La feature DNS-over-HTTPS, conosciuta anche come DoH, si differenzia da DNS-over-TLS (DoT) per il protocollo usato, ma la sostanza non cambia: è possibile ormai dal 2018 criptare la richieste DNS che, in caso contrario, viaggerebbero in chiaro sulla rete, esponendo a potenziali curiosi una lista completa di siti visitati.
Tale informazione, per quanto non critica, costituisce comunque una grossa fetta di ciò che, nella presente era in cui HTTPS è ovunque, rimane sniffabile non solo da attori malevoli all’interno della nostra LAN (o anche da SmartTV e dispositivi IoT di dubbia provenienza), ma anche dal nostro ISP. Per quanto la chiamata al DNS contengo solo il nome del dominio, quindi non anche il sotto-dominio o la pagina esatta in cui ci si trova, non è difficile immaginare situazioni in cui anche la diffusione di queste informazioni sia poco desiderabile.
DNS-over-HTTPS nasce quindi per cifrare le richieste DNS e farle viaggiare come regolare traffico HTTPS. Il vantaggio che ne deriverebbe sarebbe non solo di pura e semplice privacy ma anche un incremento della sicurezza generale delle macchine coinvolte, ma è davvero così?
DoH, allo stato attuale e in Italia, è attivo di default su Chrome ed Edge ma non ancora su Firefox, pur essendo supportato da svariati anni, per il quale Mozilla ha preferito mantenere la feature opzionale, attivandola di default solo per utenti sul territorio di Russia e Ucraina.
In tutta probabilità, quindi, se state usando Firefox, avrete tale feature spenta e vi starete domandando se sia il caso di attivarla. La risposta non è immediata, né banale. Dubbi sui reali vantaggi del protocollo sono emersi e sembra che, in alcuni casi, potrebbe essere una scelta controproducente in alcune casistiche che è importante tenere a mente.
Criptare le richieste DNS a livello browser, ad esempio, toglie all’amministratore di rete o a un ad-blocker la possibilità di loggarle e di filtrarle (a meno di non forzare l’utilizzo di un server DNS interno) e ciò renderebbe inutili eventuali block-list aziendali per siti indesiderati basate su entry DNS che, seppur spesso mal recepite dai dipendenti, non includono soltanto domini esclusi arbitrariamente ma sono un comune strumento usato per bloccare siti malevoli e di phishing.
E’ facile notare che, una rete in cui ogni host è in grado di bypassare il DNS interno e fare richieste criptate, porti a una situazione in cui la sicurezza che si intendeva in realtà incrementare si è in realtà deteriorata, specie in contesti enterprise di grandi dimensioni in cui sono presenti migliaia di macchine e i log delle query dns potevano immediatamente evidenziare un problema in atto o un host compromesso.
Non sono tardati ad arrivare, infatti, malware che usano DNS over HTTPS proprio per comunicare con l’esterno e, sebbene il monitoring tramite DNS debba essere solo un anello di una catena di cybersecurity ben più ampia e generalizzata, rimaneva comunque uno strumento di protezione aggiuntivo in un periodo storico in cui cyberattacchi e ransomware sembrano ai massimi storici.
Riguardo la mera questione privacy, la situazione non sembra tanto migliore: in un epoca in cui le nostre abitudini di navigazione e i pattern delle nostre attività online sono diventati una miniera d’oro di cui tutti sembrano volere una fetta, DoH sembra la soluzione finale che tutti stavano aspettando. Non è però difficile intuire che, anche qui, vi sono diverse falle da tenere in considerazione che possono causare più problemi di quanti ne risolvano.
Il problema di fondo, su questo aspetto, è il falso senso di sicurezza che DoH può dare, in una situazione realistica in cui però spesso i siti web hanno parti che viaggiano ancora in HTTP e il cui indirizzo IP rimane noto e loggabile da tutti gli hop che si interpongono tra client e server.
Sia che decidiate di usare DoH o meno, sia che siate un’azienda o un utente nella vostra rete di casa, è come sempre un valore aggiunto essere quanto meno al corrente di questa tecnologia, tutt’ora poco menzionata e spesso ignorata.