Ciclo di vita di un nome di dominio: scadenza, protezione e best practice

Di CaptainDNS
Pubblicato il 17 marzo 2026

Diagramma del ciclo di vita di un nome di dominio: registrazione, scadenza, grace period, redemption, pending delete, rilascio

TL;DR

Un dominio attraversa 7 fasi di vita distinte, dalla registrazione al rilascio. Ogni fase è identificabile dai suoi codici EPP in una query RDAP.
Dopo la scadenza, hai da 30 a 45 giorni (grace period) e poi 30 giorni (redemption) per recuperare il tuo dominio, ma i costi di ripristino raggiungono da 80 a 200 EUR a seconda del registrar.
Il domain hijacking sfrutta cinque vettori principali: ingegneria sociale, email compromessa, falla del registrar, dirottamento DNS e acquisizione di dominio scaduto. Nel 2024, oltre 70 000 domini sono stati dirottati tramite l'attacco "Sitting Ducks" che sfruttava delegazioni DNS mal configurate.
Tre livelli di blocco proteggono il tuo dominio: registrar lock (gratuito), full lock (gratuito) e registry lock (da 50 a 300 EUR/anno per i domini critici).

Ogni giorno, oltre 150 000 nomi di dominio scadono nel mondo. La maggior parte sono domini abbandonati volontariamente. Ma una frazione non trascurabile riguarda domini attivi il cui titolare ha semplicemente dimenticato di rinnovare, lasciato scadere un metodo di pagamento o ignorato le notifiche del registrar. Le conseguenze sono immediate: sito inaccessibile, email perse, servizi di terze parti in panne. Nel 2024, il tasso di rinnovo dei .com e .net si attestava al 73,9%, il che significa che più di un dominio su quattro non è stato rinnovato.

Questa guida copre il ciclo di vita completo di un nome di dominio, i rischi concreti in ogni fase e le protezioni da mettere in atto. Se gestisci domini per un'azienda, un marchio o un progetto personale, questi meccanismi sono essenziali da comprendere. Usa il RDAP Lookup per verificare in tempo reale gli status EPP e le date di scadenza dei tuoi domini.

Per comprendere il protocollo RDAP e i codici EPP nel dettaglio, consulta la nostra guida RDAP vs WHOIS nella sezione "Guide correlate" a fine articolo.

Testa i tuoi domini adesso

Verifica con RDAP Lookup Audit del dominio

Le 7 fasi del ciclo di vita di un dominio

Un nome di dominio segue un ciclo di vita standardizzato, definito dalle politiche ICANN per i gTLD (.com, .net, .org) e da ogni registro nazionale per i ccTLD (.fr, .de, .uk). Ecco le sette fasi, con i codici EPP che osserverai nei risultati RDAP per ogni fase.

1. Registrazione (Available verso Registered)

Il dominio è disponibile nella base del registro. Un titolare lo registra tramite un registrar accreditato per una durata da 1 a 10 anni. La registrazione è effettiva in pochi minuti.

Codice EPP: addPeriod (durante i primi 5 giorni, il dominio può essere cancellato con rimborso completo tramite l'Add Grace Period definita dall'ICANN), poi ok o clientTransferProhibited se il registrar attiva automaticamente il transfer lock.

Costo tipico: da 10 a 15 EUR/anno per un .com, variabile a seconda del TLD e del registrar.

Dettaglio importante: l'ICANN prevede un blocco di trasferimento obbligatorio di 30 giorni (720 ore) sui domini appena creati. Questa regola, derivante dalla Transfer Policy rivista nel 2024, sostituisce il vecchio blocco di 60 giorni e sarà applicata da tutti i registrar entro il 2026.

2. Periodo attivo (Registered)

Il dominio è operativo. Il titolare può configurare i server dei nomi, i record DNS, i redirect email e i servizi associati. Questa fase dura per il periodo della registrazione (da 1 a 10 anni, rinnovabile).

Codici EPP tipici: ok (nessuna restrizione), o una combinazione di lock di protezione come clientTransferProhibited, clientDeleteProhibited, clientUpdateProhibited.

Azione consigliata: attivare il rinnovo automatico e i blocchi di trasferimento fin dalla registrazione.

3. Scadenza (Expired)

La data di scadenza è passata e il dominio non è stato rinnovato. Il registrar può sospendere immediatamente la risoluzione DNS (status clientHold) o concedere un periodo di grazia prima della sospensione. Il comportamento esatto varia a seconda del registrar.

Codici EPP: autoRenewPeriod (se il registrar ha rinnovato automaticamente ma attende il pagamento) o clientHold (risoluzione DNS sospesa).

Impatto immediato: il sito web, le email e tutti i servizi legati al dominio possono cessare di funzionare. In pratica, la maggior parte dei registrar concede un breve periodo (da 1 a 5 giorni) prima di sospendere la risoluzione DNS, ma questo comportamento non è garantito.

