Strumenti diagnostici di rete

Verifica DNSSEC

Il dominio è firmato e validato?

Che cos'è DNSSEC?

DNSSEC (DNS Security Extensions) firma crittograficamente i record DNS così i resolver possono verificare che non siano stati manomessi, difendendo da cache poisoning e spoofing. Aggiunge una catena di fiducia sopra il DNS ordinario senza cambiare il significato dei record. IPeek interroga un resolver DNS-over-HTTPS con convalida e segnala se il dominio è firmato e autenticato.

Come DNSSEC costruisce una catena di fiducia

DNSSEC funziona firmando ogni zona con una chiave privata e pubblicando la chiave pubblica corrispondente nel DNS. I record vengono firmati (RRSIG), le chiavi vengono pubblicate (DNSKEY), e un'impronta della chiave della zona (il record DS) viene collocata nella zona genitore. Questo collega la tua zona al genitore, che si collega al proprio genitore, fino alla radice — una catena di fiducia continua. Un resolver con convalida segue quella catena dalla radice verso il basso, verificando ogni firma, e considera attendibili solo le risposte le cui firme sono valide.

Come interpretare i risultati del controllo DNSSEC

IPeek segnala se il dominio è firmato con DNSSEC e se un resolver con convalida lo autentica. Un risultato autenticato (spesso mostrato come flag AD, ovvero Authenticated Data) significa che la catena di fiducia è intatta e i record sono verificati. Se il dominio non è firmato, DNSSEC semplicemente non è abilitato — cosa comune e non un errore, ma significa che i record non sono protetti. Un dominio firmato che non supera la convalida è più grave: indica una catena interrotta, di solito un record DS mancante o non corrispondente presso il registrar.

Problemi comuni DNSSEC e come risolverli

Il guasto più comune è una catena di fiducia interrotta, in cui la zona è firmata ma il record DS nel genitore è mancante, obsoleto o non corrisponde alla chiave attuale. Questo fa restituire ai resolver con convalida un SERVFAIL e può mettere completamente offline il dominio per gli utenti dietro resolver con convalida. Accade di solito durante le rotazioni delle chiavi o quando si abilita DNSSEC senza caricare il record DS presso il registrar. Risolvilo assicurandoti che il record DS presso il registrar corrisponda alla chiave attiva della tua zona, e non rimuovere mai le vecchie chiavi prima che l'aggiornamento del DS sia propagato.

Domande frequenti

Cosa significa se un dominio è firmato con DNSSEC?

Un dominio firmato con DNSSEC ha firme crittografiche sui suoi record DNS, permettendo ai resolver con convalida di confermare che le risposte sono autentiche e non modificate. La firma da sola però non basta: anche la zona genitore deve contenere un record DS corrispondente così la catena di fiducia raggiunge il dominio. Un dominio firmato e delegato correttamente è protetto da spoofing e cache poisoning.

È un problema se un dominio non è firmato con DNSSEC?

No, un dominio non firmato non è un errore — molti domini non usano DNSSEC. Significa semplicemente che i record non hanno protezione crittografica e potrebbero in teoria essere falsificati o avvelenati in transito. Abilitare DNSSEC aggiunge quella protezione, ma è opzionale e richiede una configurazione corretta sia presso il tuo provider DNS sia presso il registrar.

Che cos'è un record DS e perché è importante?

Un record DS (Delegation Signer) è un'impronta della chiave di firma della tua zona, pubblicata nella zona genitore presso il registrar. Collega la tua zona firmata alla catena di fiducia sovrastante. Se il record DS è mancante o non corrisponde alla tua chiave attuale, i resolver con convalida non possono verificare il dominio e potrebbero farlo fallire del tutto, quindi mantenere il DS sincronizzato è cruciale.

Cosa significa il flag AD in un risultato DNSSEC?

AD sta per Authenticated Data. Quando un resolver con convalida imposta il flag AD, conferma che le firme DNSSEC della risposta sono state controllate e la catena di fiducia verificata con successo. La sua assenza su un dominio firmato può indicare un fallimento di convalida o che il resolver non ha eseguito la convalida. IPeek usa un resolver con convalida così il flag riflette un'autenticazione genuina.

Perché un dominio firmato con DNSSEC potrebbe non superare la convalida?

La causa abituale è una catena di fiducia interrotta: il record DS presso il registrar è mancante, obsoleto o non corrisponde alla chiave attiva della zona, spesso dopo una rotazione delle chiavi. I resolver con convalida restituiscono allora un SERVFAIL, che può rendere il dominio irraggiungibile per gli utenti interessati. Allineare il record DS del registrar con la chiave di firma attuale risolve il problema.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어