Usate Firefox? Ecco come configurare DoH.

DNS over HTTPS

DNS over HTTPS

DoH, acronimo di DNS over HTTPS, è un protocollo per eseguire risoluzioni di DNS da remoto via HTTPS. Il suo scopo è quello di non permettere a terzi (provider della nostra rete internet, oppure il gestore della nostra rete locale con o senza proxy) d’intercettare le nostre richieste durante qualunque operazione richieda la risoluzione di un nome di dominio.

Ad esempio, se proviamo ad andare su un xxx.com, nessuno, a parte noi, potrà sapere su che sito stiamo visitando in quel momento.

Firefox supporta nativamente il DoH, ma bisogna configurarlo per poterlo utilizzare.

Dalla scheda di configurazione PROXY delle impostazioni: verso la fine della pagina di configurazione troverete questo:

Immagine sezione Proxy della configurazione di Firefox

Immagine sezione Proxy della configurazione di Firefox

Qui troverete per default due possibili alternative:

  1. NextDns
  2. CloudFlare

Oppure, se avete configurato a mano altro provider di servizio DoH, come indicato nella parte sottostante di questo how to,  nel secondo campo ci troverete cosa avete inserito nel campo network.trr.uri della about:config.

Piccola Nota: se usate abitualmente un proxy via protocollo SOCKS —tipicamente per passare attraverso una rete tipo TOR— ricordatevi di spuntare la voce DNS proxy per SOCKS 5.

Operazioni da svolgere per attivare il DoH manualmente con i dati di nostra scelta sul nostro Firefox:

  1. Aprire la pagina about:config
  2. Se compare, cliccare su Accetta il rischio e continua
  3. Cercare la parola chiave network.trr.bootstrapAddress
  4. Inserire, per la chiave network.trr.bootstrapAddress un valore testo che sarà:

    • Il valore 1.1.1.1 per utilizzare il DoH di Cloudflare;
    • ll valore 8.8.8.8 per utilizzare il DoH di Google;
    • il valore di un eventuale altro fornitore di servizio DoH.
  5. Cercare la chiave network.trr.uri ed inserire uno dei due URL, a seconda di quale DoH volete utilizzare:
    • https://cloudflare-dns.com/dns-query per utilizzare i servizi di Cloudflare
    • https://dns.google/dns-query per utilizzare i servizi di Google
    • l’URI del provider che avete scelto
  6. Cercare la chiave network.trr.mode ed inserire un valore tra 0 e 3 con questi significati:
    • 0 per disattivare DoH
    • 2 per dare la precedenza a DoH, solo nel caso in cui il dominio non venga risolto, esegue alla risoluzione di default
    • 3 per navigare solo in modalità DoH. Se un dominio non viene risolto, la pagina web non si aprirà

La differenza fondamentale tra il valore 2 ed il valore 3 è che nel primo caso non saprete mai se il domino è stato risolto via DoH o attraverso il normale sistema di risoluzione indirizzi. Questo perché il valore 2 utilizza di default DoH ma se quest’ultimo fallisce ne risolvere l’indirizzo, lo passa al sistema di default di risoluzione degli indirizzi.

Usando il valore 3, invece, se DoH non riesce a risolvere il dominio, il browser vi segnalerà che qualcosa non sta funzionando come dovrebbe ed aresterà il caricamento della pagina!

 

Buon lavoro.

J.C.

 

Problemi di accesso dopo l’aggiornamento di Firefox

Adesso Firefox sta esagerando: nella sua politica di pulizia negli accessi, vedi questo articolo in merito, ha nell’ultimo aggiornamento, innalzato dei limiti di sicurezza sui certificati letti dal protocollo HTTPS. Ok vuoi proteggermi, ma vuoi anche darmi la possibilità di tornare indietro se mi serve? Con l’ultima modifica ha configurato un certo numero di voci nelle configurazioni avanzate, per cui molti server che prima raggiungevate adesso vi danno questo errore:
Contrariamente al solito, non c’è alcun pulsante per ammettere una eccezione a questo tipo di blocco, che non sto a spiegare cosa sia, se siete curiosi fate una ricerca in google con la chiave “Error code: ssl_error_weak_server_ephemeral_dh_key” e troverete tutte le spiegazioni del caso.
Questo blocco, della serie o così o pomì sta nella scia della politica che Firefox ha deciso che il protocollo  HTTP, ed HTTPS per alcune configurazioni, che non piace a loro non deve più essere usato. 
Non sto a commentare l’atteggiamento fascista nella decisione, ma già questo tipo di blocco sicuramente porterà ad una iniziale migrazione da FireFox verso altro: dovrebbero capirlo da soli che imporre qualcosa all’internauta è sempre sconsigliabile.
In ogni caso, per risolvere questo problema dovete andare nelle configurazioni avanzate, quelle a cui si accede dando nel campo indirizzo dove di solito ci va http://indirizzo.com e ci scrivete about:config e date invio; confermate che sapete che state facendo e mettete nel campo ricerca la stringa “security.ssl3.dhe_rsa“; vi verranno restituiti una serie di record settati a false come potete vedere qui sotto:
Ora, il record che vi blocca può essere uno qualsiasi di quelli elencati. Per esempio se tentate di andare, dopo l’aggiornamento, alla webchat di mibbit all’indirizzo https://char.mibbit.com il record che vi blocca è il 3°. Chiaramente potete disabilitare solo quello e poi tornare qui quando vi ricapiterà, oppure abilitarli tutti subito. Se volete abilitare solo la voce interessata nel caso in questione allora fate doppio click su false e fatelo diventare true. Otterrete questo risultato:
Se invece non volete dover incrociare di nuovo il blocco senza possibilità di generare una eccezione allora configurateli tutti a true e morta li !!!
Ripeto questo problema sarà solo il primo, se FireFox continuerà sulla strada di voler imporre la propria idea che in rete si deve transitare solo via HTTPS ed alle loro condizioni. 
Per la maggior parte dei casi basta cambiare browser, ma nei casi di applicazioni che includono il browser come parte integrata dell’app stessa, tipo TorBrowser la vedo mooooooolto male !!!!
Non che non esista una soluzione al problema, ma resta il fatto che in un mondo che definiscono open, pretendere di imporre una loro visione del modo in cui, noi utilizzatori, dobbiamo accedere alla rete mi ricorda molto M$ come modo di fare: e non mi piace proprio per nulla !!!
Saluti
JC