La sicurezza della navigazione ed il rispetto della riservatezza dovrebbero essere date per scontate mentre siamo su in Internet. Questo non accade, principalmente a causa del fatto che Internet ed il Web non furono creati con tali finalità. Gli avanzamenti tecnologici però forniscono una serie di strumenti avanzati che permettono di verificare il livello di sicurezza della navigazione. Il primo anello di debolezza della catena (ma non l'unico) è il browser, che deve supportare una serie di tecnologie di sicurezza.
Useremo il servizio noto come BESC, messo a disposizione da Cloudflare, una società americana specializzata in Content Delivery Network (CDN), servizi di sicurezza Internet e servizi di DNS distribuiti.
Browser Experience Security Check (BESC)
Il controllo da fare è il seguente:
- accedere alla pagina del BESC: https://www.cloudflare.com/ssl/encrypted-sni/
- premere il pulsante Check my browser
- il risultato a cui dovete aspirare è il seguente:
I segni di spunta in verde indicano che tutti e quattro i controlli di sicurezza sono stati superati con successo. Se non è così, le criticità sono segnalate con una icona a forma di X rossa e dovreste seriamente preoccuparvi di cambiare il modo in cui navigate.
NOTA BENE: passare con successo tutti i test è una condizione necessaria ma non sufficiente alla riservatezza. In altri termini, è assolutamente necessario che il browser che usate supporti le tecnologie dei test, ma questo non significa che potete visitare "impunemente" (ossia senza rischi) qualunque dominio/sito sul web. Viceversa, un solo test fallito implica automaticamente che la navigazione non è riservata.
In condizioni normali, se il browser, i DNS ed i domini/siti visitati supportano tali tecnologie, l'attività di rete si può considerare sicura (purché la macchina con cui si naviga non sia stata compromessa in altro modo, per esempio da un malware).
Le tecnologie di sicurezza indispensabili
Le seguenti tecnologie devono essere supportate sia dal browser che dai DNS che usate; sono anche le uniche che potete controllare e configurare sul vostro sistema (se visitate siti Web di dubbia reputazione non c'è nulla su cui possiate intervenire):
- Secure DNS: le query DNS inviate dal browser viaggiano in chiaro (se non sapete cos'è il sistema DNS leggete l'articolo dedicato), questo significa che chiunque sia "in ascolto" su Internet ed intercetta la vostra navigazione, può vedere quali siti visitate. Affinché le query DNS provenienti dal vostro computer rimangano private, dovete usare un servizio di DNS criptato, in modo che neanche l'ISP (Internet Service Provider, il fornitore della connessione ad Internet), possa ficcanasare nella vostra navigazione.
- DNSSEC: verifica l'autenticità e l'integrità (ma non la riservatezza) della risposta del DNS server (in altri termini: controlla che la risposta ad una vostra query DNS provenga veramente da chi vi aspettate che provenga). Questo significa che un malintenzionato non può falsificare la risposta ad una vostra query ridirigendo il vostro traffico verso un server maligno controllato da lui.
- TLS 1.3: è l'ultima versione (al momento in cui questo articolo viene scritto) del protocollo TLS (Transport Layer Security), che permette una comunicazione sicura su Internet (e, più in generale, sulle reti basate sulla suite di protocolli TCP/IP). In particolare, gestisce le comunicazioni cifrate nel protocollo HTTPS. Tutti i browser più moderni dovrebbero supportare TLS 1.3 (verificate il risultato del test).
- Encrypted SNI: è una estensione di TLS 1.3. Anche quando protetti dal protocollo TLS, lo SNI (Server Name Indication) espone in chiaro l'host a cui ci si connette, il che implica che l'attività di rete può essere tracciata. Lo SNI criptato invece applica la cifratura anche all'host. In pratica, Encrypted SNI impedisce alle organizzazioni (non solo gli ISP, ma anche i proprietari di Internet Café o altro tipo di locali dotati di connessione ad Internet) di tracciare la navigazione su TLS.
