Preparazione della rete o del server web per iCloud Private Relay

iCloud Private Relay è un nuovo servizio di tutela della privacy su internet offerto come parte di un abbonamento iCloud+ che consente agli utenti di iOS 15, iPadOS 15 e macOS Monterey di connettersi e navigare sul web in modo più riservato e sicuro. Private Relay protegge la navigazione web in Safari, la risoluzione di query DNS e il traffico http non sicuro nelle app. Le configurazioni internet impostate tramite Private Relay utilizzano indirizzi IP anonimi che eseguono l’associazione all’area geografica in cui si trova un utente senza rivelarne la località o l’identità esatta. Scopri come offrire la migliore esperienza possibile agli utenti di Private Relay che navigano sulla tua rete.

Panoramica

iCloud Private Relay utilizza un’innovativa architettura multi-hop in cui le richieste vengono inviate tramite due internet relay separati gestiti da entità diverse. In questo modo, nessuna singola parte, inclusa Apple, può visualizzare o acquisire i dettagli dell’attività di navigazione degli utenti. Private Relay verifica che il client connesso sia un iPhone, iPad o Mac, così avrai la certezza che le connessioni vengano effettuate da un dispositivo Apple. Private Relay sostituisce l’indirizzo IP originale dell’utente con un indirizzo assegnato dall’intervallo di indirizzi IP utilizzati dal servizio. L’indirizzo IP di relay assegnato potrebbe essere condiviso da più persone che utilizzano Private Relay nella stessa zona. L’indirizzo IP di relay presentato alle reti e ai server web rappresenta precisamente la posizione del client a livello di città, consentendo alla rete di ricevere informazioni pertinenti quando qualcuno tenta di applicare restrizioni basate sull’area geografica dell’indirizzo IP.

Operatori di rete

Ottimizzazione per le connessioni di Private Relay

iCloud Private Relay utilizza QUIC, un nuovo protocollo di trasporto standard basato su UDP. Le connessioni QUIC in Private Relay vengono configurate tramite la porta 443 e TLS 1.3, perciò assicurati che la tua rete e il tuo server siano in grado di gestirle.

Scopri come gestire le connessioni QUIC sulla tua rete (inglese)

Attivazione dell’audit sul traffico di rete

La policy di alcune reti aziendali o scolastiche potrebbe richiedere l’audit di tutto il traffico di rete. In questi casi, la tua rete potrebbe bloccare l’accesso a Private Relay. L’utente riceve un avviso che gli richiede o di disattivare Private Relay sulla tua rete o di sceglierne un’altra.

Il modo più rapido e sicuro di avvisare gli utenti è inviare una risposta “no error no answer” o una risposta NXDOMAIN dal risolutore DNS della tua rete, impedendo la risoluzione dei seguenti nomi host DNS utilizzati dal traffico di Private Relay. Per impedire che i dispositivi del client subiscano ritardi, evita di causare timeout di risoluzione DNS o di perdere silenziosamente pacchetti IP inviati al server di Private Relay.

mask.icloud.com 
mask-h2.icloud.com

Server web

Accesso ai feed di geolocalizzazione dell’IP

Se gestisci un server web, puoi localizzare i tuoi contenuti o limitare l’accesso in base all’area geografica di un client. Per aggiornare i feed con le mappature più recenti, contatta il provider del tuo database di geolocalizzazione IP. Molti provider di database di geolocalizzazione IP, inoltre, annotano questi indirizzi come “iCloud Private Relay”, così puoi riconoscerli facilmente sui tuoi server.

Private Relay conserva l’area geografica in cui si trova l’utente, così il tuo server può considerare attendibile l’area geografica assegnata all’indirizzo IP visualizzato. Di default, le connessioni sono associate anche alla città più vicina al client, consentendoti così di avere contenuti sempre pertinenti. Puoi accedere anche alle nostre serie di indirizzi IP e località più recenti.

Accesso ai feed di geolocalizzazione dell’IP (inglese)

Attendibilità delle connessioni di Private Relay

Tutte le connessioni che utilizzano Private Relay verificano che il client sia un iPhone, iPad o Mac e che il cliente abbia un abbonamento iCloud+ valido. Private Relay applica diverse tecniche di protezione contro le frodi e l’uso improprio, come i token di autenticazione monouso e la limitazione della velocità. In questo modo, solo i dispositivi e gli account Apple validi che soddisfano tutti i requisiti possono utilizzare Private Relay. Inoltre, l’indirizzo IP di relay rimane invariato per tutta la sessione di navigazione del dispositivo, così, mentre l’utente interagisce con il tuo sito web, vedrai sempre lo stesso indirizzo.

Il rilevamento frodi tradizionale che si basa esclusivamente sugli indirizzi IP potrebbe aver bisogno di un aggiornamento per garantire che gli utenti legittimi non vengano colpiti. Valuta la possibilità di trattare questi indirizzi come indirizzi IP aziendali o Carrier-Grade NAT su più ampia scala per giustificare questo tipo di traffico, dal momento che più utenti di Private Relay potrebbero condividere un unico indirizzo IP di relay.

Altre risorse