Che cos'è Encrypted Client Hello (ECH) e perché è importante?

ECH è una funzionalità di sicurezza disponibile in Firefox e negli altri principali browser web che colma una lacuna nella privacy online esistente e nell'infrastruttura di sicurezza che consente ai siti web visitati da un utente di essere accessibili agli intermediari su una rete, come gli ISP o altre parti non autorizzate.

Come attivare ECH in Firefox?

Per utilizzare ECH in Firefox, aggiornare Firefox se non si sta utilizzando la versione 118 o successiva e attivare DNS su HTTPS.

Come fa un utente a sapere che ECH è disponibile per lui?

ECH in Firefox è stato reso disponibile per la prima volta nella versione 118 di Firefox ed è attivato per impostazione predefinita in Firefox 119 e versioni successive. Tuttavia, ECH è attivo solo quando DoH è attivato. Ulteriori informazioni sul programma di implementazione del DoH.

ECH influisce sulla velocità della connessione a Internet?

No. ECH richiede il recupero di una quantità aggiuntiva molto ridotta di dati durante la connessione a un sito web. Questi dati hanno una dimensione di poche centinaia di byte e sono troppo piccoli per avere alcun effetto sulla velocità di connessione a Internet. Firefox recupera questi dati contemporaneamente all'esecuzione di una ricerca DNS durante la connessione a un sito web, garantendo che non vi siano ulteriori ritardi durante la connessione.

ECH influisce sulla compatibilità del sito web?

ECH è stato progettato attentamente per interagire con siti web e server esistenti. Gli standard esistenti richiedono che i server ignorino il protocollo ECH se non riescono a interpretarlo e Firefox capisce come continuare la connessione senza alcuna interruzione della navigazione. Gli sviluppatori di Firefox hanno effettuato una serie di studi e test per garantire che i siti web continuino a funzionare correttamente.

Si può utilizzare ECH insieme ad altri strumenti di sicurezza come le estensioni per il blocco degli annunci pubblicitari?

Sì, ECH può essere utilizzato insieme agli ad blocker. Gli ad blocker integrati con Firefox come estensioni funzioneranno automaticamente con ECH e non richiedono alcuna modifica. Tuttavia, gli utenti che utilizzano il filtraggio basato su DNS potrebbero dover modificare la propria configurazione per utilizzare ECH. Firefox deve essere configurato con un server DNS-over-HTTPS per poter utilizzare ECH. A seconda che il filtro DNS sia ospitato localmente o ospitato da un provider online, le istruzioni per connettersi ad esso tramite DoH saranno diverse e gli utenti di questi servizi dovranno controllare la relativa documentazione.

Si può utilizzare ECH insieme ad altri strumenti di sicurezza come le VPN?

Sì, infatti, combinare ECH con una VPN può fornire un ulteriore livello di privacy e sicurezza. Per utilizzare ECH con una VPN, il livello di protezione DNS su HTTPS deve essere configurato per utilizzare la modalità Protezione maggiore o Protezione massima. Questo perché la modalità di protezione "predefinita" utilizza il DNS del provider VPN anziché DoH per garantire che il traffico venga instradato correttamente. Tenere presente che laddove le VPN vengono utilizzate in un ambiente aziendale o server locali per connettersi a risorse non disponibili sulla rete Internet pubblica, la modifica del livello di protezione DNS potrebbe rendere tali risorse private non disponibili in Firefox.

Ci sono problemi di privacy o inconvenienti associati all'utilizzo di ECH?

ECH è uno strumento prezioso per rafforzare la privacy e la sicurezza online, poiché critta le connessioni iniziali al sito web. Tuttavia, è importante notare che molti siti web potrebbero non essere ancora pronti per supportare ECH, il che significa che le connessioni a tali siti non beneficeranno della privacy aggiuntiva offerta da ECH. Per rimanere protetti, assicurarsi che il proprio browser Firefox sia sempre aggiornato e riceva i più recenti miglioramenti di sicurezza, incluso ECH. A differenza delle tecnologie come le VPN, ECH non reindirizza il traffico del browser né coinvolge terze parti; aggiunge semplicemente un ulteriore livello di crittografia alle connessioni standard dell'utente.

Gli utenti noteranno cambiamenti nella loro esperienza di navigazione come risultato di questa crittografia?

Gli utenti di Firefox non dovrebbero notare alcuna differenza rispetto alla loro consueta esperienza di navigazione.

In che modo l'ECH influirà sul controllo parentale?

