La scorsa settimana il team di Firefox ha annunciato che DNS-over-HTTPS verrà utilizzato di default per le query DNS. Tuttavia l'implementazione del protocollo DoH scelta dal team di Mozilla starebbe suscitando dissenso all'interno della community.
Il servizio DoH di Firefox è basato sul DNS 1.1.1.1 di Cloudflare. Di fatto Mozilla starebbe dunque "forzando" gli utenti che vogliono sfruttare questa nuova funzionalità a far passare il loro traffico dati sui server di Cloudflare.
Questa scelta è stata però occasione per numerose critiche. Cloudflare infatti non permette ai partner di accedere ai dettagli della sua infrastruttura DNS, inoltre la società non ha mai rilasciato documenti che spieghino come agisce il sistema di caching di 1.1.1.1 né come il DNS sia correlato all'utente finale e l’applicazione usata.
Dunque per la community, e per alcuni ricercatori di sicurezza, risulta essere molto complicato prevedere eventuali attacchi o rilevare falle nel sistema DNS di Cloudflare.
A causa della natura "opaca" di 1.1.1.1 il team di OpenBSD ha deciso di prendere provvedimenti. In questi giorni Peter Hessler, sviluppatore del progetto, ha annunciato che il pacchetto di Firefox presente nei repository della distribuzione avrà il DoH disabilitato:
https://twitter.com/phessler/status/1171358689342697473
Secondo il developer concentrare tutto il traffico dell'utente, anche se in forma anonima e criptata, sui server di Cloudflare sarebbe un errore.
Altri utenti fanno inoltre notare che gran parte dei DNS server di Cloudflare si trovano nel territorio USA, dove sostanzialmente si è esposti al rischio di essere tracciati dal governo statunitense.
Quella di Mozilla sembra essere dunque un'ottima idea attuata con l'approccio sbagliato. Affidarsi ad un unico DNS resolver per la propria implementazione di DoH potrebbe portare moltissimi utenti a cambiare browser oppure a disabilitare la feature, rinunciato quindi ad una navigazione più sicura.
Per risolvere tale problematica Mozilla potrebbe rivedere la propria implementazione di DoH in modo da concedere all'utente la scelta del provider da utilizzare. Diversi utenti hanno poi suggerito alla fondazione di valutare il modello scelto da Google per il browser Chrome. L'azienda di Mountain View ha infatti deciso di collaborare direttamente con i vari provider DNS per assicurare che DoH non sia d'intralcio ai loro filtri per i contenuti network-based.
Via Ungleich