4. Grace period (Auto-Renew Grace Period, circa da 0 a 45 giorni)

Dopo la scadenza, il titolare dispone di un periodo per rinnovare il dominio alla tariffa normale. La durata di questo periodo varia a seconda del registrar e del TLD. L'ICANN autorizza una Auto-Renew Grace Period da 0 a 45 giorni per i gTLD, ma ogni registrar definisce la propria politica in questa fascia.

Durate per registrar (gTLD):

GoDaddy: 18 giorni di grace period, poi 19 giorni di "parking" (totale 37 giorni prima della redemption)
Namecheap: 30 giorni
OVHcloud: 30 giorni (variabile secondo il TLD)
Gandi: 30 giorni
Cloudflare: 40 giorni (registrar at-cost, nessuna penale di ritardo)

Codice EPP: autoRenewPeriod persiste finché il registrar mantiene il dominio in attesa di pagamento.

Costo: tariffa di rinnovo standard. Alcuni registrar aggiungono penali di ritardo (da 10 a 30 EUR). Cloudflare, in quanto registrar at-cost, non applica alcun supplemento.

5. Redemption period (circa 30 giorni)

Se il dominio non viene rinnovato durante la grace period, il registrar lo elimina dalla propria base. Il registro pone allora il dominio in redemptionPeriod. Per 30 giorni, solo il titolare originale può ripristinarlo, ma a un costo significativamente più elevato.

Codice EPP: redemptionPeriod. Il dominio non risolve più, nessun servizio funziona.

Costi di ripristino per registrar (per un .com):

Registrar	Costi di ripristino	Rinnovo incluso?	Totale approssimativo
GoDaddy	80 USD	No (aggiunta di 1 anno)	100 USD
Namecheap	Da 110 a 180 USD secondo il TLD	Sì	Da 110 a 180 USD
OVHcloud	Da 70 a 120 EUR secondo il TLD	Variabile	Da 80 a 140 EUR
Gandi	Da 90 a 150 EUR secondo il TLD	Variabile	Da 100 a 170 EUR
Cloudflare	Costo registro (circa 80 USD per .com)	No (aggiunta di 1 anno)	Da 90 a 100 USD

Questi costi includono le tariffe che il registro addebita al registrar per la procedura di ripristino (restore command). Il registro Verisign addebita circa 80 USD per restore per i .com. I registrar aggiungono un margine variabile. Cloudflare, in quanto registrar at-cost, ribalta il prezzo del registro senza margine. Questi costi non sono negoziabili.

6. Pending delete (circa 5 giorni)

Dopo la redemption period, il registro pone il dominio in pendingDelete per 5 giorni. Nessuno può più recuperarlo. Il dominio è in attesa di cancellazione definitiva dalla base del registro.

Codice EPP: pendingDelete. Irreversibile.

Nessuna azione possibile: né il titolare, né il registrar, né il registro possono impedire la cancellazione. È proprio durante questi 5 giorni che i servizi di drop catching posizionano i loro sistemi automatizzati per tentare di registrare il dominio appena viene rilasciato.

7. Rilascio (Available)

Il dominio viene cancellato dalla base del registro e torna disponibile per la registrazione. Chiunque può registrarlo alla tariffa standard.

Rischio principale: i domini scaduti con traffico residuo, backlink o una reputazione consolidata sono presi di mira da servizi di "domain drop catching" che li registrano automaticamente nei secondi successivi al rilascio.

Codice EPP: nessuno (il dominio non esiste più nella base del registro).

Diagramma del ciclo di vita di un nome di dominio: le 7 fasi dalla registrazione al rilascio con i codici EPP corrispondenti

Cosa succede quando un dominio scade?

La scadenza di un dominio attivo provoca una cascata di malfunzionamenti. Ecco cosa smette di funzionare, in quale ordine e perché.

Impatto sul sito web

Non appena il registrar sospende la risoluzione DNS (status clientHold), il nome di dominio non punta più ad alcun indirizzo IP. I visitatori vedono un errore DNS (NXDOMAIN o SERVFAIL) o vengono reindirizzati verso una pagina parking del registrar.

Se il sito usa HTTPS, il certificato TLS è ancora tecnicamente valido, ma non verrà più servito poiché il dominio non risolve più. I rinnovi automatici dei certificati (Let's Encrypt, ad esempio) falliranno poiché dipendono dalla risoluzione DNS per la validazione.

Impatto sulle email

I record MX del dominio non risolvono più. Tutte le email in entrata vengono rifiutate dai server mittenti con un errore di tipo "host not found". Le email non vengono messe in coda a tempo indeterminato: dopo alcune ore fino a qualche giorno di tentativi, i server mittenti restituiscono un bounce definitivo al mittente.

Le conseguenze sono critiche per le aziende:

Perdita di comunicazioni con clienti e fornitori
Fallimento dei reset di password sui servizi di terze parti collegati a indirizzi del dominio
Perdita dei flussi di notifica (avvisi di monitoraggio, fatture, conferme)

Impatto sui servizi (API, certificati SSL, ecc.)

Oltre al sito e alle email, un dominio scaduto interrompe tutti i servizi che ne dipendono:

API e webhook: gli endpoint che utilizzano il dominio diventano inaccessibili. Le integrazioni di terze parti falliscono a cascata.
Certificati TLS: i certificati non possono più essere rinnovati. I certificati esistenti restano validi fino alla loro scadenza, ma il dominio non risolve più.
DKIM, SPF, DMARC: i record di autenticazione email scompaiono. Se il dominio viene recuperato, le email inviate durante il disservizio avranno fallito le verifiche di autenticazione.
MTA-STS: la policy MTA-STS del dominio non è più accessibile, il che disattiva la crittografia TLS obbligatoria per le email in entrata.
Servizi di terze parti: qualsiasi servizio configurato con il dominio (callback OAuth, verifica di proprietà Google/Bing, CDN) cessa di funzionare.

Timeline concreta: giorno per giorno dopo la scadenza

Giorno	Cosa succede	Codice EPP
G+0	Scadenza. Il registrar rinnova automaticamente il dominio internamente, ma attende il pagamento. Il sito funziona ancora presso la maggior parte dei registrar.	`autoRenewPeriod`
G+1 a G+5	Il registrar invia le prime notifiche di scadenza. Alcuni sospendono la risoluzione DNS da G+1, altri mantengono il servizio. GoDaddy reindirizza verso una pagina parking da G+1. Cloudflare mantiene il DNS attivo per 40 giorni.	`autoRenewPeriod` o `clientHold`
G+5 a G+30	Grace period. La maggior parte dei registrar ha sospeso il DNS. Il rinnovo resta possibile alla tariffa normale, a volte maggiorata di penali di ritardo (da 10 a 30 EUR).	`autoRenewPeriod` + `clientHold`
G+30 a G+45	Fine della grace period secondo il registrar. Il registrar elimina il dominio dalla propria base e il registro lo pone in redemption.	Transizione verso `redemptionPeriod`
G+45 a G+75	Redemption period. Ripristino possibile solo dal titolare originale, con costi da 80 a 200 EUR. Il dominio non risolve più.	`redemptionPeriod`
G+75 a G+80	Pending delete. Nessun recupero possibile. I servizi di drop catching si preparano.	`pendingDelete`
G+80+	Rilascio. Il dominio è disponibile per chiunque. I bot di drop catching tentano la registrazione in pochi millisecondi.	Nessuno

Le durate esatte variano a seconda del registrar e del TLD. Per i ccTLD, i cicli possono essere molto diversi: il .fr (AFNIC) applica una quarantena di 30 giorni dopo la cancellazione, durante la quale solo il precedente titolare può ri-registrare il dominio. Il .de (DENIC) non prevede una redemption period: il dominio viene rilasciato immediatamente dopo la cancellazione.

Il drop catching: come vengono recuperati i domini scaduti

Quando un dominio di valore raggiunge la fase di rilascio, raramente resta disponibile più di qualche secondo. Servizi specializzati, chiamati "drop catcher", utilizzano sistemi automatizzati che inviano richieste di registrazione al registro ad alta frequenza, a volte diverse decine di volte al secondo, per catturare il dominio nell'istante esatto della cancellazione.

Come funziona il backordering

Il backordering consiste nel prenotare un dominio prima del suo rilascio. L'utente inserisce un "backorder" presso un servizio specializzato, che si incaricherà di tentare la registrazione automatica nel secondo in cui il dominio verrà cancellato dal registro.

I principali attori del mercato:

DropCatch: backorder a 59 USD, addebito solo in caso di successo. Se più utenti hanno inserito un backorder, il dominio va all'asta pubblica per 3 giorni.
SnapNames: specialista storico del backorder. Stesso funzionamento, con aste private in caso di competizione.
Pool.com: collegato a Tucows (registrar importante), il che offre un vantaggio in termini di rapidità di registrazione.

Per massimizzare le possibilità di cattura, gli investitori in domini inseriscono backorder simultanei presso più servizi. Il tasso di successo dipende dalla competizione sul dominio preso di mira e dalla prossimità tecnica del servizio con il registro.

Perché i domini scaduti hanno valore

Un dominio scaduto conserva temporaneamente i suoi attributi acquisiti nel corso degli anni: profilo di backlink, autorità di dominio, storico di indicizzazione e traffico residuo. È ciò che rende il mercato dei domini scaduti redditizio. Nel 2024, il mercato secondario dei nomi di dominio ha registrato circa 144 700 vendite per un volume totale di 185 milioni USD.

Gli acquirenti si dividono in due categorie: gli investitori legittimi che sviluppano un progetto su un dominio con uno storico, e gli attori malintenzionati che sfruttano la reputazione del dominio a fini di spam, phishing o manipolazione SEO.

Domini scaduti e posizionamento: i rischi SEO

La scadenza di un dominio ha conseguenze dirette sul suo posizionamento nei motori di ricerca. Questi effetti sono talvolta irreversibili.

Deindicizzazione da parte di Google

Quando un dominio non risolve più (status clientHold o NXDOMAIN), i robot di Google tentano di rivisitare le pagine abituali. Di fronte a errori DNS ripetuti, Google rimuove progressivamente le pagine dal proprio indice. Il processo richiede alcune settimane per i siti piccoli, talvolta diversi mesi per i siti voluminosi. Più l'interruzione dura, più il recupero è lungo e incerto.

Perdita di backlink e di autorità

Tutti i link in entrata verso il dominio scaduto restituiscono un errore. I siti referenti non correggono spontaneamente i loro link: il dominio perde il proprio profilo di backlink e l'autorità che ne derivava. Anche dopo il rinnovo, il recupero del posizionamento può richiedere settimane o mesi, senza garanzia di ritornare al livello iniziale.

Abuso di domini scaduti: il problema del SEO parassita

Google ha formalizzato la lotta contro l'abuso di domini scaduti nel suo aggiornamento di marzo 2024 (March 2024 Spam Update). La politica è esplicita: l'acquisto di un dominio scaduto con lo scopo principale di manipolare il posizionamento ospitando contenuti di bassa qualità costituisce spam.

Esempi identificati da Google:

Contenuto affiliato che sostituisce un sito di agenzia governativa
Prodotti medici commerciali su un ex dominio di associazione benefica
Contenuto di casino ospitato su un ex dominio di scuola elementare

Le conseguenze: azione manuale (deindicizzazione completa) o penalità algoritmica (crollo del posizionamento). Il recupero dopo un'azione manuale richiede diversi mesi, se va a buon fine.

Precisazione importante: riutilizzare legittimamente un dominio scaduto per un nuovo progetto originale non viene sanzionato. Google prende di mira specificamente i casi in cui lo storico del dominio viene sfruttato per dare visibilità artificiale a contenuti senza valore.

Proteggere il proprio posizionamento

Per evitare la perdita SEO legata a una scadenza accidentale:

Attiva il rinnovo automatico su tutti i domini indicizzati da Google
Monitora le date di scadenza indipendentemente dal registrar
In caso di scadenza accidentale, rinnova nei primi 5 giorni: la maggior parte dei registrar non ha ancora sospeso il DNS, e Google non ha ancora iniziato la deindicizzazione

Proteggere il proprio dominio dal furto (domain hijacking)

Il domain hijacking consiste nel prendere il controllo di un nome di dominio senza l'autorizzazione del titolare legittimo. Le conseguenze vanno dalla semplice interruzione di servizio al furto di traffico, al phishing mirato e alla perdita definitiva del dominio.

I 5 vettori di attacco

1. Ingegneria sociale

L'attaccante contatta il registrar spacciandosi per il titolare. Utilizza informazioni pubbliche (vecchi dati WHOIS, social network, organigrammi aziendali) per convincere il supporto tecnico a modificare i parametri del dominio o a fornire il codice di autorizzazione al trasferimento.

2. Email compromessa

L'indirizzo email associato al dominio presso il registrar è il punto di controllo critico. Se un attaccante accede a quella casella email (phishing, credential stuffing, fuga di dati), può avviare un trasferimento, convalidare le conferme e prendere il controllo del dominio. La maggior parte dei registrar invia i codici di trasferimento e le conferme di modifica via email.

3. Falla o compromissione del registrar

Il registrar stesso può essere compromesso. Vulnerabilità nell'interfaccia di gestione, API mal protetta, accesso amministratore compromesso. A luglio 2024, la migrazione Google Domains verso Squarespace ha illustrato questo rischio: l'assenza di verifica email nella creazione dell'account ha permesso agli attaccanti di impossessarsi di domini di piattaforme crypto come Compound Finance, Celer Network e Pendle Finance.

4. Dirottamento DNS (DNS hijacking)

Senza prendere il controllo del dominio stesso, l'attaccante modifica i record DNS per reindirizzare il traffico. Ciò può avvenire tramite la compromissione dell'account registrar, del provider DNS, o tramite un attacco al protocollo DNS stesso (avvelenamento della cache, attacco BGP sui server dei nomi).

5. Acquisizione di dominio scaduto (expired domain takeover)

L'attaccante monitora i domini prossimi alla scadenza e li registra appena vengono rilasciati. Se il dominio aveva traffico, email attive o backlink, l'attaccante ne eredita. Questo vettore è particolarmente insidioso per i sottodomini dimenticati che puntano a servizi di terze parti dismessi (dangling DNS).

I 5 vettori di domain hijacking: ingegneria sociale, email compromessa, falla registrar, DNS hijacking, expired domain takeover

I 3 livelli di protezione

Livello 1: Registrar lock (transfer lock)

Il blocco di base, attivabile con un clic nell'interfaccia del tuo registrar. Aggiunge lo status EPP clientTransferProhibited al dominio: nessun trasferimento può essere avviato senza disattivare manualmente il lock in precedenza.

Costo: gratuito presso la quasi totalità dei registrar. Attivazione consigliata su tutti i tuoi domini senza eccezione.

Livello 2: Full lock (registrar)

Oltre al transfer lock, il full lock aggiunge gli status clientDeleteProhibited (impedisce la cancellazione) e clientUpdateProhibited (impedisce la modifica dei server dei nomi e dei contatti). Il dominio è bloccato: nessuna modifica possibile senza disattivare i lock manualmente.

Costo: generalmente gratuito, ma raramente attivato per impostazione predefinita. Verifica nell'interfaccia del tuo registrar.

Livello 3: Registry lock

Il blocco più robusto. Il registro (Verisign, AFNIC, ecc.) aggiunge gli status serverTransferProhibited, serverDeleteProhibited e serverUpdateProhibited. Qualsiasi modifica richiede una procedura manuale con verifica d'identità presso il registro, spesso per telefono o posta.

Costo: da 50 a 300 EUR/anno a seconda del TLD e del registrar. Riservato ai domini critici: marchi, siti e-commerce, infrastruttura DNS.

Un registry lock avrebbe impedito le compromissioni durante l'incidente Squarespace/Google Domains del 2024: anche con accesso all'account registrar, gli attaccanti non avrebbero potuto modificare i DNS senza passare per la procedura manuale del registro.

Caso reale n. 1: la migrazione Squarespace/Google Domains (luglio 2024)

A giugno 2023, Squarespace ha acquistato l'attività Google Domains, includendo circa 10 milioni di nomi di dominio. La migrazione tecnica si è protratta per diversi mesi nel 2024.

Tra il 9 e il 12 luglio 2024, degli attaccanti hanno sfruttato una falla critica nel processo di migrazione. L'analisi condotta dai ricercatori di MetaMask e Paradigm ha rivelato il meccanismo: Squarespace aveva previsto che gli utenti migrati si collegassero tramite OAuth (pulsante "Continue with Google"). Ma la piattaforma permetteva anche la creazione di account via email, senza verifica. Gli attaccanti hanno creato account utilizzando gli indirizzi email associati ai domini migrati, prima che i titolari legittimi lo facessero. Con questo accesso, hanno modificato i record DNS per reindirizzare il traffico verso siti di phishing che ospitavano wallet drainer.

Tra le vittime: Compound Finance, Celer Network, Pendle Finance e Unstoppable Domains, tutte piattaforme crypto i cui utenti gestiscono asset digitali. L'autenticazione multi-fattore non era attivata per impostazione predefinita sugli account migrati, e la piattaforma non inviava alcuna notifica email per le modifiche DNS.

Squarespace ha distribuito una correzione il 12 luglio eliminando la possibilità di creare un account solo via email.

Lezioni da ricordare:

Un cambio di registrar (volontario o subìto) è un momento di vulnerabilità massima
Le protezioni EPP (clientUpdateProhibited) avrebbero bloccato la modifica dei DNS
L'autenticazione multi-fattore deve essere attivata immediatamente dopo qualsiasi migrazione
I domini critici richiedono un registry lock, indipendente dalla sicurezza dell'account registrar

Caso reale n. 2: l'attacco "Sitting Ducks" (2024, 70 000 domini dirottati)

A novembre 2024, i ricercatori di Infoblox hanno rivelato una delle più grandi campagne di domain hijacking mai documentate. Battezzata "Sitting Ducks", questa campagna ha permesso il dirottamento di circa 70 000 domini legittimi appartenenti a marchi noti, associazioni, amministrazioni e aziende di vari settori.

Il meccanismo sfruttato è la delegazione DNS "lame": un dominio punta verso server dei nomi autoritativi che il proprietario non controlla o non controlla più. Gli attaccanti identificano queste configurazioni difettose e prendono il controllo dei server dei nomi bersaglio. Possono così rispondere a tutte le query DNS per il dominio e reindirizzare il traffico come desiderano.

