I Domain Name Service sono tra le componenti più antiche dell'infrastruttura delle rete Internet e sono rimasti quasi del tutto invariati nel tempo. Vengono usati per risolvere i nomi di host (riferiti a server o a postazioni remote) in indirizzi IP e vice versa. Vennero implementati per semplificare la gestione degli indirizzi IP in quanto è molto più semplice gestire un nome di un host sotto forma di stringa che un serie di numeri, senza contare la possibilità di attribuire più nomi allo stesso indirizzo IP.

Solitamente le query DNS non vengono crittografate, dunque è possibile che utenti malintenzionati riescano a carpire la cronologia di un altro utente sfruttando le falle presenti all'interno di un sistema. Mozilla ha però in mente una nuova strategia di difesa contro tali evenienze implementando il DNS over HTTPS (DoH) protocol.

Tale protocollo va a criptare tutte le DNS reques/response rendendo estremamente più sicura la navigazione. DoH è stato implementato già a partire da Firefox 62, ma la standardizzazione di questo protocollo è ancora in fase di sviluppo e non tutti i servizi DNS, oltre ai vari provider, supportano DoH. Ecco perché Firefox non lo mantiene abilitato di default.

McManus ha dunque diretto vari test ed esperimenti per risolvere alcuni quesiti:

  • un servizio DNS cloud ha prestazioni sufficienti a sostituire i DNS tradizionali?
  • Un servizio DNS cloud crea più errori di connessione rispetto ai DNS tradizionali?

I test sono stati eseguiti grazie all'aiuto di ben 25,000 utenti di Firefox Nightly 63 e di Cloudflare, l'esperimento ha generato oltre un miliardo di DoH transaction che a seguito delle analisi hanno evidenziato come usare il protocollo HTTPS con un cloud service provider abbia solo un minimo impatto sulle performance di navigazione. Sopratutto per quanto riguarda le non-cached DNS query la differenza con i DNS tradizionali sarebbe minima.

McManus ha ipotizzato che le ragioni di tale risultato siano principalmente due. La prima riguarda la consistency, infatti quando si lavora con migliaia di DNS resolver e sistemi operativi alcuni di essi possono risultare sovraccarichi o scarsamente mantenuti, dunque è normale avere risultati altalenanti. In secondo luogo l'uso di HTTPS durante le operazioni di loss recovery e congestion control permette comunque di operare discretamente su reti molto congestionate o con connessioni di scarsa qualità.

Per quanto riguarda i tassi di errore delle connessioni è stato rilevato che durante l'uso dei servizi cloud con DoH in modalità "soft-fail" non si sono verificati problemi statisticamente rilevanti rispetto ai ratei di errore presenti nei gruppi di controllo che usavano DNS tradizionali. Il modello soft-fail invia la richiesta usando il protocollo DoH e poi, solo nel caso tale richiesta non vada a buon fine, esegue una richiesta secondaria con un DNS tradizionale.

A seguito di tali risultati Mozilla ha confermato la sua strategia riguardo al protocollo DoH, ovvero realizzare un vasto ecosistema di trusted DoH provider che garantiscano livelli di sicurezza e privacy sempre migliori.

Via Mozilla

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *