Attivare o non attivare DNS over HTTPS (DoH): questo è il problema

Abbiamo parlato ripetutamente dell’intenzione di Google e Mozilla di attivare automaticamente l’utilizzo del protocollo DNS over HTTPS (DoH) nelle nuove versioni dei rispettivi browser web. L’azienda di Mountain View ha già confermato l’introduzione della novità con il lancio di Chrome 78 mentre Mozilla ha genericamente parlato delle future release di Firefox.

L’analisi del contenuto delle richieste DNS per la risoluzione dei nomi a dominio è diventata un’attività sempre più “gettonata”. Quando si visita un nuovo sito, server DNS remoti restituiscono la corrispondenza tra indirizzo mnemonico – come www.ilsoftware.it – e indirizzo IP pubblico sul quale è in ascolto in server web; vedere l’articolo DNS Google, ecco come funzionano e perché sono utili per approfondire).
Addirittura negli Stati Uniti la raccolta di informazioni sulle sessioni di navigazione degli utenti collegati alla rete Internet è addirittura permessa per finalità commerciali: Navigare anonimi senza che neppure il provider possa monitorare i siti visitati.

Con il preciso obiettivo di evitare il monitoraggio degli utenti e, in particolare, fare in modo che terze parti non possano più “mettere il naso” sui siti visitati dagli utenti, Google e Mozilla stanno spingendo sull’implementazione del protocollo DNS over HTTPS. Esso funziona in maniera molto simile a DNS over TLS (DoT) crittografando i dati inviati e ricevuti ma a differenza di quest’ultimo – che usa un “canale” a sé per inviare le richieste di risoluzione dei nomi a dominio – DoH si serve del protocollo HTTPS usato per trasferire in modo sicuro le informazioni che compongono le pagine web. Tant’è vero che DoH utilizza di default la porta TCP 443, la stessa adoperata da HTTPS, mentre DoT ha una sua porta predefinita dedicata: la 853.

Tante critiche stanno piovendo su Google e Mozilla sia da enti governativi che, in alcuni casi, da soggetti che sulla carta dovrebbero avere a cuore la privacy dei cittadini.

Innanzi tutto va detto che Chrome 78 e versioni successive attiveranno automaticamente DoH se e solo se il server DNS impostato dall’utente sul router o sul singolo sistema client lo consente. Al momento la lista dei provider del servizio DNS compatibile DoH supportato da Chrome è composta dai seguenti soggetti: Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS, Quad9.
Nonostante questo, verifiche formali sono state rivolte nei confronti di Google: Google sotto esame per il supporto del protocollo DNS-over-HTTPS.

Firefox, invece, attiverà automaticamente DoH in Firefox appoggiandosi ai DNS di Cloudflare. Mozilla ha fatto questa scelta sulla base del fatto che Cloudflare assicura la cancellazione dei log DNS entro 24 ore, che non condivide i dati con terze parti e che audit svolti da soggetti riconosciuti confermano che le informazioni vengono effettivamente cancellate senza lasciare tracce: Chrome attiverà DNS over HTTPS a partire dalla versione 78. Critiche per Mozilla.

I detrattori contestano che sì provider e altri soggetti non potranno più accedere alla lista dei siti visitati da ciascun utente della rete ma osservano che le query DNS saranno comunque di fatto consegnate ai gestori del server che supporta DoH. Si osserva che la protezione è effettivamente end-to-end ma dall’altro capo vi sono organizzazioni commerciali che possono comunque leggere il contenuto delle richieste di risoluzione dei nomi a dominio.

Ma non è ciò che accadeva fino ad oggi? Diciamo noi. Con l’utilizzo del protocollo DoH semmai si riduce al solo gestore del resolver DNS il soggetto che può accedere alle query provenienti dai client remoti e nulla vieta di allestire addirittura un proprio server DNS con supporto DoH, funzionante in locale.

“Mi piacerebbe molto se ci fossero altri 100 fornitori di DNS criptati tra cui i clienti potessero scegliere“, ha dichiarato Matthew Prince, CEO di Cloudflare. “Pensiamo che sarebbe fantastico. Mi rendo conto che avere un numero limitato di scelte non è una bella sensazione. Ma non c’è nulla di proprietario: chiunque può scaricare il software open source ed eseguirlo oggi stesso“.

Vero è che in ambito aziendale sarà più complicato bloccare la visita di determinati siti web analizzando il contenuto delle richieste DNS, ed è questa l’eccezione sollevata di recente dall’Olanda: DNS over HTTPS: dall’Olanda un monito al suo utilizzo. Anche perché bloccare qualcosa che funziona sulla porta 443 è davvero complicato e “giochetti” come quelli presentati nell’articolo Come bloccare l’uso di server DNS alternativi all’interno della rete locale diventano impossibili.