In un periodo di tre mesi, i ricercatori hanno identificato circa 800 000 domini vulnerabili a questo attacco, di cui circa il 9% è stato effettivamente compromesso. I domini dirottati servivano da supporto a campagne di phishing (false pagine DHL), frodi sugli investimenti diffuse tramite Facebook Ads, e infrastrutture di comando per malware. Gli attori malintenzionati, tra cui diversi gruppi legati a organizzazioni russe, effettuavano una rotazione dei domini compromessi ogni 30-60 giorni per evitare il rilevamento.

Lezioni da ricordare:

La configurazione DNS deve essere verificata regolarmente: controlla che i tuoi server dei nomi siano effettivamente sotto il tuo controllo
Le delegazioni "lame" (che puntano verso server che non gestisci più) sono sfruttabili da terzi
DNSSEC avrebbe reso l'attacco molto più difficile impedendo la falsificazione delle risposte DNS

Checklist di sicurezza dominio

Verifica questi punti per ciascuno dei tuoi domini:

Utilizza uno strumento RDAP per verificare in pochi secondi gli status EPP e le date di scadenza di ogni dominio.

Best practice di gestione dominio

Rinnovo automatico: pro e contro

Vantaggi:

Elimina il rischio di dimenticare il rinnovo
Nessun periodo di interruzione del servizio
Il dominio resta protetto senza intervento manuale

Svantaggi:

Richiede un metodo di pagamento sempre valido (carta scaduta = rinnovo fallito)
Può rinnovare domini che volevi abbandonare
Alcuni registrar addebitano il rinnovo alla tariffa standard senza avviso preventivo

Raccomandazione: attiva il rinnovo automatico su tutti i domini attivi. Effettua una revisione annuale per identificare i domini da non rinnovare e disattiva l'auto-renew solo su quelli, qualche settimana prima della scadenza.

Contatti aggiornati: perché è critico

L'indirizzo email di contatto presso il registrar è il punto nevralgico della sicurezza del tuo dominio:

È l'indirizzo che riceve le notifiche di scadenza
È l'indirizzo che riceve i codici di trasferimento e le richieste di conferma
È l'indirizzo utilizzato per la procedura di reset della password dell'account registrar
È l'indirizzo che l'ICANN utilizza per la verifica annuale WDRP (WHOIS Data Reminder Policy)

Se questo indirizzo è obsoleto (ex dipendente, dominio email esso stesso scaduto, casella piena), perdi la capacità di controllare il tuo dominio. Usa un indirizzo email su un dominio diverso da quello che gestisci, idealmente un indirizzo di gruppo accessibile a più persone di fiducia.

Monitoraggio della scadenza

Non fare affidamento solo sulle notifiche del registrar. Metti in atto un monitoraggio indipendente:

Query RDAP periodiche: interroga i tuoi domini critici per verificare le date di scadenza e gli status EPP. Il campo eventDate dell'evento expiration nella risposta RDAP fornisce la data esatta.
Calendario dedicato: aggiungi promemoria a 90, 60 e 30 giorni prima della scadenza di ogni dominio critico.
Inventario centralizzato: mantieni un foglio di calcolo o uno strumento di gestione che elenchi tutti i tuoi domini, i registrar, le date di scadenza e i livelli di protezione.

Strategia multi-registrar

Per le aziende che gestiscono un portafoglio di domini importante, ripartire i domini tra più registrar limita il rischio di punto di guasto unico. Se un registrar viene compromesso (come durante l'incidente Squarespace), solo una parte del portafoglio è esposta.

In pratica:

Raggruppa i domini critici (produzione, marchi) presso un registrar premium con registry lock
Colloca i domini secondari (progetti, landing page) presso un registrar affidabile ed economico
Conserva un registrar di riserva per poter migrare rapidamente in caso di problema

Documentazione interna e budget previsionale

Mantieni un registro di domini documentato e condiviso con le persone autorizzate:

Informazione	Dettaglio
Nome di dominio	captaindns.com
Registrar	Nome del registrar
Data di scadenza	2027-01-15
Auto-renew	Sì
Lock attivi	Transfer, Delete, Update
Registry lock	No
Contatto responsabile	contact@captaindns.com
Criticità	Alta
Costo annuale	12 EUR

Questo registro permette di anticipare il budget annuale di rinnovo. Per un portafoglio di 20 domini, il costo può variare da 200 EUR (TLD standard) a oltre 5 000 EUR (TLD premium con registry lock). Integra questi costi nel budget infrastruttura per evitare dimenticanze di pagamento.

DNSSEC: la protezione DNS completa

DNSSEC (DNS Security Extensions) firma crittograficamente i tuoi record DNS. Senza DNSSEC, un attaccante può falsificare le risposte DNS (avvelenamento della cache) per reindirizzare il traffico verso un server che controlla, senza toccare il dominio né il registrar.

