Aggiornato il: 27-06-2022 11:00
Che cos’è DNSSEC?
DNSSEC è un acronimo, e sta per Domain Name System Security Extensions (Estensioni di Sicurezza del DNS): si tratta di una caratteristica tecnica che molti registrar mettono a disposizione. Esso permette a chi registra domini internet di apporre una firma digitale sulle informazioni che vengono registrate all’interno dei record DNS. Questo serve ad una cosa molto importante, cioè evitare che il DNS sia alterato o corrotto, accidentalmente o intenzionalmente.
Il problema risolto da DNSSEC
La risoluzione del DNS è una delle fasi cruciali dell’attuale funzionamento di internet: esso permette, infatti, di associare gli IP numerici ai nomi di domini, e viceversa i nomi di dominio agli IP, permettendo cosଠalla rete internet di funzionare. Il problema della risoluzione del DNS a livello di sicurezza informatica è molto importante, dato che (a differenza di HTTPS che, ad esempio, protegge la comunicazione tra client e server da occhi indiscreti) sul DNS, di suo, non esiste alcun protocollo di sicurezza consolidato.
Per quanto il problema della sicurezza del DNS ad oggi non abbia ancora previsto uno standard vero e proprio, rimane un aspetto fondamentale da comprendere e in qualche modo proteggere: la risoluzione DNS potrebbe infatti essere corrotta o manipolata ad arte, ad esempio per dirottare traffico su siti di spam o phishing, ad esempio, e spesso sfruttando tecniche insospettabili e difficili da rilevare.
DNSSEC è, in tal senso, una delle proposte più concrete che ci siano oggi sul mercato.
A cosa serve DNSSEC?
DNSSEC (acronimo per Domain Name System SECurity Extensions) cerca di risolvere le problematiche annesse alla sicurezza del DNS (il cosiddetto DNS poisoning, su tutti) mediante uno standard stabilito dalla IETF (Internet Engineering Task Force), che ha stilato una serie di requisiti e di possibili “reazioni” (documento ufficiale di riferimento: rfc3833) che l’algoritmo DNSSEC cerca di prevedere e risolvere in automatico, in caso di vari tipi di attacchi informatici.
DNSSEC aiuta a proteggere Internet, gli utenti finali, le aziende, le organizzazioni e i governi. Riduce la vulnerabilità agli attacchi, verifica e protegge i dati DNS, il che consente di fidare i dati in applicazioni al di fuori del DNS.
Come funziona DNSSEC?
In prima istanza DNSSEC protegge la cache del DNS, che spesso viene utilizzata per risolvere più rapidamente le richieste più frequenti sui nomi di dominio e che spesso è oggetto di attacchi informatici specifici, in grado di dirottare le richieste dei client nei modi più imprevedibili (ad esempio, aprire un sito come apple.com e ritrovarsi su un altro contenuto in modo subdolo: si tratta di un attacco informatico omografico, ed è già successo).
Due parti di DNSSEC devono essere abilitate affinchà© funzioni tutto: i registrar, che sono responsabili della pubblicazione delle informazioni DNS, devono assicurarsi che i loro dati DNS siano firmati da DNSSEC. Gli operatori di rete, dal canto loro, devono abilitare la convalida DNSSEC sui loro resolver che gestiscono le ricerche DNS per gli utenti.
L’idea di DNSSEC è quella di crittografare ed apporre una firma digitale sulle zone del DNSSEC, in modo da poter verificare la coerenza della chiamata al DNS stesso e risolverla solo se risponde a determinati requisiti. Qualsiasi record, da quelli CNAME a quelli A, passando per i TXT e per i MX (per la posta elettronica) può essere protetto con DNSSEC, sfruttando una varietà di tecnologie crittografate come ad esempio:
- Certificate Records
- SSH fingerprints
- IPSec
- TLS Trust Anchors
DNSSEC è sicuro?
In genere sà¬, ma bisogna capire bene cosa fa per esprimersi a riguardo. Pi๠nel dettaglio, DNSSEC si occupa di autenticare le risposte del DNS, ma non di fornire dati confidenziali o protetti digitalmente: questo significa, in altri termini, che le risposte gestite lato DNS non sono crittografate a livello di dati, ma sono solo soggette ad autenticazione (come se fossero legate ad una password segreta che permette di verificare internamente l’associazione IP – dominio e viceversa).
Per quanto non sia una rimedio sicuro al 100% contro gli attacchi Denial of Service (DoS), permette comunque di limitarlo almeno in parte.
Chi usa il DNSSEC?
Al momento solo alcune estensioni fanno uso di questo standard, che formalmente è ancora un draft (cioè una bozza orientativa non a carattere di vero e proprio standard) per cui non esiste un vero e proprio modello standard a cui i TLD possano adeguarsi.
L’adozione del DNSSEC è attualmente al vaglio su varie estensioni di dominio, per quanto in Svezia sia stato adottato sui domini .se già dal 2014, mentre nel nostro paese è stato adeguato dal NIC dei domini .it più recentemente nel 2018. Questa tecnologia è già in corso di utilizzo, inoltre, per ulteriori estensioni geografiche come ad esempio: .nl, .no, .be e .hu. A livello statistico, pare che solo un’estensione di dominio su dieci supporti DNSSEC.
(fonte)
