Il dominio è firmato e validato?
DNS e record
Lookup DNS Tutti i record DNS per qualsiasi dominio Lookup record A Indirizzi IPv4 di un dominio Lookup record AAAA Indirizzi IPv6 di un dominio Lookup MX Server di posta di un dominio Lookup NS Name server autoritativi Lookup TXT Record TXT, SPF, verifica Lookup CNAME Record di nome canonico (alias) Lookup SOA Record Start of Authority Lookup SRV Record di localizzazione dei servizi Lookup CAA Quali CA possono emettere certificati DNS inverso (PTR) Da indirizzo IP a hostname Verifica DNSSEC Il dominio è firmato e validato? Diagnostica DNS Un report completo di delega e DNSRecapitabilità email
Verifica SPF Valida il tuo record Sender Policy Framework Verifica DMARC Esamina e valuta la tua policy DMARC Verifica DKIM Trova e valida la tua chiave pubblica DKIM Verifica blacklist Verifica un IP rispetto alle blocklist email (DNSBL) Test SMTP Connettiti a un server di posta e verifica STARTTLS Verifica MTA-STS Policy TLS forzata per la posta in entrata Verifica BIMI Record del logo del brand per l'email Verifica TLS-RPT Policy di reportistica SMTP TLSRete e web
Verifica certificato SSL Esamina il certificato TLS e la scadenza di un sito Verifica header HTTP Esamina header di risposta, redirect e sicurezza Ping (TCP) Raggiungibilità e latenza su TCP Verifica porte Quali porte comuni sono aperteDominio
Lookup WHOIS Dati di registrazione per domini, IP e ASNDNSSEC (DNS Security Extensions) firma crittograficamente i record DNS così i resolver possono verificare che non siano stati manomessi, difendendo da cache poisoning e spoofing. Aggiunge una catena di fiducia sopra il DNS ordinario senza cambiare il significato dei record. IPeek interroga un resolver DNS-over-HTTPS con convalida e segnala se il dominio è firmato e autenticato.
DNSSEC funziona firmando ogni zona con una chiave privata e pubblicando la chiave pubblica corrispondente nel DNS. I record vengono firmati (RRSIG), le chiavi vengono pubblicate (DNSKEY), e un'impronta della chiave della zona (il record DS) viene collocata nella zona genitore. Questo collega la tua zona al genitore, che si collega al proprio genitore, fino alla radice — una catena di fiducia continua. Un resolver con convalida segue quella catena dalla radice verso il basso, verificando ogni firma, e considera attendibili solo le risposte le cui firme sono valide.
IPeek segnala se il dominio è firmato con DNSSEC e se un resolver con convalida lo autentica. Un risultato autenticato (spesso mostrato come flag AD, ovvero Authenticated Data) significa che la catena di fiducia è intatta e i record sono verificati. Se il dominio non è firmato, DNSSEC semplicemente non è abilitato — cosa comune e non un errore, ma significa che i record non sono protetti. Un dominio firmato che non supera la convalida è più grave: indica una catena interrotta, di solito un record DS mancante o non corrispondente presso il registrar.
Il guasto più comune è una catena di fiducia interrotta, in cui la zona è firmata ma il record DS nel genitore è mancante, obsoleto o non corrisponde alla chiave attuale. Questo fa restituire ai resolver con convalida un SERVFAIL e può mettere completamente offline il dominio per gli utenti dietro resolver con convalida. Accade di solito durante le rotazioni delle chiavi o quando si abilita DNSSEC senza caricare il record DS presso il registrar. Risolvilo assicurandoti che il record DS presso il registrar corrisponda alla chiave attiva della tua zona, e non rimuovere mai le vecchie chiavi prima che l'aggiornamento del DS sia propagato.
Un dominio firmato con DNSSEC ha firme crittografiche sui suoi record DNS, permettendo ai resolver con convalida di confermare che le risposte sono autentiche e non modificate. La firma da sola però non basta: anche la zona genitore deve contenere un record DS corrispondente così la catena di fiducia raggiunge il dominio. Un dominio firmato e delegato correttamente è protetto da spoofing e cache poisoning.
No, un dominio non firmato non è un errore — molti domini non usano DNSSEC. Significa semplicemente che i record non hanno protezione crittografica e potrebbero in teoria essere falsificati o avvelenati in transito. Abilitare DNSSEC aggiunge quella protezione, ma è opzionale e richiede una configurazione corretta sia presso il tuo provider DNS sia presso il registrar.
Un record DS (Delegation Signer) è un'impronta della chiave di firma della tua zona, pubblicata nella zona genitore presso il registrar. Collega la tua zona firmata alla catena di fiducia sovrastante. Se il record DS è mancante o non corrisponde alla tua chiave attuale, i resolver con convalida non possono verificare il dominio e potrebbero farlo fallire del tutto, quindi mantenere il DS sincronizzato è cruciale.
AD sta per Authenticated Data. Quando un resolver con convalida imposta il flag AD, conferma che le firme DNSSEC della risposta sono state controllate e la catena di fiducia verificata con successo. La sua assenza su un dominio firmato può indicare un fallimento di convalida o che il resolver non ha eseguito la convalida. IPeek usa un resolver con convalida così il flag riflette un'autenticazione genuina.
La causa abituale è una catena di fiducia interrotta: il record DS presso il registrar è mancante, obsoleto o non corrisponde alla chiave attiva della zona, spesso dopo una rotazione delle chiavi. I resolver con convalida restituiscono allora un SERVFAIL, che può rendere il dominio irraggiungibile per gli utenti interessati. Allineare il record DS del registrar con la chiave di firma attuale risolve il problema.