DNSSEC non protegge dal domain hijacking a livello di registrar, ma protegge l'integrità delle risposte DNS tra i server dei nomi e i resolver. È un livello complementare ai blocchi EPP. L'attacco Sitting Ducks del 2024 sarebbe stato considerevolmente più difficile da realizzare se i domini presi di mira avessero attivato DNSSEC.

Verifica lo stato DNSSEC dei tuoi domini con il verificatore DNSSEC. Se la catena di fiducia è assente o interrotta, attiva DNSSEC presso il tuo provider DNS e pubblica i record DS presso il tuo registrar.

Piano d'azione consigliato

Cinque passaggi per mettere in sicurezza i tuoi domini, in ordine di priorità:

1. Verificare tutti i tuoi domini

Elenca l'insieme dei tuoi domini (produzione, staging, vecchi progetti, marchi registrati). Per ciascuno, verifica tramite RDAP: data di scadenza, status EPP attivi, registrar, server dei nomi. Identifica i domini senza protezione (status ok solo) e quelli la cui scadenza si avvicina. Verifica anche che i server dei nomi delegati siano effettivamente sotto il tuo controllo per eliminare i rischi di tipo Sitting Ducks.

2. Attivare il rinnovo automatico e i transfer lock

Su ogni dominio attivo: attiva il rinnovo automatico, verifica che il metodo di pagamento sia valido, attiva clientTransferProhibited come minimo. Per i domini critici, aggiungi clientDeleteProhibited e clientUpdateProhibited.

3. Configurare avvisi di scadenza

Metti in atto un calendario di promemoria indipendente dal registrar. Aggiungi avvisi a 90, 60 e 30 giorni prima della scadenza. Verifica trimestralmente che i contatti email siano aggiornati e che le caselle siano attive.

4. Attivare DNSSEC

Attiva DNSSEC su tutti i domini dove il tuo provider DNS lo supporta. Pubblica i record DS presso il registrar. Verifica la catena di fiducia con uno strumento di validazione DNSSEC. Monitora gli avvisi di firma scaduta.

5. Documentare e prevedere il budget

Crea un inventario che includa: nome di dominio, registrar, data di scadenza, livelli di lock attivi, contatto responsabile, criticità (alta/media/bassa), costo annuale. Condividi questo documento con le persone autorizzate. Integra i costi di rinnovo nel budget infrastruttura annuale. Rivedilo almeno una volta all'anno.

FAQ

Quanto tempo ho per recuperare un dominio scaduto?

Dopo la scadenza, disponi generalmente di 30-45 giorni di grace period per rinnovare alla tariffa normale, poi di 30 giorni di redemption period per ripristinare il dominio con costi da 80 a 200 EUR. In totale, circa 60-75 giorni prima della cancellazione definitiva. Le durate esatte variano secondo il registrar e il TLD. Cloudflare offre la grace period più lunga (40 giorni), mentre GoDaddy limita a 18 giorni prima di applicare restrizioni.

Quanto costa il ripristino di un dominio scaduto?

I costi di ripristino (redemption) variano da 70 a 200 EUR secondo il registrar e il TLD. Per un .com: circa 100 USD presso GoDaddy (80 USD di restore + rinnovo), da 90 a 100 USD presso Cloudflare (costo registro senza margine), da 110 a 180 USD presso Namecheap, e da 80 a 140 EUR presso OVHcloud. Questi costi sono imposti dal registro (Verisign addebita circa 80 USD per restore per i .com) e non sono negoziabili. Il ripristino richiede anche il pagamento del rinnovo di almeno un anno.

Cosa significa lo status EPP redemptionPeriod?

Lo status redemptionPeriod indica che il dominio è stato cancellato dal registrar e si trova nella fase di recupero a livello di registro. Solo il titolare originale può ripristinarlo durante questo periodo di 30 giorni, con costi di ripristino. Il dominio non risolve più e nessun servizio funziona.

Il mio dominio è scaduto, le mie email sono perse?

Le email inviate durante il periodo di scadenza vengono rifiutate dai server mittenti (errore "host not found" sui record MX). Queste email non sono conservate da qualche parte in attesa: dopo diversi tentativi (generalmente da 24 a 72 ore), il mittente riceve un bounce definitivo. Se rinnovi il dominio rapidamente durante la grace period, le nuove email funzioneranno di nuovo, ma quelle inviate durante il disservizio sono irrimediabilmente perse.

Il transfer lock impedisce tutti gli attacchi al mio dominio?

No. Il transfer lock (clientTransferProhibited) impedisce solo il trasferimento non autorizzato verso un altro registrar. Non protegge dalla modifica dei record DNS, dalla cancellazione del dominio o dagli attacchi al protocollo DNS. Per una protezione completa, combina transfer lock, delete lock, update lock e DNSSEC. Per i domini critici, aggiungi un registry lock.

Qual è la differenza tra registrar lock e registry lock?

