Informazioni sulla funzione DNS su HTTPS

Questo articolo descrive la funzione DNS su HTTPS e come attivarla, modificarne le impostazioni o disattivarla.

Informazioni su DNS su HTTPS

Quando si digita un indirizzo web o un nome di dominio nella barra degli indirizzi (ad esempio: www.mozilla.org), il browser invia una richiesta attraverso Internet per cercare l'indirizzo IP per quel sito web. Tradizionalmente, questa richiesta viene inviata ai server tramite una connessione in testo normale (plaintext). Questa connessione non è crittografata, rendendo facile per le terze parti vedere a quale sito web l'utente sta per accedere.

Il protocollo DNS-over-HTTPS (DoH) funziona in modo diverso. Invia il nome di dominio digitato dall'utente a un server DNS compatibile con DoH utilizzando una connessione HTTPS crittografata anziché una in testo normale. Ciò impedisce alle terzi parti di vedere a quali siti web si sta tentando di accedere.

Vantaggi

Il protocollo DoH migliora la privacy nascondendo le ricerche dei nomi di dominio a chiunque sia in agguato sul Wi-Fi pubblico, ad esempio il proprio ISP (Internet Service Provider ovvero fornitore di servizi Internet) o chiunque altro si trovi sulla rete locale dell'utente. Il protocollo DoH, quando è attivato, garantisce che l'ISP dell'utente non possa raccogliere e vendere informazioni personali relative al suo comportamento di navigazione.

Rischi

  • Alcune persone e organizzazioni fanno affidamento sul DNS per bloccare il malware, attivare il controllo parentale o filtrare l'accesso del browser ai siti web. Se attivato, il protocollo DoH ignora il risolutore DNS locale e rende inefficaci questi criteri speciali. Nei casi in cui il protocollo DoH è stato attivato per impostazione predefinita per gli utenti, in Firefox viene consentito agli utenti (tramite le impostazioni) e alle organizzazioni (tramite i criteri aziendali e una ricerca nel dominio "canary") di disattivarlo quando interferisce con un criterio preferito.
  • Quando il protocollo DoH è attivato, per impostazione predefinita, tramite Firefox le query DoH vengono indirizzate ai server DNS gestiti da un partner affidabile di Mozilla che è in grado di visualizzare le query degli utenti. Mozilla ha messo in atto una politica Trusted Recursive Resolver (TRR) policy (informazioni in inglese) che proibisce ai suoi partner DoH di raccogliere informazioni identificative personali. Per mitigare questo rischio, i partner di Mozilla sono contrattualmente tenuti ad aderire a questa politica.
  • DoH potrebbe essere più lento delle query DNS tradizionali ma, nei vari test, gli sviluppatori Mozilla hanno scoperto che l'impatto è minimo e in molti casi DoH è più veloce (informazioni in inglese).

Informazioni sul lancio di DNS su HTTPS da parte di Mozilla

Mozilla ha completato il lancio del protocollo DoH per tutti gli utenti di Firefox per desktop negli Stati Uniti nel 2019 e per tutti gli utenti di Firefox per desktop in Canada nel 2021 e a marzo 2022 ha iniziato l'implementazione del protocollo DoH per impostazione predefinita per gli utenti di Firefox per desktop in Russia e Ucraina. Mozilla sta attualmente lavorando per attivare DoH in altri Paesi. Durante questa fase di implementazione graduale, DoH sarà attivato per gli utenti in modalità "fallback". Ad esempio, se per qualche motivo le ricerche dei nomi di dominio che utilizzano DoH non vanno a buon fine, il browser Firefox ripiegherà sull'utilizzo del DNS predefinito configurato dal sistema operativo invece di visualizzare un errore.

Scegliere di non utilizzare il protocollo DoH

Coloro che già utilizzano Firefox nei Paesi in cui Mozilla ha lanciato il protocollo DoH per impostazione predefinita, riceveranno una notifica in Firefox come quella nell'immagine sottostante che mostrerà se e quando DoH viene attivato per la prima volta, consentendo all'utente di scegliere di non utilizzare DoH e continuare invece a utilizzare il risolutore DNS del sistema operativo predefinito.

OptIn_Infobar

Inoltre, tramite Firefox verranno verificate alcune funzioni che potrebbero essere interessate dall'attivazione di DoH, tra cui:

  • Attivazione dei controlli parentali.
  • Presenza di filtri per il server DNS predefinito per bloccare contenuti potenzialmente pericolosi.
  • Configurazioni DNS speciali per i dispositivi gestiti da un'organizzazione.

Se il risultato di uno di questi test indica la possibile interferenza di DoH con la funzione, il protocollo DoH non verrà attivato. Questi test verranno eseguiti ogni volta che il dispositivo si connette a una rete diversa.

Attivare, disattivare e configurare la funzione DNS su HTTPS

Per informazioni dettagliate, leggere l'articolo Configurare i livelli di protezione DNS su HTTPS in Firefox.

