiva DNS over HTTPS per selezionare un provider.
    Cambiare_provider_dns

Escludere domini specifici

È possibile configurare delle eccezioni in modo che in Firefox venga utilizzato il risolutore del proprio sistema operativo anziché DOH:

  1. Digitare about:config nella Barra degli indirizzi e premere Invio.
    Potrebbe comparire una pagina di avvertimento: fare clic sul pulsante Accetto i rischiAccetta il rischio e continua per proseguire alla pagina about:config.
  2. Cercare e fare doppio clic sulla preferenza network.trr.excluded-domains.
    Per trovarla velocemente, digitare excluded-domains nel campo Cerca sopra l'elenco delle preferenze.
  3. Aggiungere i domini (separati da virgole) all'elenco e fare clic su OK.
    Nota: non rimuovere alcun dominio dall'elenco.
Una nota sui sottodomini: tramite Firefox verranno verificati tutti i domini che l'utente ha elencato nella preferenza network.trr.excluded-domains e i loro sottodomini. Ad esempio, se digita l'indirizzo example.com, in Firefox verrà escluso anche l'indirizzo www.example.com.

Configurazione di reti per disattivare il protocollo DOH

Per informazioni su questo argomento, leggere gli articoli Configurare una rete in modo da disattivare il protocollo DNS over HTTPS e Risposte alle domande più frequenti su DNS-over-HTTPS.

// Hanno collaborato alla scrittura dell'articolo:Underpass, Michele Rodaro. Anche tu puoi collaborare: scopri come fare.

È stato utile questo articolo? Attendere…

Collabora al Supporto Mozilla