Vai al contenuto principale
Accedi
CaptainDNS

Propagazione e diagnostica

Confronta i resolver in tutto il mondo e ispeziona le risposte restituite.

Diagnostica email

Strumenti per verificare e convalidare la configurazione di autenticazione e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Recapitabilità

Audit deliverabilityAnalizzatore intestazioniTester emailVerifica blacklist IPVerifica blacklist dominioAppiattitore SPFRicerca selettori DKIMVerificatore SMTP/MX

Proteggere e Monitorare

Generatori di record, hosting di policy e monitoraggio continuo.

Rete e Web

Strumenti di rete, analisi di pagine web e certificati.

Strumenti IP

Il mio indirizzo IP

Rileva i tuoi indirizzi IPv4/IPv6 e la loro geolocalizzazione.

Ricerca inversa

Risolve un record PTR e verifica la coerenza DNS.

WhoIs IP

Identifica il proprietario di un intervallo IP e i suoi contatti.

Maschera IPv4

Calcola la rete, il broadcast e gli host utilizzabili di qualsiasi blocco IPv4.

Calcolatore di sottoreti IPv6

Calcola sottoreti IPv6, intervalli di indirizzi e voci DNS inverso.

Certificati e BIMI

Analizzatore logo BIMI

Analizza l'URL di un logo BIMI, il formato, i metadati e il rendering.

BIMI SVG Converter

Converti qualsiasi SVG nel formato Tiny-PS compatibile BIMI in pochi secondi.

Analizzatore CSR

Ispeziona un CSR, estrai dettagli del soggetto, impronte digitali e SAN richiesti.

Ispettore VMC

Analizza un Verified Mark Certificate: autorità emittente, validità e SAN prima di pubblicare il BIMI.

Web

Verificatore peso pagina

Verifica se la tua pagina supera il limite di 2 MB di Googlebot.

Verificatore URL di phishing

Verifica se un URL è segnalato come phishing o malware da 4 fonti.

Redirect Checker

Analizza le catene di reindirizzamenti HTTP

Reindirizzamento dominio

Reindirizza i tuoi domini con HTTPS automatico e redirect 301/302.

Strumenti sviluppatore

Utilità di testo e strumenti per lo sviluppo quotidiano.

Testo

Trasforma e misura i tuoi contenuti in pochi secondi.

Convertitore maiuscole/minuscole

Converti istantaneamente qualsiasi testo in maiuscolo o minuscolo.

Generatore di slug

Trasforma qualsiasi titolo in uno slug ottimizzato SEO in pochi secondi.

Conteggio parole e caratteri

Misura la lunghezza di qualsiasi testo con conteggi immediati di parole e caratteri.

Generatore di password

Genera password casuali sicure e frasi di accesso facili da ricordare.

Sviluppatore

Codifica, hashing, regex e formattazione per il lavoro quotidiano.

Codificatore / decodificatore Base64

Codifica o decodifica contenuti Base64 direttamente dal browser.

Generatore di hash

Calcola gli hash MD5, SHA-1, SHA-256 e SHA-512 di qualsiasi testo.

Codificatore / decodificatore URL

Codifica o decodifica il testo con percent-encoding (RFC 3986) direttamente nel browser.

Tester regex

Testa un'espressione regolare contro un testo e visualizza le corrispondenze.

Formattatore JSON / YAML

Formatta, valida e converti JSON e YAML in un clic.

DNSSEC Checker

Testa e valida la chain of trust DNSSEC del tuo dominio

Oltre il 30% dei resolver mondiali valida DNSSEC. Un solo anello spezzato nella chain of trust basta a far scomparire il tuo dominio per milioni di utenti. Google Public DNS, Cloudflare 1.1.1.1 e Quad9 restituiscono SERVFAIL. Questo strumento verifica ogni anello dalla root DNS alla tua zona e rileva i problemi prima che causino un'interruzione.

Modalità

Chain of trust completa

Verifica zona per zona dalla root (.) fino al tuo dominio, validando ogni delega DS/DNSKEY.

Rilevamento algoritmi deboli

Identifica gli algoritmi obsoleti (RSAMD5, DSA) e i digest deprecati (SHA-1) secondo la RFC 8624.

DS orfani e incoerenze

Rileva i record DS pubblicati nel parent senza DNSKEY corrispondente nella zona figlia.

Modalità completa multi-server

Verifica la coerenza DNSKEY tra tutti i server autoritativi e valida le firme RRSIG su SOA, NS, A e MX.

