Questo articolo descrive la funzione DNS su HTTPS e come attivarla, modificarne le impostazioni o disattivarla.
Indice dei contenuti
- 1 Informazioni su DNS su HTTPS
- 2 Vantaggi
- 3 Rischi
- 4 Informazioni sul lancio di DNS su HTTPS da parte di Mozilla
- 5 Scegliere di non utilizzare il protocollo DoH
- 6 Attivare, disattivare e configurare la funzione DNS su HTTPS
- 7 Attivare e disattivare la funzione DNS su HTTPS manualmente
- 8 Cambiare provider
- 9 Escludere domini specifici
- 10 Configurazione di reti per disattivare il protocollo DoH
- 11 Il protocollo Encrypted Client Hello (ECH)
Informazioni su DNS su HTTPS
Quando si digita un indirizzo web o un nome di dominio nella barra degli indirizzi (ad esempio: www.mozilla.org), il browser invia una richiesta attraverso Internet per cercare l'indirizzo IP per quel sito web. Tradizionalmente, questa richiesta viene inviata ai server tramite una connessione in testo normale (plaintext). Questa connessione non è crittografata, rendendo facile per le terze parti vedere a quale sito web l'utente sta per accedere.
Il protocollo DNS-over-HTTPS (DoH) funziona in modo diverso. Invia il nome di dominio digitato dall'utente a un server DNS compatibile con DoH utilizzando una connessione HTTPS crittografata anziché una in testo normale. Ciò impedisce alle terzi parti di vedere a quali siti web si sta tentando di accedere.
Vantaggi
Il protocollo DoH migliora la privacy nascondendo le ricerche dei nomi di dominio a chiunque sia in agguato sul Wi-Fi pubblico, ad esempio il proprio ISP (Internet Service Provider ovvero fornitore di servizi Internet) o chiunque altro si trovi sulla rete locale dell'utente. Il protocollo DoH, quando è attivato, garantisce che l'ISP dell'utente non possa raccogliere e vendere informazioni personali relative al suo comportamento di navigazione.
Rischi
- Alcune persone e organizzazioni fanno affidamento sul DNS per bloccare il malware, attivare il controllo parentale o filtrare l'accesso del browser ai siti web. Se attivato, il protocollo DoH ignora il risolutore DNS locale e rende inefficaci questi criteri speciali. Nei casi in cui il protocollo DoH è stato attivato per impostazione predefinita per gli utenti, in Firefox viene consentito agli utenti (tramite le impostazioni) e alle organizzazioni (tramite i criteri aziendali e una ricerca nel dominio "canary") di disattivarlo quando interferisce con un criterio preferito.
- Quando il protocollo DoH è attivato, per impostazione predefinita, tramite Firefox le query DoH vengono indirizzate ai server DNS gestiti da un partner affidabile di Mozilla che è in grado di visualizzare le query degli utenti. Mozilla ha messo in atto una politica Trusted Recursive Resolver (TRR) policy (informazioni in inglese) che proibisce ai suoi partner DoH di raccogliere informazioni identificative personali. Per mitigare questo rischio, i partner di Mozilla sono contrattualmente tenuti ad aderire a questa politica.
- DoH potrebbe essere più lento delle query DNS tradizionali ma, nei vari test, gli sviluppatori Mozilla hanno scoperto che l'impatto è minimo e in molti casi DoH è più veloce (informazioni in inglese).
Informazioni sul lancio di DNS su HTTPS da parte di Mozilla
Mozilla ha completato il lancio del protocollo DoH per tutti gli utenti di Firefox per desktop negli Stati Uniti nel 2019 e per tutti gli utenti di Firefox per desktop in Canada nel 2021 e a marzo 2022 ha iniziato l'implementazione del protocollo DoH per impostazione predefinita per gli utenti di Firefox per desktop in Russia e Ucraina. Mozilla sta attualmente lavorando per attivare DoH in altri Paesi. Durante questa fase di implementazione graduale, DoH sarà attivato per gli utenti in modalità "fallback". Ad esempio, se per qualche motivo le ricerche dei nomi di dominio che utilizzano DoH non vanno a buon fine, il browser Firefox ripiegherà sull'utilizzo del DNS predefinito configurato dal sistema operativo invece di visualizzare un errore.
Scegliere di non utilizzare il protocollo DoH
Coloro che già utilizzano Firefox nei Paesi in cui Mozilla ha lanciato il protocollo DoH per impostazione predefinita, riceveranno una notifica in Firefox come quella nell'immagine sottostante che mostrerà se e quando DoH viene attivato per la prima volta, consentendo all'utente di scegliere di non utilizzare DoH e continuare invece a utilizzare il risolutore DNS del sistema operativo predefinito.
Inoltre, tramite Firefox verranno verificate alcune funzioni che potrebbero essere interessate dall'attivazione di DoH, tra cui:
- Attivazione dei controlli parentali.
- Presenza di filtri per il server DNS predefinito per bloccare contenuti potenzialmente pericolosi.
