Vai al contenuto

Che cos’è il DNSSEC

DNSSEC

Aggiornato il: 03-04-2023 07:47

Che cos’è DNSSEC?

DNSSEC è un acronimo, e sta per Domain Name System Security Extensions (Estensioni di Sicurezza del DNS): si tratta di una caratteristica tecnica che molti registrar mettono a disposizione. Esso permette a chi registra domini internet di apporre una firma digitale sulle informazioni che vengono registrate all’interno dei record DNS. Questo serve ad una cosa molto importante, cioè evitare che il DNS sia alterato o corrotto, accidentalmente o intenzionalmente.

Navigare al sicuro? Proteggi la tua connessione su internet con NordVPN (clicca qui)

Il problema risolto da DNSSEC

La risoluzione del DNS è una delle fasi cruciali dell’attuale funzionamento di internet: esso permette, infatti, di associare gli IP numerici ai nomi di domini, e viceversa i nomi di dominio agli IP, permettendo cosଠalla rete internet di funzionare. Il problema della risoluzione del DNS a livello di sicurezza informatica è molto importante, dato che (a differenza di HTTPS che, ad esempio, protegge la comunicazione tra client e server da occhi indiscreti) sul DNS, di suo, non esiste alcun protocollo di sicurezza consolidato.

Per quanto il problema della sicurezza del DNS ad oggi non abbia ancora previsto uno standard vero e proprio, rimane un aspetto fondamentale da comprendere e in qualche modo proteggere: la risoluzione DNS potrebbe infatti essere corrotta o manipolata ad arte, ad esempio per dirottare traffico su siti di spam o phishing, ad esempio, e spesso sfruttando tecniche insospettabili e difficili da rilevare.

DNSSEC è, in tal senso, una delle proposte più concrete che ci siano oggi sul mercato.

A cosa serve DNSSEC?

DNSSEC (acronimo per Domain Name System SECurity Extensions) cerca di risolvere le problematiche annesse alla sicurezza del DNS (il cosiddetto DNS poisoning, su tutti) mediante uno standard stabilito dalla IETF (Internet Engineering Task Force), che ha stilato una serie di requisiti e di possibili “reazioni” (documento ufficiale di riferimento: rfc3833) che l’algoritmo DNSSEC cerca di prevedere e risolvere in automatico, in caso di vari tipi di attacchi informatici.

Ti potrebbe interessare:  Cosa significa skills - Spiegazione ed esempi

DNSSEC aiuta a proteggere Internet, gli utenti finali, le aziende, le organizzazioni e i governi. Riduce la vulnerabilità  agli attacchi, verifica e protegge i dati DNS, il che consente di fidare i dati in applicazioni al di fuori del DNS.

Come funziona DNSSEC?

In prima istanza DNSSEC protegge la cache del DNS, che spesso viene utilizzata per risolvere più rapidamente le richieste più frequenti sui nomi di dominio e che spesso è oggetto di attacchi informatici specifici, in grado di dirottare le richieste dei client nei modi più imprevedibili (ad esempio, aprire un sito come apple.com e ritrovarsi su un altro contenuto in modo subdolo: si tratta di un attacco informatico omografico, ed è già  successo).

Due parti di DNSSEC devono essere abilitate affinchà© funzioni tutto: i registrar, che sono responsabili della pubblicazione delle informazioni DNS, devono assicurarsi che i loro dati DNS siano firmati da DNSSEC. Gli operatori di rete, dal canto loro, devono abilitare la convalida DNSSEC sui loro resolver che gestiscono le ricerche DNS per gli utenti.

L’idea di DNSSEC è quella di crittografare ed apporre una firma digitale sulle zone del DNSSEC, in modo da poter verificare la coerenza della chiamata al DNS stesso e risolverla solo se risponde a determinati requisiti. Qualsiasi record, da quelli CNAME a quelli A, passando per i TXT e per i MX (per la posta elettronica) può essere protetto con DNSSEC, sfruttando una varietà  di tecnologie crittografate come ad esempio:

  • Certificate Records
  • SSH fingerprints
  • IPSec
  • TLS Trust Anchors

DNSSEC è sicuro?

In genere sà¬, ma bisogna capire bene cosa fa per esprimersi a riguardo. Pi๠nel dettaglio, DNSSEC si occupa di autenticare le risposte del DNS, ma non di fornire dati confidenziali o protetti digitalmente: questo significa, in altri termini, che le risposte gestite lato DNS non sono crittografate a livello di dati, ma sono solo soggette ad autenticazione (come se fossero legate ad una password segreta che permette di verificare internamente l’associazione IP – dominio e viceversa).

Per quanto non sia una rimedio sicuro al 100% contro gli attacchi Denial of Service (DoS), permette comunque di limitarlo almeno in parte.

Ti potrebbe interessare:  Domini .car: come e dove registrarne uno

Chi usa il DNSSEC?

Al momento solo alcune estensioni fanno uso di questo standard, che formalmente è ancora un draft (cioè una bozza orientativa non a carattere di vero e proprio standard) per cui non esiste un vero e proprio modello standard a cui i TLD possano adeguarsi.

L’adozione del DNSSEC è attualmente al vaglio su varie estensioni di dominio, per quanto in Svezia sia stato adottato sui domini .se già  dal 2014, mentre nel nostro paese è stato adeguato dal NIC dei domini .it più recentemente nel 2018. Questa tecnologia è già  in corso di utilizzo, inoltre, per ulteriori estensioni geografiche come ad esempio: .nl, .no, .be e .hu. A livello statistico, pare che solo un’estensione di dominio su dieci supporti DNSSEC.

(fonte)

Questo blog pubblica contenuti ed offre servizi free da 12 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

cyberpunk 12

Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui

Segui il canale Youtube @Tecnocrazia23
Leggi anche:
Tag: