Questo articolo riporta un elenco di risposte alle domande più frequenti sulla funzione DNS over HTTPS (DoH). Per ulteriori informazioni su questa funzione e sulla sua gestione, leggere l'articolo Informazioni sulla funzione DNS su HTTPS.
Indice dei contenuti
- 1 Come funziona DNS over HTTPS per gli utenti di Firefox in base ai Paesi in cui Mozilla ha implementato DoH per impostazione predefinita
- 1.1 Qual è l'informativa sulla privacy di DNS over HTTPS
- 1.2 Gli utenti verranno avvisati quando questa funzione è attiva e potranno scegliere di non utilizzarla?
- 1.3 Gli utenti saranno in grado di disattivare DoH?
- 1.4 Gli utenti possono scegliere in anticipo di non utilizzare la funzione?
- 1.5 Quale sarà l'impatto di DoH sulle aziende con DNS personalizzati?
- 1.6 Quale sarà l'impatto di DoH sul controllo genitori?
- 1.7 Le reti non possono semplicemente attivare sempre il controllo del dominio canary e disattivare DoH?
- 1.8 Il protocollo DoH comporterà problemi per i sistemi di distribuzione Content Delivery Network (CDN)?
- 1.9 In che modo Firefox gestisce il DNS split-horizon?
- 1.10 Mozilla convalida le specifiche DNSSEC?
- 2 Le partnership DNS over HTTPS
- 3 Ulteriori informazioni sull'implementazione di DNS over HTTPS
- 3.1 Qual è il programma di lancio?
- 3.2 Mozilla sta rilasciando questa funzione come predefinita anche in Europa?
- 3.3 Perché per Firefox si sta implementando il protocollo DoH e non quello DoT?
- 3.4 Il protocollo DoT è più facile da rilevare e bloccare da parte degli operatori di rete?
- 3.5 La "Server Name Indication" (SNI) non lascia comunque trapelare i nomi di dominio?
- 3.6 Che cosa sono i "DoH heuristics"?
Come funziona DNS over HTTPS per gli utenti di Firefox in base ai Paesi in cui Mozilla ha implementato DoH per impostazione predefinita
Qual è l'informativa sulla privacy di DNS over HTTPS
L'implementazione di DoH fa parte del lavoro svolto da Mozilla per salvaguardare gli utenti dal pervasivo monitoraggio online dei dati personali. Per fare ciò, Mozilla richiede che tutti i provider DNS che possono essere selezionati in Firefox rispettino la sua Trusted Recursive Resolver (TRR) policy (informazioni in inglese) attraverso un contratto legalmente vincolante. Questi requisiti pongono limiti rigorosi al tipo di dati che possono essere conservati, a che cosa il provider può fare con tali dati e per quanto tempo possono essere conservati. Questa politica rigorosa ha lo scopo di proteggere gli utenti dai provider che sono in grado di raccogliere i loro dati personali e di trarne profitti economici.
Gli utenti verranno avvisati quando questa funzione è attiva e potranno scegliere di non utilizzarla?
Sì, in Firefox verrà visualizzata una notifica e non scomparirà fino a quando l'utente non avrà deciso se attivare o disattivare le protezioni per la privacy DNS.
Gli utenti saranno in grado di disattivare DoH?
Sì, potranno disattivare la funzione DoH, selezionare il proprio provider (fornitore) DoH e apportare altre modifiche alla configurazione dal pannello Privacy e sicurezza nelle impostazioni di Firefox, come spiegato nell'articolo Configurare i livelli di protezione DNS su HTTPS in Firefox. Sì, potranno disattivare la funzione DoH dalle impostazioni di rete di Firefox. È possibile disattivare DoH e/o selezionare il proprio provider DoH come spiegato in queste procedure.
Gli utenti possono scegliere in anticipo di non utilizzare la funzione?
