Il browser di Mozilla è uno dei prodotti che vantano il migliore supporto per DNS su HTTPS (DNS over HTTPS). Stiamo parlando del protocollo, conosciuto anche con la sigla DoH, che si occupa di crittografare le richieste di risoluzione dei nomi a dominio.
Quando l’utente chiede al browser Web di raggiungere uno specifico sito, infatti, questo deve stabilire a quale indirizzo IP pubblico corrisponde un indirizzo mnemonico come www.google.it o www.ilsoftware.it. La procedura che consente di stabilirlo si chiama appunto risoluzione del nome a dominio ed è gestita tramite server DNS.
Storicamente, i browser inviavano le richieste ai server DNS remoti (o resolver DNS) tramite pacchetti dati trasferiti in chiaro, senza applicare alcuna forma di cifratura. Questo significa che anche nel caso in cui, come abitualmente accade oggi, sia utilizzato il protocollo HTTPS per scambiare informazioni con il server Web del sito visitato, la richiesta di risoluzione del dominio viene gestita in modo “palese”. Altri soggetti, operatori di telecomunicazioni compresi, possono così stabilire i siti Web visitati da ciascun utente.
DNS over HTTPS (DoH) è una delle possibili soluzioni per proteggere anche il traffico DNS. Applicando la cifratura sulle richieste di risoluzione dei nomi a dominio, nessuna terza parte può più monitorare la lista dei siti Web visitati da ciascun utente.
Cosa fa DNS su HTTPS
Un protocollo come DoH non fa altro che aggiungere l’utilizzo di HTTPS al meccanismo di risoluzione dei nomi a dominio. L’utilizzo di DNS over HTTPS contribuisce a proteggere la privacy dell’utente: il traffico DNS è criptato e non può essere facilmente intercettato o monitorato da terze parti. Inoltre, aiuta a mitigare gli attacchi DNS hijacking e a garantire l’integrità delle risposte DNS ricevute.
I principali browser Web, Google Chrome ed Edge compresi, offrono la possibilità di attivare DoH agendo sulle rispettive impostazioni. Va tenuto presente che questo intervento mette al tappeto anche eventuali sistemi di filtraggio dei contenuti utilizzati in ufficio o in azienda. Tali sistemi, infatti, non posso più analizzare le richieste di risoluzione dei nomi a dominio in quanto crittografate. Alcuni strumenti di parental control integrano tuttavia delle contromisure per impedire l’utilizzo di DoH sui singoli dispositivi client.
Microsoft ha inoltre spiegato come abilitare DNS over HTTPS (DoH) in Windows: in questo caso la risoluzione sicura dei nomi a dominio avviene a livello di sistema operativo e non più solamente sul singolo browser Web.
Firefox migliora DNS over HTTPS (DoH)
A partire da Firefox 114, il browser di casa Mozilla integra una serie di novità strettamente correlate con la gestione di DoH. Innanzi tutto, le impostazioni di DoH sono state spostate nella sezione Privacy e sicurezza. Per accedervi basta aprire le impostazioni del browser quindi cliccare su Privacy e sicurezza nella colonna di sinistra. In alternativa si può semplicemente digitare about:preferences#privacy
nella barra degli indirizzi.
Come si vede nell’immagine, Firefox introduce diversi “livelli” per l’utilizzo di DoH all’interno del browser:
Protezione predefinita. L’utilizzo di DoH viene automaticamente abilitato da Firefox in base a diverse condizioni. In caso di problemi, viene utilizzato il sistema di risoluzione abituale dei nomi a dominio (quello specificato a livello di sistema operativo). Esso potrebbe non offrire la protezione del DNS mediante cifratura dei dati.
Protezione maggiore. Viene utilizzato lo specifico fornitore del servizio DoH. Firefox attiva il fallback sul DNS tradizionale in caso di problemi.
Protezione massima. Firefox si serve sempre del servizio DoH specificato dall’utente. In caso di problemi viene mostrato un avviso ma non viene in ogni caso usato il DNS tradizionale.
Disattivato. Il browser di Mozilla utilizza il server DNS impostato in locale, a livello di sistema operativo, per la risoluzione dei nomi a dominio.
Con un clic sul pulsante Gestisci eccezioni, il browser di Mozilla permette di accedere a una nuova interfaccia che consente eventualmente di indicare i siti Web per i quali non si vuole utilizzare DoH.
Credit immagine in apertura: iStock.com/JLGutierrez