Se vengono applicati i controlli parentali, la crittografia ECH è disattivata per evitare di interferire con quel tipo di controlli.

Che impatto avrà l’ECH sulle aziende che utilizzano proxy trasparenti?

La crittografia ECH viene automaticamente disattivata quando vengono rilevati proxy o middlebox considerati attendibili dal browser, per cui la funzione non ha alcun effetto.

Come interagirà l’ECH con le opzioni di rinuncia del DoH?

La disattivazione del DoH disattiverà la crittografia ECH per impostazione predefinita in Firefox. La disattivazione può essere configurata dall'utente o da software installato sul proprio dispositivo, da segnali provenienti dalla rete o da un amministratore tramite criteri di gruppo. Se l'utente o l'amministratore optano esplicitamente per una protezione DoH maggiore o massima, la loro scelta prevale sui segnali provenienti dalla rete.

Quali siti web possono utilizzare ECH?

Qualsiasi sito web può utilizzare ECH, purché sia dotato del necessario supporto lato server. La sua privacy ottimale viene spesso raggiunta quando più siti web sono ospitati su un unico server web, una configurazione comune nell'ecosistema Internet di oggi.

Perché gli utenti non possono controllare direttamente ECH?

Mozilla, in linea con il suo impegno nei confronti della privacy e della sicurezza, mira a fornire Firefox con un set completo di protezioni attivate automaticamente. Di conseguenza, ECH è attivato per impostazione predefinita ma non verrà utilizzato se viene utilizzato un software di sicurezza per il controllo parentale o se Firefox è stato configurato a livello aziendale. Questa scelta è simile a quella adottata per altre tecnologie di sicurezza e privacy utilizzate in Firefox, come ad esempio il protocollo TLS 1.3, anch'esso non disponibile come impostazione controllabile direttamente dall'utente.

Si può utilizzare ECH con qualsiasi fornitore DoH?

Sì! Tutti i server DoH, sia ospitati localmente che forniti tramite servizi online, possono essere utilizzati per recuperare i record ECH.

Si può utilizzare ECH senza DoH?

L'utilizzo di ECH senza DoH non è attualmente possibile in Firefox. ECH si affida a DoH per la sua funzionalità, poiché critta la connessione iniziale a un sito web sfruttando le chiavi di crittografia fornite da DNS su HTTPS. Pertanto, per utilizzare ECH in Firefox, è necessario che anche DoH sia attivato.

Tenere presente che senza DoH in Firefox le query DNS non sono crittate sulla rete locale e sono sempre più soggette a monitoraggio. Se si preferisce utilizzare un server DNS locale, si ha la possibilità di ospitare autonomamente DNS su HTTPS (DoH), assicurandosi che la crittografia del proprio traffico DNS si estenda alla propria rete locale.

Perché ECH dipende da DoH?

ECH dipende da un nuovo tipo di record DNS chiamato "HTTPS Resource Record" che descrive come utilizzare ECH per connettersi a un sito web. Affinché ECH possa garantire una privacy efficace, questi record devono essere recuperati tramite una connessione crittata e Firefox utilizza DoH per questo scopo.

Gli sviluppatori Mozilla sanno che alcuni utenti esperti preferiscono ospitare localmente i propri sistemi di risoluzione DNS. In questo caso gli sviluppatori consigliano di ospitare autonomamente un server DoH e di configurare Firefox per utilizzarlo. Ciò garantisce che il traffico DNS locale sia crittografato tra client e server, impedendo ad altri dispositivi sulla propria rete locale di osservarlo. In alternativa, se supportato, si può configurare Firefox per utilizzare lo stesso provider DNS upstream del proprio sistema di risoluzione locale tramite la pagina delle impostazioni DNS.

Poiché il supporto del sistema operativo per DoH e altri trasporti DNS crittati continuano a migliorare, gli sviluppatori Mozilla continueranno a esaminare le tecniche necessarie per supportare il recupero di questi record tramite il sistema operativo.

Come fa un utente a capire se ECH sta funzionando?

ECH non è visibile nell'interfaccia utente del browser, ma l'utente può verificare se funziona per lui utilizzando il controllo di sicurezza del browser di Cloudflare.

Ulteriori informazioni

• Informazioni sul protocollo Encrypted Client Hello (ECH)
• ECH Technical Article on Mozilla's Wiki (for expert users)
• Informazioni sulla funzione DNS su HTTPS
• Configurare i livelli di protezione DNS su HTTPS in Firefox