Sì, dalla pagina about:config è possibile impostare manualmente la preferenza network.trr.mode sul valore 5. Ulteriori informazioni (in inglese) sui "mode" sono disponibili in questa pagina del Wiki di Mozilla.
Quale sarà l'impatto di DoH sulle aziende con DNS personalizzati?
Mozilla ha fatto in modo che sia facile per le aziende disattivare questa funzione. Tramite Firefox verrà rilevato se sul dispositivo sono stati impostati i criteri aziendali e in tali circostanze disattiverà il protocollo DoH. Gli amministratori di sistema interessati a imparare come configurare i criteri aziendali per Firefox, possono consultare la documentazione disponibile in questa pagina del sito di supporto di Mozilla.
Quale sarà l'impatto di DoH sul controllo genitori?
Mozilla è a conoscenza che alcuni ISP ("Internet Service Provider" ovvero i fornitori di servizi Internet) utilizzano il protocollo DNS per offrire un servizio di controllo genitori che blocca i contenuti per adulti. L'opinione di Mozilla è che il protocollo DNS non sia l'approccio migliore ai controlli parentali, ma allo stesso tempo non desidera interferire con i servizi esistenti, quindi, prima di attivare il protocollo DoH, viene effettuato il controllo di una serie di domini "canary". Se questi domini indicano che il controllo parentale è attivo, il protocollo DoH viene disattivato automaticamente. Per ulteriori informazioni, consultare questa pagina (in inglese) del blog di Mozilla.
Le reti non possono semplicemente attivare sempre il controllo del dominio canary e disattivare DoH?
Sì, i domini canary sono una soluzione che offre la migliore sicurezza per combattere gli attacchi alla rete e per prevenire problemi in sistemi esistenti. Mozilla monitorerà il loro utilizzo, indagando su qualsiasi caso di abuso ed esaminando le misure per contenere tali incidenti.
Il protocollo DoH comporterà problemi per i sistemi di distribuzione Content Delivery Network (CDN)?
Mozilla è consapevole che alcune CDN utilizzano una gestione del traffico basata su DNS che potrebbe essere influenzata da DoH. Tuttavia, i test effettuati da Mozilla mostrano che i tempi di caricamento di una pagina tramite DoH sono competitivi rispetto ai normali tempi di caricamento della stessa pagina tramite DNS. Durante e dopo il periodo di lancio, Mozilla monitorerà le prestazioni di Firefox per verificare se vengono riscontrati rallentamenti del browser.
In che modo Firefox gestisce il DNS split-horizon?
Se Firefox non riesce a risolvere un dominio tramite DoH, utilizzerà il DNS come soluzione di backup. Ciò significa che tutti i domini disponibili solo sul normale DNS (perché non sono pubblici) verranno risolti in questo modo. Se si dispone di un dominio che è pubblicamente risolvibile ma si risolve internamente in modo diverso, è necessario utilizzare le impostazioni aziendali per disattivare la funzione DoH.
Mozilla convalida le specifiche DNSSEC?
Le DNSSEC (Domain Name System Security Extensions) garantiscono che le risposte DNS non siano state manomesse durante il transito, ma non crittografano le richieste e le risposte DNS. Mozilla, per proteggere la privacy degli utenti, ha dato la priorità alla crittografia del DNS utilizzando DoH e sta valutando una futura implementazione delle DNSSEC.
Le partnership DNS over HTTPS
Quale risolutore verrà utilizzato per Firefox?
In ogni Paese in cui viene lanciamo DoH, Mozilla avrà un risolutore predefinito (ad esempio, negli Stati Uniti è stato designato Cloudflare come risolutore predefinito). Gli utenti possono effettuare in alternativa una selezione da un elenco di fornitori aggiuntivi nel programma Trusted Recursive Resolver di Mozilla, che richiede la conformità ai requisiti richiesti da Mozilla in materia di privacy e sicurezza degli utenti. Mozilla si augura di aggiungere gradualmente ulteriori fornitori al suo programma Trusted Recursive Resolver. Inoltre, la visione di Mozilla è che DoH sia adottato e supportato universalmente da tutti i risolutori DNS.
