Domini Aiuto

Che cos’è il protocollo DNSSEC?

Il protocollo DNSSEC (Domain Name System Security Extensions) aggiunge firme digitali al DNS (Domain Name System) di un nome di dominio per determinare l’autenticità del nome di dominio di origine. Il protocollo è pensato per proteggere gli utenti di Internet da dati DNS contraffatti, come la visualizzazione di un indirizzo fuorviante o pericoloso al posto dell’indirizzo legittimo richiesto.

Se viene abilitato DNSSEC, le ricerche DNS usano una firma digitale per verificare che l’origine DNS del tuo sito sia valida. Questo aiuta a prevenire alcuni tipi di attacchi; se la firma digitale non corrisponde, i browser non visualizzeranno il sito.

Perché il mio sito web non si risolve più dopo che ho abilitato DNSSEC?

La firma digitale che memorizzi in un record DS (Declaration of Signing) deve corrispondere alla firma digitale prodotta dai server dei nomi del tuo dominio. Se non corrisponde, il dominio non rimanderà al tuo sito web. Rivedi attentamente le informazioni del record DS che hai inserito in corrispondenza del record di zona memorizzato nel server dei nomi e assicurati che corrispondano.

Cosa devo fare per abilitare il protocollo DNSSEC e firmare la mia zona?

Se effettui l’upgrade a un Premium DNS e abiliti DNSSEC nel tuo account presso di noi, ci occuperemo noi della procedura di firma della zona per conto tuo.

Puoi configurare un DNSSEC autogestito tramite il tuo provider DNS. Per abilitare il DNSSEC autogestito devi creare digitalmente una chiave pubblica e una privata e generare un record DS durante la procedura di firma del nome di dominio. I requisiti e le limitazioni possono variare in base al registro del nome di dominio e al provider DNS. Contatta il tuo provider DNS per maggiori informazioni.

Come faccio a capire se l’URL che ho richiesto è abilitato per DNSSEC?

In caso di problemi di verifica di un URL abilitato per DNSSEC, riceverai un messaggio che indica che il sito non esiste.

Purtroppo, al momento i browser non sono configurati per l’identificazione del protocollo DNSSEC. Non sono in grado di fornire un feedback visivo per i siti protetti da DNSSEC come fanno per i siti protetti da un certificato SSL, ovvero, visualizzando l’icona del lucchetto.

Dal momento che il protocollo DNSSEC rende Internet un luogo più sicuro, perché non tutti lo utilizzano?

Implementare il protocollo DNSSEC in Internet a livello globale è un’impresa titanica. L’implementazione richiede impegno, consenso e spese (spesso significative) a livello globale. Si stanno tuttavia facendo progressi, implementando un’estensione di nome di dominio con relativo registro per volta. A mano a mano che ogni estensione viene abilitata per DNSSEC, noi saremo a disposizione per supportare l’impegno per i nomi di dominio registrati presso di noi.

Perché non dovrei usare DNSSEC?

Nonostante non vi sia un motivo preciso per cui un dominio non dovrebbe usare DNSSEC, vi sono alcuni aspetti da tenere presenti che rendono la cosa poco allettante. DNSSEC è un protocollo che richiede un uso estensivo delle capacità di elaborazione, cosa che può ridurre le prestazioni del sito. Rende inoltre il DNS più fragile e può leggermente incrementare le possibilità di fallimento.

Tuttavia, per coloro che hanno dati preziosi da proteggere, i potenziali rischi sono minimi e l’abilitazione di DNSSEC può essere una decisione oculata. Se non sei obiettivo abituale di attività dannosa o fraudolenta, se non raccogli dati sensibili e non ti trovi in una posizione di alto profilo (ad esempio, una figura politica), potresti fare a meno di DNSSEC.

Passaggio correlato

Altre informazioni


Questo articolo è stato di aiuto?
Grazie per il tuo feedback. Per parlare con un addetto dell’assistenza clienti, usa il numero di telefono o l’opzione chat qui sopra.
Felici di esserti stati di aiuto! C'è altro che possiamo fare per te?
Ci dispiace. Dicci che cosa hai trovato di poco chiaro o perché la soluzione non ha risolto il problema.