Abilitare i DNS over Https (DoH)

Come abilitare i DNS Over Https (DoH) e perché è meglio farlo

Abilitare i DNS over Https (DoH) è una piccola attenzione che dà grandi risultati. Vediamo cosa significa, perché dovrebbe essere sempre fatto e come si fa. Si può attivare questa protezione della navigazione in diversi modi, in questo articolo spieghiamo come.

1. Cosa significa abilitare i DNS over Https (D0H)

Abilitare i DNS over Https significa attivare un accorgimento che permette di navigare sul web con più tranquillità. Ma, andiamo con ordine e spieghiamo cosa significa DNS (Domain Name System) e Https. Quando digiti l’indirizzo di un sito nel campo apposito del browser (Chrome, Edge, Safari), il programma per la navigazione traduce il nome di dominio del sito che vuoi visitare (per esempio flashstart.com) nell’indirizzo IP del server che ospita quel sito Web.

Questo perché i computer non capiscono parole e lettere, ma possono interpretare solo sequenze di numeri. Subito dopo che digitiamo il nome del sito e clicchiamo Invia, il programma di navigazione, o il fornitore dell’accesso a Internet (Internet Provider) attivano un controllo. Ovvero scandagliano delle liste pubbliche in Rete in cui a ogni nome di dominio corrisponde l’indirizzo IP del server che lo ospita, in genere una sequenza numerica del tipo 151.139.128.11 (l’indirizzo IP del server che ospita il sito flashstart.com). Questo processo si chiama ricerca del DNS.

La ricerca del DNS avviene “saltando” da un server all’altro, da una lista all’altra. Appena si ha la conferma da più parti che a un sito corrisponde un certo indirizzo IP, l’accoppiamento è autenticato e il browser attiva il collegamento e noi vedremo il sito o la pagina richiesti. Tutto il processo avviene in frazioni di secondo, al punto che nessuno si accorge di quanti salti da un server all’altro si facciano prima che si visualizzi il sito voluto.

Abilitare i DNS over Https significa avere la garanzia che i vari passaggi che intercorrono tra la nostra richiesta e il server che contiene il sito web desiderato siano sicuri. Perché la ricerca del DNS è un percorso potenzialmente ricco di ostacoli.

2. Perché è meglio navigare via Https

Infatti, la ricerca tradizionale del DNS non è crittografata. Cosa significa? Che tutta l’attività che esegue il browser, o l’Internet Provider, dell’utente è visibile a chi sa come intercettarla. Ogni passaggio da un server all’altro fino a raggiungere il dominio desiderato è “in chiaro”. Questo se si naviga seguendo il classico protocollo Http, ovvero l’insieme delle regole definite dal creatore del Web, Tim Berners-Lee, al Cern di Ginevra nel 1989. Tutti i computer e i browser web seguono le regole di quel protocollo per permettere la navigazione sul Web.

Oggi, però, è chiaro a tutti che il protocollo Http non è sicuro, perché? Intanto perché il processo non prevede di verificare di che tipo sia il sito che si vuole visitare. Dunque, il sito richiesto potrebbe contenere materiale pedopornografico o di qualsiasi natura offensiva. Oppure, potrebbe contenere elementi dannosi che possono scatenare un malware o un trojan. E, ancora, non si può sapere se è un sito di phishing.

Ma c’è anche un altro problema che si chiama avvelenamento del DNS. Si tratta di cyberattacchi particolari e molto diffusi, di cui purtroppo si parla poco. In pratica, i cybercriminali possono modificare le tabelle DNS contenute nei server visitati per esaudire una richiesta. La modifica è semplice: sostituire l’indirizzo IP con un altro in modo che il DNS reindirizzi verso un sito diverso da quello richiesto, ma il processo di ricerca del DNS non lo può sapere! Così, un cybercriminale può intercettare facilmente un percorso di ricerca del DNS partito dal computer dell’utente e modificarlo.

Lo “spoofing” della navigazione ha come conseguenza che il cybercriminale saprà tutto sui siti visitati e potrà intercettare le informazioni che un utente inserisce in una pagina web, per esempio le credenziali di accesso al sito della propria banca. Oppure potrà far credere all’utente di essere finito nel sito della banca ma, in verità, è finito in un sito “civetta” costruito identico e apposta per rubare credenziali riservate (phishing).

In buona sostanza, è meglio effettuare una piccola modifica in modo che il traffico web sia crittografato, questo significa utilizzare il protocollo Https, dove la S finale sta, evidentemente, per Security.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Attiva subito una prova gratuita


3. Come si fa ad attivare il DNS over Https (DoH)

La funzionalità DNS over HTTPS (DoH) è stata introdotta per impedire agli aggressori di monitorare le abitudini di navigazione o reindirizzarti a siti Web dannosi semplicemente spiando il traffico DNS. Attraverso il DoH si protegge la ricerca del DNS crittografando il traffico usando il protocollo Https.