In che modo Mozilla sceglie i suoi risolutori affidabili?
I risolutori predefiniti scelti da Mozilla sono in grado di soddisfare i requisiti rigorosi che Mozilla ha attualmente in vigore. Questi requisiti sono supportati da contratti legalmente vincolanti e sono resi pubblici in una delle migliori informative sulla privacy nella propria categoria che documenta tali informative e fornisce trasparenza agli utenti.
Mozilla viene pagata per indirizzare le richieste DNS ai suoi risolutori predefinti?
Mozilla non percepisce alcun pagamento per indirizzare le richieste DNS ai suoi risolutori predefinti.
Mozilla o i suoi risolutori predefinti traggono profitti da questi dati?
No, la politica di Mozilla proibisce esplicitamente la monetizzazione di questi dati. L'obiettivo di Mozilla con questa funzione è quello di fornire una protezione significativa della privacy dei suoi utenti e di rendere più difficile per i risolutori DNS esistenti di trarre profitto dai dati DNS degli utenti.
Ulteriori informazioni sull'implementazione di DNS over HTTPS
Qual è il programma di lancio?
Mozilla ha implementato DoH come funzione predefinita per gli utenti di Firefox negli Stati Uniti nel 2019, in Canada nel 2021 e in Russia e Ucraina nel mese di marzo 2022 e attualmente sta pianificando di implementare DoH come funzione predefinita in altri Paesi.
Mozilla sta rilasciando questa funzione come predefinita anche in Europa?
Come parte della strategia continua per misurare attentamente i benefici e l'impatto del protocollo DoH, al momento Mozilla ha rilascio questa funzione come predefinita solo in Russia, Ucraina, così come a suo tempo negli Stati Uniti e in Canada.
Perché per Firefox si sta implementando il protocollo DoH e non quello DoT?
L'IETF ha standardizzato due DNS su protocolli di trasmissione sicuri: DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Questi due protocolli hanno proprietà di sicurezza e privacy sostanzialmente simili. Mozilla ha scelto il protocollo DoH perché ritiene che si adatti meglio al suo attuale stack di rete per il browser esistente (che è focalizzato su HTTP) e fornisce un supporto migliore per le future funzionalità di protocollo come il multiplexing HTTP/DNS e QUIC.
Il protocollo DoT è più facile da rilevare e bloccare da parte degli operatori di rete?
Sì, Mozilla crede comunque che questa non sia una scelta vantaggiosa. Tramite Firefox vengono forniti agli operatori di rete dei meccanismi per segnalare che hanno motivi legittimi per scegliere di disattivare il protocollo DoH. Mozilla ritiene che bloccare la connessione al risolutore non sia una risposta appropriata.
La "Server Name Indication" (SNI) non lascia comunque trapelare i nomi di dominio?
Sì, sebbene non tutti i nomi di dominio vengano rivelati tramite Server Name Indication (l'indicazione del nome del server), Mozilla si preoccupa per i dati rivelati tramite SNI e i suoi sviluppatori hanno iniziato a lavorare su un Encrypted SNI (SNI crittografato).
Che cosa sono i "DoH heuristics"?
Si tratta di una serie di controlli che Firefox esegue prima di attivare il protocollo DoH per impostazione predefinita per gli utenti nelle regioni in cui DOH è stato implementato, controlli che servono per verificare se l'attivazione di DoH avrà un impatto negativo. Questi controlli vengono ignorati se l'utente ha attivato esplicitamente DoH. Ad esempio, DoH rimarrà disattivato se i criteri aziendali o il controllo parentale sono attivati. Per ulteriori informazioni, consultare la pagina in inglese Security/DNS Over HTTPS/Heuristics del sito MozillaWiki e l'articolo Configurare una rete in modo da disattivare il protocollo DNS over HTTPS.