Che cos’è il DNSSEC

Che cos’è il DNSSEC

La risoluzione del DNS è una delle fasi cruciali dell’attuale funzionamento di internet: esso permette, infatti, di associare gli IP numerici ai nomi di domini, e viceversa i nomi di dominio agli IP, permettendo così alla rete internet di funzionare. Il problema della risoluzione del DNS a livello di sicurezza informatica è molto importante, dato che (a differenza di HTTPS che, ad esempio, protegge la comunicazione tra client e server da occhi indiscreti) sul DNS non esiste alcun protocollo di sicurezza consolidato. Per quanto il problema della sicurezza del DNS ad oggi non abbia ancora previsto uno standard vero e proprio, rimane un aspetto fondamentale da comprendere e in qualche modo proteggere: la risoluzione DNS potrebbe infatti essere corrotta o manipolata ad arte, ad esempio per dirottare traffico su siti di spam o phishing, ad esempio, e spesso sfruttando tecniche insospettabili e difficili da rilevare.

Cosa fa DNSSEC?

DNSSEC (acronimo parziale per Domain Name System SECurity Extensions) cerca di venire incontro a questo genere di attività (il DNS poisoning, su tutti) mediante uno standard stabilito dalla IETF (Internet Engineering Task Force), che ha stilato una serie di requisiti e di possibili “reazioni” (vedi rfc3833) che l’algoritmo DNSSEC cerca di prendere in automatico, in caso di vari generi di attacchi informatici.

In prima istanza DNSSEC protegge la cache del DNS, che spesso viene utilizzata per risolvere più rapidamente le richieste più frequenti sui nomi di dominio e che spesso è oggetto di attacchi informatici specifici, in grado di dirottare le richieste dei client nei modi più imprevedibili (ad esempio, aprire un sito come apple.com e ritrovarsi su un altro contenuto in modo subdolo: si tratta di un attacco informatico omografico, ed è già successo). L’idea di DNSSEC è quella di crittografare ed apporre una firma digitale sulle zone del DNSSEC, in modo da poter verificare la coerenza della chiamata al DNS stesso e risolverla solo se risponde a determinati requisiti. Qualsiasi record, da quelli CNAME a quelli A, passando per i TXT e per i MX (per la posta elettronica) possono essere protetti con DNSSEC, sfruttando una varietà di tecnologie crittografate specifiche: Certificate Records, SSH fingerprints, IPSec e TLS Trust Anchors.

Pubblicità:

DNSSEC è sicuro?

In genere sì, ma bisogna capire bene cosa fa per esprimersi a riguardo. Più nel dettaglio, DNSSEC si occupa di autentificare le risposte del DNS ma non di fornire dati confidenziali o protetti digitalmente: questo significa, in altri termini, che le risposte gestite lato DNS non sono crittografate a livello di dati ma sono solo soggette ad autenticazione (come se fossero legate ad una password segreta che permette di verificare internamente l’associazione IP – dominio e viceversa). Per quanto non sia una rimedio sicuro al 100% contro gli attacchi Denial of Service (DoS), permette comunque di limitarlo almeno in parte.

Chi usa il DNSSEC?

Al momento solo alcune estensioni fanno uso di questo standard, che formalmente è ancora un draft (cioè una bozza orientativa non a carattere di vero e proprio standard) per cui non esiste un vero e proprio modello standard a cui i TLD possano adeguarsi. L’adozione del DNSSEC è attualmente al vaglio su varie estensioni di dominio, per quanto in Svezia sia stato adottato sui domini .se già dal 2014, mentre nel nostro paese è stato adeguato dal NIC dei domini .it più recentemente nel 2018. Questa tecnologia è già in corso di utilizzo, inoltre, per ulteriori estensioni geografiche come ad esempio: .nl, .no, .be e .hu. A livello statistico, pare che solo un’estensione di dominio su dieci supporti DNSSEC.

Devi cambiare hosting sul tuo sito?

Guarda questa offerta:


Siteground

(fonte)


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.