È possibile attivare il DNS over Https in ogni computer, dispositivo o programma di navigazione. È facile ed è gratuito. A partire dal 2022, in tutte le reti aziendali basate su Windows e con Active Directory, per esempio, è presente il supporto DNS over Https. Anche Apple ha annunciato il supporto DNS su Https (DoH), e il provider Cloudflare offre il suo strumento DoH per tutti i sistemi operativi mobili e desktop.

Inoltre, molti browser Web, inclusi Google Chrome, Firefox, Safari e Edge di Microsoft, supportano il DoH. In questo modo è possibile abilitarlo sul browser, se non ce la sentiamo di “smanettare” a livello di sistema operativo. Ma è importante segnalare che l’abilitazione di DoH nel tuo sistema operativo, proteggerà la navigazione anche da eventuali applicazioni e servizi che non supportano DoH e che potresti usare quotidianamente.

4. Perché abilitare DoH non è la scelta migliore

L’utilizzo della funzione DoH a livello di sistema operativo, di browser, di fornitore di accesso a Internet (Internet Provider) non è la scelta migliore che si possa fare per proteggere la navigazione, soprattutto nelle aziende, nella Pubblica Amministrazione e negli Istituti di Istruzione.

Attivare in DNS over Https, infatti, è (anche) un modo per aggirare eventuali criteri di restrizione della navigazione. In pratica, il DNS over Https crea un meccanismo che sovrascrive le impostazioni DNS impostate centralmente da chi gestisce la rete aziendale. Ciò comporta un rischio di sicurezza per i cosiddetti endpoint – computer o smartphone che accedono a una rete aziendale – in cui si applicano regole personalizzate per la navigazione, con l’utilizzo di un servizio apposito, il filtro DNS.

In pratica, il DNS over Https interferisce con i filtri DNS e le impostazioni predefinite che un’azienda impone a chiunque utilizzi la propria rete per navigare su Internet. E questo è un serio problema.


>> FlashStart è leader nella competitività → Attiva subito una prova gratuita


5. Meglio proteggere la navigazione con un filtro DNS

In conclusione, è meglio disattivare il DNS over Https e affidarsi a strumenti molto più affidabili. Parliamo dei filtri (a livello di) DNS che, senza entrare in troppi tecnicismi, possiamo tranquillamente affermare che ci fanno dormire tra due guanciali, anche quando nostro figlio adolescente si impossessa del computer e si collega inconsciamente alla rete aziendale.

Un filtro DNS controlla la bontà del server che ha quell’indirizzo, non cadendo nei trucchi che possono usare i malintenzionati nel mascherare i nomi di dominio, i contenuti delle pagine web e modificare il percorso tra la richiesta e il sito. Il filtro DNS controlla se l’indirizzo di quel server è inserito in una black list. E le black list che sfrutta un filtro professionale sono di gran lunga più complete e aggiornate di un qualsiasi tool gratuito di controllo dell’accesso ai siti. Inoltre, proprio per mostrare il massimo delle sue potenzialità, la personalizzazione di un servizio di filtraggio DNS prevede la disattivazione dell’eventuale DNS over Https. 


>> FlashStart è totalmente in Cloud e facilmente attivabile → Provalo ora


FlashStart fornisce soluzioni di filtraggio DNS disponibili per aziende, scuole e istituzioni, ma anche per la navigazione casalinga. Ed è un’alternativa allo stesso tempo potente ed economica. Inoltre, il valore della soluzione FlashStart rientra nella capacità di analizzare con una qualità superiore di un qualsiasi filtro gratuito tutte le fermate di un percorso che fa una richiesta di accesso a un sito. Ma il filtro DNS di FlashStart si distingue anche per usare algoritmi di machine learning per escludere a priori i percorsi pericolosi velocizzando così il controllo. In più, FlashStart è in grado di utilizzare registri DNS più aggiornati e più affidabili nell’analisi dei percorsi da utente al sito richiesto. 

Capace di filtrare circa 2 miliardi di query di siti Web, FlashStart DNS ogni giorno protegge la navigazione di 25 milioni di utenti, è presente in più di 150 Paesi nel mondo e in circa 12mila tra aziende, scuole e pubbliche amministrazioni e viene erogato, anche sottoforma di servizio, da 700 partner certificati.

Riassumiamo le caratteristiche di FlashStart DNS Filter:

» Aggiornamento frequente delle blacklist: FlashStart verifica 200mila nuovi siti al giorno.
» Bassa latenza garantita (significa velocità tra richiesta e accesso).
» 90 categorie di siti dannosi e geoblocking per isolare i Paesi pericolosi
» Uso dell’Intelligenza Artificiale per migliorare la qualità delle blacklist e per la latenza
» Facilità di configurazione e personalizzazione
» Integrazione nativa con Active Directory di Microsoft per velocizzare il lavoro degli amministratori di sistema di Scuole, Istituzioni e PMI
» Protezione LAN mondiale e il roaming sugli end point via rete Anycast.


>> FlashStart è leader nella sicurezza Internet in cloud e protegge contro malware e contenuti indesiderati → Attiva subito una prova gratuita


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.