- ECH: un'analisi più approfondita della specifica ha mostrato che la cifratura ESNI non forniva protezione sufficiente così, per rimediare a certe carenze tecniche, è stato introdotto l'Encrypted Client Hello (ECH), una estensione di TLS che aumenta significativamente la privacy dell'Internet Protocol (IP), come spiegato esaurientemente in https://blog.cloudflare.com/encrypted-client-hello/. Da notare che la disponibilità dell'ECH può essere intermittente, poiché richiede che sial il client (in questo caso il browser) che il server supportino la stessa versione.
Cosa fare se qualche test fallisce
Supponendo che stiate navigando da un computer non compromesso (ossia senza malware di alcun tipo), sono due le cose fondamentali da fare:
- usare un browser quanto più moderno possibile e configurarlo in modo opportuno (vi suggerisco caldamente Mozilla Firefox in ultima versione: proseguite nella lettura e capirete il perché);
- assicurarsi di usare un DNS che supporti tutte le tecnologie di test: come molte altre caratteristiche di Internet, usare un DNS adeguato è l'unico modo per stare più tranquilli. Non importa quali particolari DNS volete usare, purché siano sicuri. DNS (gratuiti) adatti a ciò sono forniti dalla stessa Cloudflare (server DNS i cui numeri IPv4 sono 1.1.1.1 e 1.0.0.1, mentre quelli IPv6 sono 2606:4700:4700::1111 e 2606:4700:4700::1001). Se avete la necessità di cambiare i DNS e non sapete come fare, potete seguire uno dei link in fondo a questo articolo, nella sezione POTREBBE INTERESSARTI ANCHE…).
Perché usare Mozilla Firefox
Al momento in cui questo articolo viene scritto, Mozilla Firefox per PC è l'unico browser a supportare pienamente tutte le tecnologie di sicurezza testate dal BESC.
Cionondimeno, è necessario controllare e configurare in modo opportuno alcune voci:
- aprire Firefox;
- nella barra degli indirizzi, digitare about:preferences#privacy e premere Invio (in alternativa, andate nelle opzioni di Firefox, sezione Privacy e sicurezza). In questa pagina occorre disattivare la raccolta dei dati di telemetria (sezione Raccolta e utilizzo dei dati di Firefox). Personalmente vi suggerisco disattivare quante più opzioni possibili che possano compromettere la privacy (cronologia, eliminazione cookie a fine sessione, ecc.), tuttavia questo dipende dalle vostre abitudini;
- abilitare il supporto a Secure DNS ed Encrypted SNI: nella barra degli indirizzi, digitare about:config e premere Invio, infine premere il pulsante di accettazione dei rischi;
- per abilitare Encrypted SNI, cercare l'opzione network.security.esni.enabled ed impostarne il valore a true (vero) con un doppio click del tasto sinistro del mouse;
- per abilitare Secure DNS, cercare l'opzione network.trr.mode, selezionarla con un doppio click, impostarne il valore a 2 (il valore predefinito è 0) e confermare tale valore premendo OK. Infine controllare che la voce network.trr.uri sia impostata a https://mozilla.cloudflare-dns.com/dns-query (dovrebbe essere il valore predefinito);
- Abilitare il supporto a ECH: nella barra degli indirizzi, digitare about:config e premere Invio, infine premere il pulsante di accettazione dei rischi. Per abilitare ECH, cercare le due opzioni:
- network.dns.echconfig.enabled ed impostarne il valore a true (vero) con un doppio click del tasto sinistro del mouse;
- network.dns.use_https_rr_as_altsvc ed impostarne il valore a true (vero) con un doppio click del tasto sinistro del mouse.
- Chiudere Firefox e poi riavviarlo, infine ripetere il test BESC.
Se preferite usare un altro browser, eseguite di tanto in tanto il test BESC e/o controllate come eventualmente attivare le opzioni di supporto alle tecnologie di sicurezza illustrate in questo articolo.