Attivare e disattivare la funzione DNS su HTTPS manualmente

È possibile attivare e disattivare la funzione DNS-over-HTTPS nelle impostazioni di connessione di Firefox:

  1. Sulla barra dei menu nella parte superiore dello schermo, fare clic su Firefox e quindi selezionare Preferenze o Impostazioni, a seconda della versione di macOS utilizzata.Fare clic sul pulsante dei menu Fx89menuButton e selezionare Impostazioni.
  2. Nel pannello Generale, scorrere verso il basso fino a Impostazioni di rete e fare clic sul pulsante Impostazioni….
  3. Nella successiva finestra di dialogo, scorrere fino in fondo in modo da visualizzare l'opzione Attiva DNS su HTTPS.
    • Per attivare la funzione: contrassegnare la casella accanto a Attiva DNS su HTTPS.
      Selezionare successivamente uno dei provider disponibili in elenco o inserirne uno personalizzato (vedi paragrafo successivo).
    • Per disattivare la funzione: togliere il contrassegno alla casella accanto a Attiva DNS su HTTPS.
    attivare_DoH_fx98attivare_DoH_fx111
  4. Fare clic su OK per salvare le modifiche e chiudere la finestra di dialogo.

Cambiare provider

  1. Sulla barra dei menu nella parte superiore dello schermo, fare clic su Firefox e quindi selezionare Preferenze o Impostazioni, a seconda della versione di macOS utilizzata.Fare clic sul pulsante dei menu Fx89menuButton e selezionare Impostazioni.
  2. Nel pannello Generale, scorrere verso il basso fino a Impostazioni di rete e fare clic sul pulsante Impostazioni….
  3. Fare clic sul menu a discesa Utilizza provider accanto a Attiva DNS su HTTPS per selezionare un provider dall'elenco.
    cambiare_provider_dns_fx98cambiare_provider_dns_fx111
  4. È anche possibile selezionare l'opzione Personalizzato per impostare un provider personalizzato.
    provider_dns_personalizzato_fx99
  5. Fare clic su OK per salvare le modifiche e chiudere la finestra di dialogo.

Escludere domini specifici

È possibile configurare delle eccezioni in modo che in Firefox venga utilizzato il risolutore del proprio sistema operativo anziché DoH:

Attenzione: la modifica delle preferenze avanzate può influenzare la stabilità e la sicurezza di Firefox. Questo tipo di operazione è consigliato solo per gli utenti avanzati.

  1. Digitare about:config nella barra degli indirizzi e premere Invio.
    Potrebbe comparire una pagina di avvertimento: fare clic sul pulsante Accetta il rischio e continua per proseguire alla pagina about:config.
  2. Cercare la preferenza network.trr.excluded-domains.
  3. Fare clic sul pulsante Modifica Fx71aboutconfig-EditButton accanto alla preferenza.
  4. Aggiungere i domini (separati da virgole) all'elenco e fare sul segno di spunta Fx71aboutconfig-Checkmark per salvare la modifica.
Nota: non rimuovere alcun dominio dall'elenco.

Informazioni sui sottodomini: tramite Firefox verranno verificati tutti i domini che l'utente ha elencato nella preferenza network.trr.excluded-domains e i loro sottodomini. Ad esempio, se digita l'indirizzo example.com, in Firefox verrà escluso anche l'indirizzo www.example.com.

Configurazione di reti per disattivare il protocollo DoH

Per informazioni su questo argomento, leggere gli articoli:

Il protocollo Encrypted Client Hello (ECH)

Con la Firefox versione di Firefox 118 gli sviluppatori Mozilla stanno implementando un'importante funzionalità di sicurezza: Encrypted Client Hello (ECH). Il suo ruolo principale è rafforzare la sicurezza della connessione iniziale "handshake" effettuata durante le interazioni online. ECH, insieme alla funzione DNS su HTTPS (DoH), porta la sicurezza della navigazione a un livello superiore:

  • DoH come prerequisito: nell'implementazione di Firefox, ECH si affida a DoH per recuperare le chiavi di crittografia necessarie per l'handshake. Senza DoH attivato, ECH non può funzionare.
  • Protezione sinergica: DoH funziona crittando le query DNS, salvaguardando efficacemente la conversione dei nomi dei siti web in indirizzi IP. D'altro canto, ECH si concentra sulla crittografia degli scambi iniziali tra l'utente e il sito web. Insieme, rappresentano una difesa completa contro molte minacce online.
  • Protezione migliorata: attivando sia ECH che DoH, gli utenti beneficiano di un doppio livello di protezione della privacy, riducendo potenziali vulnerabilità e aumentando la privacy su Internet.

Per beneficiare appieno dei miglioramenti della sicurezza forniti da ECH, assicurarsi che DoH sia attivato in Firefox. Per informazioni più complete e dettagliate, consultare gli articoli Informazioni sul protocollo Encrypted Client Hello (ECH) e Encrypted Client Hello (ECH) - risposte alle domande più frequenti.

È stato utile questo articolo?

Attendere…

Questi bravi collaboratori hanno contribuito alla scrittura di questo articolo:

Underpass, Michele Rodaro
Illustration of hands

Collabora

Impara e condividi la tua esperienza con gli altri. Rispondi alle domande e migliora la nostra Knowledge Base.

Ulteriori informazioni