Che cos’è DNSSEC?

one.com supporta DNSSEC, Domain Name System Security Extensions. Per impostazione predefinita, è abilitato e attivato quando si utilizzano i server dei nomi .com. In questo articolo, spieghiamo di più su DNSSEC.

Per comprendere DNSSEC, è utile avere una comprensione delle basi del DNS (Domain Name System). Per un aggiornamento, puoi consultare la nostra guida: Che cos'è il DNS?

Cos'è DNSSEC?

Il DNS di per sé non è sicuro. Per aggiungere protezione, è stato creato DNSSEC. Si tratta di un insieme di estensioni che aggiungono un ulteriore livello di sicurezza alla zona DNS firmandola digitalmente. Se un nome di dominio utilizza DNSSEC, i record DNS vengono forniti con firme crittografiche (chiavi di sicurezza).

Queste firme vengono convalidate dai resolver DNS, garantendo che le informazioni DNS provengano dal server DNS corretto. In questo modo, il record non può essere alterato o falsificato e non è stato manomesso durante il trasporto. Ciò fornisce un modo sicuro per accedere al tuo sito Web e ai servizi online.

Cosa protegge DNSSEC?

Il DNS è vulnerabile a una serie di attacchi basati su DNS, come lo spoofing DNS, il dirottamento e l'avvelenamento della cache. Questi attacchi possono avere gravi conseguenze, tra cui il reindirizzamento degli utenti a siti Web dannosi o fraudolenti, il furto di informazioni sensibili o l'interruzione del normale funzionamento di Internet.

I domini firmati DNSSEC garantiscono l'autenticità e l'integrità dei dati DNS scambiati tra le zone firmate. Migliorare l'affidabilità e la sicurezza complessiva dell'infrastruttura DNS in una singola zona.

I dati DNS non sono crittografati né forniscono protezione della privacy dei dati. TLS / SSL crittografa i dati scambiati tra client e server per proteggere vari protocolli Internet, tra cui la navigazione Web (HTTPS) e la posta elettronica (SMTP, IMAP). D'altra parte, un certificato SSL non offre protezione contro lo spoofing, mentre DNSSEC lo fa. Scopri di più su SSL nei nostri articoli in questa sezione.

Suggerimento: se vuoi saperne di più su cos'è DNSSEC e perché è importante, consulta questo articolo di ICANN 

Come gestire DNSSEC

DNSSEC è abilitato e attivato per impostazione predefinita quando si utilizzano i server dei nomi di uno.com. Nel caso in cui si desideri disattivare, attenersi alla seguente procedura:

  1. Accedi al pannello di controllo one.com.
  2. Fai clic su Impostazioni DNS nel riquadro Impostazioni avanzate .
  3. Fare clic sulla scheda Server dei nomi.
  4. Nell'amministrazione del server dei nomi, fare clic sulla scheda DNSSEC.
  5. Fare clic sul pulsante Disattiva .

Deactivate_DNSSEC.gif

Come verificare che DNSSEC funzioni

È possibile utilizzare uno strumento di convalida basato sul Web per verificare se la configurazione DNSSEC funziona per il dominio. Ne abbiamo elencati due di seguito. Controllano se i record DNS del tuo dominio sono stati firmati correttamente e possono essere verificati dai resolver DNS; Forniscono anche un rapporto su eventuali problemi o errori.

  • DNSViz.net - Fornisce una rappresentazione visiva. Dovresti vedere solo "Sicuro" nella colonna di sinistra.

  • DNSSEC-Analyzer.VeriSignLabs.com - Fornisce informazioni dettagliate. Dovresti vedere solo i segni di spunta verdi.

Hai attivato DNSSEC tramite il one.com Pannello di controllo? Quindi la verifica potrebbe richiedere fino a 24 ore. Una barra verde con il messaggio di successo è visibile quando viene attivata correttamente, come mostrato nello screenshot qui sotto. Quando si visita nuovamente la pagina, questa notifica non verrà più visualizzata.

DNSSEC_active.png

Stai usando i nostri name server?

DNSSEC viene disattivato automaticamente se si passa a server dei nomi esterni. La notifica nello screenshot qui sotto verrà quindi mostrata nel one.com Pannello di controllo sotto "Impostazioni DNS" > "Server dei nomi" > "DNSSEC". Quando DNSSEC è abilitato tramite il provider DNS esterno e attivato lì, è necessario aggiungere manualmente i record DS con noi. 

DNSSEC_external_nameserver.png

Aggiunta di record DS

I record DS (Delegation Signer) sono un componente essenziale di DNSSEC. Consentono di delegare l'attendibilità da una zona padre a una zona figlio, nota come "catena di attendibilità". Il record DS viene utilizzato per verificare l'autenticità delle zone figlio. I record DS vengono configurati automaticamente quando il dominio utilizza uno .com server dei nomi.

Quando i server dei nomi .com uno non vengono utilizzati, è possibile aggiungere manualmente i record DS tramite il Pannello di controllo one.com. È possibile ottenere i 4 valori necessari, KeyTag, Algoritmo, Tipo digest e Digest, dal provider del server dei nomi o tramite uno strumento generatore. Quindi attenersi alla seguente procedura per creare il record DS:

  1. Accedi al pannello di controllo one.com.
  2. Fai clic su Impostazioni DNS nel riquadro Impostazioni avanzate .
  3. Fare clic sulla scheda Server dei nomi.
  4. Nell'amministrazione del server dei nomi, fare clic sulla scheda DS Records.
  5. Inserisci il valore nei 4 campi separati per KeyTag, Algoritmo, Tipo digest e Digest
  6. Fai clic su Salva.
  7. Ora inizierà a caricare i record DNS esistenti. Mostrerà una barra verde con un messaggio di successo se aggiunto correttamente.
Nota: l'aggiunta di record DNS errati può causare tempi di inattività del sito Web. Sei invitato a contattare il nostro supporto per assistenza se sei preoccupato per qualsiasi cosa sulle impostazioni DNS.

DNSSEC_DS_records.png

 

Articoli Correlati:

Questo articolo ti è stato utile?

Non riesci a trovare ciò che ti interessa?

Siamo a tua disposizione.

Chatta con noi in inglese 24/7 - oppure scegli un'altra lingua supportata

rispondere il più presto possibile