Sono diverse le discussioni in corso ed i pareri in merito al recente annuncio da parte di Mozilla Firefox di voler usare DNS di terze parti per la risoluzione dei nomi effettuata dal browser.  Leggendo questo articolo del blog di powerdns.com appare chiaro come siano molti gli aspetti da valutare. Certo, offrire un’opzione per utilizzare DNS differenti da quelli di sistema durante l’utilizzo del browser è certamente la cosa più evidente, ma vi è anche un accenno alla richiesta di consenso per la raccolta di informazioni relative alle visite effettuate durante la navigazione, quindi un aspetto molto rilevante della privacy di ciascun utente. L’intento pubblicizzato vuole essere quello di aumentare la sicurezza di navigazione.

Ma partiamo dall’idea, ben spiegata dal blog di ungleich: Mozilla ha sviluppato una nuova tecnica per effettuare richieste DNS via https, denominata DNS over HTTPS (DoH), mediante questa tecnica sarà possibile demandare la risoluzione dei nomi direttamente al browser che, mediante un’interrogazione a Cloudflare (con cui Mozilla ha stabilito una collaborazione), quindi renderà una terza parte in grado di conoscere tutte le richieste effettuate. La componente del browser che effettua questo override si chiama Trusted Recursive Resolver (TRR).

Avete letto bene, se oggi le richieste rimangono interne al fornitore di servizi poiché tipicamente sono proprio i DNS del provider (il quale sa già dove stiamo andando) ad essere utilizzati, con questa modifica un nuovo attore (in questo caso Cloudflare) entrerà nel gioco. Se avete delle perplessità non siete i soli, ecco riassunta la situazione nell’evocativa immagine di datacenterglitch.ch:

Ora, fermo restando che seguiranno infinite discussioni sul tema, passiamo alle cose importanti: esiste un modo per disabilitare quanto sopra e non permettere a Firefox di gestire i DNS? Ecco, al momento in realtà esistono due modi: il primo è cambiare browser (bella forza), il secondo è disabilitare la feature TRR, come spiega sempre ungleich grazie all’utente rendx che ha descritto la procedura su hackernews:

• Inserire about:config nella barra indirizzo
• Cercare network.trr
• Impostare il valore dell’opzione network.trr.mode = 5 per disabilitare completamente la feature

Cosa significhi il mode 5 lo spiega mozilla.org:

Change network.trr.mode to 2 to enable DoH. This will try and use DoH but will fallback to insecure DNS under some circumstances like captive portals.  (Use mode 5 to disable DoH under all circumstances.)

Poco lasciato al dubbio quindi, nel mio caso il valore impostato era 0 (ed ora è 5 :)). Rimane da capire come e se tali valori di default verranno impostati automaticamente nelle prossime release.

Restate all’erta quindi, noi seguiremo come sempre la vicenda e vi terremo aggiornati.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.