Il registrar lock è imposto dal tuo rivenditore (registrar) ed è modificabile tramite la tua interfaccia di gestione. Aggiunge gli status client*Prohibited. Il registry lock è imposto dal registro (Verisign, AFNIC) e richiede una procedura manuale con verifica d'identità per qualsiasi modifica. Il registry lock è a pagamento (da 50 a 300 EUR/anno) ma offre una protezione indipendente dalla sicurezza del tuo account registrar.

Si può recuperare un dominio in pendingDelete?

No. Lo status pendingDelete significa che il dominio verrà cancellato nei 5 giorni successivi. Nessuna azione di recupero è possibile, né dal titolare, né dal registrar, né dal registro. L'unica opzione è attendere il rilascio del dominio e tentare di ri-registrarlo, in concorrenza con i servizi di domain drop catching. Per un dominio ambìto, le possibilità di recupero sono scarse senza passare da un servizio di backorder (costo: circa 59 USD e oltre).

Si può recuperare un dominio dopo il suo rilascio (post pending delete)?

Tecnicamente sì, ma in pratica è molto difficile per i domini di valore. Dopo la cancellazione, il dominio torna disponibile per la registrazione. Se sei il primo a inviare la richiesta di registrazione, puoi recuperarlo alla tariffa standard. Ma i domini con traffico, backlink o uno storico sono presi di mira da servizi di drop catching che utilizzano robot automatizzati per catturarli in pochi millisecondi. Per massimizzare le tue possibilità, inserisci backorder presso più servizi specializzati (DropCatch, SnapNames) prima del rilascio.

Come verificare gli status EPP e la data di scadenza del mio dominio?

Usa uno strumento RDAP per interrogare il tuo dominio. La risposta JSON include gli status EPP nel campo status e la data di scadenza negli eventi (events con eventAction: expiration). Puoi usare il RDAP Lookup di CaptainDNS per ottenere queste informazioni in pochi secondi.

Il rinnovo automatico è sufficiente per proteggere il mio dominio?

Il rinnovo automatico protegge dalla scadenza accidentale, ma non dagli altri rischi: carta di pagamento scaduta, account registrar compromesso, domain hijacking. Combina il rinnovo automatico con avvisi di scadenza indipendenti, blocchi EPP e un monitoraggio regolare dei tuoi status RDAP.

Glossario

Grace period (Auto-Renew Grace Period): periodo successivo alla scadenza di un dominio durante il quale il titolare può rinnovare alla tariffa normale. Durata: da 0 a 45 giorni secondo il registrar e il TLD, conformemente alla politica ICANN.
Redemption period: periodo di 30 giorni dopo la cancellazione di un dominio da parte del registrar, durante il quale solo il titolare originale può ripristinarlo con costi di ripristino elevati (da 80 a 200 EUR).
Pending delete: periodo di 5 giorni che precede la cancellazione definitiva di un dominio. Nessun recupero possibile.
Domain hijacking: presa di controllo non autorizzata di un nome di dominio, tramite compromissione dell'account registrar, ingegneria sociale, o sfruttamento di una falla tecnica.
Transfer lock: blocco che impedisce il trasferimento di un dominio verso un altro registrar. Corrisponde allo status EPP clientTransferProhibited.
Registry lock: blocco applicato a livello di registro, che richiede una procedura manuale per qualsiasi modifica. Status server*Prohibited.
EPP (Extensible Provisioning Protocol): protocollo standardizzato (RFC 5730) utilizzato tra registrar e registri per gestire le operazioni sui domini.
ERRP (Expired Registration Recovery Policy): politica ICANN che disciplina il processo di recupero dei domini scaduti per i gTLD. Aggiornata a febbraio 2024.
Drop catching: tecnica che consiste nel registrare automaticamente un dominio nei secondi successivi al suo rilascio, utilizzando sistemi automatizzati che interrogano il registro in continuo.
Backordering: prenotazione anticipata di un dominio in corso di scadenza presso un servizio specializzato, che tenterà la registrazione automatica al momento del rilascio.
Dangling DNS: record DNS che punta verso una risorsa che non esiste più (server dismesso, servizio di terze parti disdetto), sfruttabile da un attaccante che prende il controllo della risorsa bersaglio.
Lame delegation: delegazione DNS in cui il server dei nomi autoritativo designato non risponde o non è configurato per il dominio, creando una vulnerabilità sfruttabile (cfr. attacco Sitting Ducks).

Guide RDAP e gestione dominio correlate

RDAP vs WHOIS: la guida completa alla transizione: comprendere il protocollo RDAP, i codici EPP nel dettaglio, il GDPR e la migrazione da WHOIS.
Ciclo di vita di un nome di dominio: scadenza, protezione e best practice (questo articolo): le 7 fasi del ciclo di vita, i rischi in ogni fase e le protezioni concrete.