DNS over HTTPS (DoH) è il protocollo sul quale Google, Mozilla e Microsoft stanno puntando affinché le richieste di risoluzione dei nomi a dominio siano automaticamente crittografate usando i rispettivi browser web, Chrome, Firefox ed Edge (“ChrEdge“, il nuovo browser basato su Chromium).
Visitando un qualunque sito web (anche quelli che erogano le pagine usando il protocollo HTTPS), le richieste di risoluzione degli stessi nomi a dominio venivano gestite in chiaro. Nella maggior parte dei casi la corrispondenza tra nome a dominio oggetto di visita e corrispondente indirizzo IP pubblico veniva sciolta dai server DNS (vedere Server DNS: come funziona e a cosa serve Nslookup) avanzando richieste e ricevendo risposte non cifrate.
Cosa implica tutto ciò? Che non soltanto nell’ambito della rete locale ma anche esternamente (si pensi agli operatori di telecomunicazioni e ai soggetti posti tra client dell’utente e server DNS) era (ed è tutt’oggi possibile) stabilire l’elenco dei siti web visitati in tempo reale: Per Mozilla le accuse piovute dai provider sul tema DNS over HTTPS non hanno senso.
Basti pensare che negli Stati Uniti la raccolta dei dati di navigazione degli utenti è permessa e che tali informazioni vengono utilizzate dagli operatori di telecomunicazioni per finalità commerciali: USA, i provider potranno registrare la cronologia di navigazione e venderla a terzi.
Attivando l’utilizzo di DoH nel browser, si farà in modo che tutte le richieste di DNS vengano crittografate e che nessun soggetto terzo possa risalire al loro contenuto.
Ovviamente, attivando DoH nel browser in uso non funzioneranno più neppure “giochetti” come quello illustrato a suo tempo nel nostro articolo Come bloccare l’uso di server DNS alternativi all’interno della rete locale. Non è più possibile sniffare il contenuto dei pacchetti dati in transito e assumere decisioni conseguenti.
Come attivare DNS over HTTPS (DoH) in Chrome
Google ha deciso di utilizzare una soluzione diversa rispetto a Mozilla. Mentre Firefox permette all’utente di scegliere tra provider che offrono server DNS capaci di supportare il protocollo DoH (o specificare quello da usare tramite l’interfaccia del browser), Chrome può abilitare automaticamente l’utilizzo di DoH se il server configurato a livello locale o lato router lo consente.
Nell’attesa che Google decida di attivare DoH per default in Chrome, abilitare il protocollo sicuro è molto semplice: basta infatti digitare chrome://flags/#dns-over-https
nella barra degli indirizzi, scegliere Enabled in corrispondenza dell’impostazione Secure DNS lookups e riavviare il browser.
La stessa operazione può essere effettuata da Microsoft Edge (il nuovo browser basato su Chromium) digitando edge://flags/#dns-over-https
nella barra degli indirizzi.
Chrome supporta l’attivazione automatica di DoH allorquando l’utente stesse utilizzando uno dei server DNS indicati a questo indirizzo.
Strumenti come questo o questo controllano solamente se si stesse usando il protocollo DoH su server DNS Cloudflare. Non sono quindi da utilizzarsi per accertare l’utilizzo di DNS con supporto DoH la cui gestione è in capo ad altri provider.
“Armandosi” di Wireshark, invece, ed effettuando lo sniffing dei pacchetti dati in transito sulla rete locale, si noterà che le richieste DNS non verranno più gestite sulla porta 53 ma sulla 443 “perdendosi” con le altre richieste HTTPS (almeno sui sistemi ove si utilizzano browser con supporto DoH abilitato): Wireshark, una breve guida all’uso.
Per finire, è interessante evidenziare che Windows 10 supporterà DoH nativamente facendo sì che la risoluzione dei nomi a dominio avvenga in modo sicuro (utilizzando la crittografia) da parte di tutte le applicazioni installate e quindi non più limitatamente ai browser web compatibili (maggiori informazioni in questa nota Microsoft).