- Configurazioni DNS speciali per i dispositivi gestiti da un'organizzazione.
Se il risultato di uno di questi test indica la possibile interferenza di DoH con la funzione, il protocollo DoH non verrà attivato. Questi test verranno eseguiti ogni volta che il dispositivo si connette a una rete diversa.
Attivare, disattivare e configurare la funzione DNS su HTTPS
Per informazioni dettagliate, leggere l'articolo Configurare i livelli di protezione DNS su HTTPS in Firefox.
Attivare e disattivare la funzione DNS su HTTPS manualmente
È possibile attivare e disattivare la funzione DNS-over-HTTPS nelle impostazioni di connessione di Firefox:
- Sulla barra dei menu nella parte superiore dello schermo, fare clic su e quindi selezionare o , a seconda della versione di macOS utilizzata.Fare clic sul pulsante dei menu e selezionare .
- Nel pannello , scorrere verso il basso fino a Impostazioni di rete e fare clic sul pulsante .
- Nella successiva finestra di dialogo, scorrere fino in fondo in modo da visualizzare l'opzione Attiva DNS su HTTPS.
- Per attivare la funzione: contrassegnare la casella accanto a Attiva DNS su HTTPS.
- Selezionare successivamente uno dei provider disponibili in elenco o inserirne uno personalizzato (vedi paragrafo successivo).
- Per disattivare la funzione: togliere il contrassegno alla casella accanto a Attiva DNS su HTTPS.
- Per attivare la funzione: contrassegnare la casella accanto a Attiva DNS su HTTPS.
- Fare clic su per salvare le modifiche e chiudere la finestra di dialogo.
Cambiare provider
- Sulla barra dei menu nella parte superiore dello schermo, fare clic su e quindi selezionare o , a seconda della versione di macOS utilizzata.Fare clic sul pulsante dei menu e selezionare .
- Nel pannello , scorrere verso il basso fino a Impostazioni di rete e fare clic sul pulsante .
- Fare clic sul menu a discesa Utilizza provider accanto a Attiva DNS su HTTPS per selezionare un provider dall'elenco.
- È anche possibile selezionare l'opzione Personalizzato per impostare un provider personalizzato.
- Fare clic su per salvare le modifiche e chiudere la finestra di dialogo.
Escludere domini specifici
È possibile configurare delle eccezioni in modo che in Firefox venga utilizzato il risolutore del proprio sistema operativo anziché DoH:
Procedere solo se si ha dimestichezza con le impostazioni avanzate e se ne comprende il potenziale impatto.
- Digitare about:config nella barra degli indirizzi e premere Invio.
Potrebbe comparire una pagina di avvertimento: fare clic sul pulsante per proseguire alla pagina about:config. - Cercare la preferenza network.trr.excluded-domains.
- Fare clic sul pulsante Modifica accanto alla preferenza.
- Aggiungere i domini (separati da virgole) all'elenco e fare sul segno di spunta per salvare la modifica.
Informazioni sui sottodomini: tramite Firefox verranno verificati tutti i domini che l'utente ha elencato nella preferenza network.trr.excluded-domains e i loro sottodomini. Ad esempio, se digita l'indirizzo example.com, in Firefox verrà escluso anche l'indirizzo www.example.com.
Configurazione di reti per disattivare il protocollo DoH
Per informazioni su questo argomento, leggere gli articoli:
- Configurare una rete in modo da disattivare il protocollo DNS over HTTPS
- Risposte alle domande più frequenti su DNS-over-HTTPS
Il protocollo Encrypted Client Hello (ECH)
Con la Firefox versione di Firefox 118 gli sviluppatori Mozilla stanno implementando un'importante funzionalità di sicurezza: Encrypted Client Hello (ECH). Il suo ruolo principale è rafforzare la sicurezza della connessione iniziale "handshake" effettuata durante le interazioni online. ECH, insieme alla funzione DNS su HTTPS (DoH), porta la sicurezza della navigazione a un livello superiore:
- DoH come prerequisito: nell'implementazione di Firefox, ECH si affida a DoH per recuperare le chiavi di crittografia necessarie per l'handshake. Senza DoH attivato, ECH non può funzionare.
- Protezione sinergica: DoH funziona crittando le query DNS, salvaguardando efficacemente la conversione dei nomi dei siti web in indirizzi IP. D'altro canto, ECH si concentra sulla crittografia degli scambi iniziali tra l'utente e il sito web. Insieme, rappresentano una difesa completa contro molte minacce online.
- Protezione migliorata: attivando sia ECH che DoH, gli utenti beneficiano di un doppio livello di protezione della privacy, riducendo potenziali vulnerabilità e aumentando la privacy su Internet.
Per beneficiare appieno dei miglioramenti della sicurezza forniti da ECH, assicurarsi che DoH sia attivato in Firefox. Per informazioni più complete e dettagliate, consultare gli articoli Informazioni sul protocollo Encrypted Client Hello (ECH) e Encrypted Client Hello (ECH) - risposte alle domande più frequenti.