Diagnostica dettagliata

Report con errori, avvertimenti e informazioni classificati per gravità. Badge di scadenza RRSIG in tempo reale.

Perché verificare DNSSEC?

DNSSEC (DNS Security Extensions) aggiunge firme crittografiche alle risposte DNS. Senza queste firme, un attaccante può falsificare le risposte e dirottare il traffico. Questo attacco si chiama DNS cache poisoning ed è invisibile per l'utente finale.

Basta un DS mal configurato per spezzare l'intera catena. Quando succede, i resolver validanti restituiscono SERVFAIL. Il tuo sito funziona dalla tua rete, ma milioni di utenti non vedono nulla. Nessun monitor HTTP, nessun ping, nessun uptime check rileverà questo problema. Solo un test specifico DNSSEC rivela il guasto.

Un DS orfano dopo un key rollover mal gestito. Una firma scaduta durante la notte. Questi guasti silenziosi persistono per giorni, finché qualcuno non avvia un controllo.

Quattro motivi per verificare il tuo DNSSEC ora:

  • Sicurezza: Solo una chain of trust intatta garantisce che i visitatori raggiungano i tuoi server, non la copia di un attaccante.
  • Disponibilità: Una catena spezzata blocca il 30%+ delle query DNS mondiali. Google, Cloudflare e Quad9 rifiutano la risposta.
  • Conformità: Banche, pubblica amministrazione, sanità ed e-commerce richiedono sempre più spesso DNSSEC per tutti i domini.
  • Rilevamento proattivo: DS orfani, algoritmi deprecati e firme RRSIG in scadenza vanno individuati prima che provochino un'interruzione.

Come utilizzare il DNSSEC Checker in 3 passaggi

Passaggio 1: Inserisci il tuo dominio

Inserisci il nome di dominio da verificare, ad esempio cloudflare.com o nic.fr. Lo strumento accetta qualsiasi dominio, firmato DNSSEC o meno. Se DNSSEC non è attivo, lo saprai immediatamente.

Passaggio 2: Scegli la modalità di analisi

  • Modalità Semplice (predefinita): Verifica la chain of trust completa interrogando un server autoritativo per zona. Risultato in 1-3 secondi.
  • Modalità Completa: Tutto ciò che include la Semplice, più la coerenza DNSKEY multi-server e la validazione RRSIG sui dati (SOA, NS, A, MX). Risultato in 5-10 secondi.

Usa la modalità Completa dopo un key rollover, una migrazione DNS o per un audit di sicurezza. Nel dubbio, inizia con la modalità Semplice.

Passaggio 3: Analizza il report e correggi

Il report classifica ogni risultato per gravità, zona per zona:

  • Errori: Catena spezzata, firme non valide, incoerenza tra server. Bloccano la risoluzione.
  • Avvertimenti: DS orfani, algoritmi deboli, RRSIG in scadenza. Richiedono attenzione.
  • Informazioni: CSK rilevata, NS fuori bailiwick, numero di DS nel parent. Utili a titolo informativo, nessuna azione necessaria.

Cos'è la chain of trust DNSSEC?

La chain of trust DNSSEC funziona come una staffetta di verifiche crittografiche a cascata. Ogni zona garantisce per la successiva. Parte dalla root DNS e arriva fino al tuo dominio:

Root (.)
  |-- DS del TLD --> verifica la DNSKEY del TLD (KSK)
  |-- La ZSK del TLD firma il DS del tuo dominio
        |-- DS del tuo dominio --> verifica la tua DNSKEY (KSK)
        |-- La tua KSK firma il DNSKEY RRSet
        |-- La tua ZSK firma i dati (A, MX, SOA, NS)

I record chiave:

RecordRuoloDove è pubblicato
DS (Delegation Signer)Hash di una DNSKEY figlia, crea il collegamento tra zoneZona parent
DNSKEYChiave pubblica della zona (KSK = flags 257, ZSK = flags 256)Zona figlia
RRSIGFirma crittografica di un insieme di recordZona figlia
NSEC/NSEC3Prova autenticata di inesistenza di un recordZona figlia

Ogni anello dipende dal precedente. Un solo anello spezzato e l'intera catena crolla. I resolver restituiscono SERVFAIL per tutto il dominio, non solo per la zona difettosa.

Cosa verifica esattamente lo strumento?

Modalità Semplice

ElementoDescrizioneRisultato
DS RecordsRecord DS pubblicati presso il parentCorrispondenza con DNSKEY, orfani, digest debole
DNSKEY RecordsChiavi pubbliche della zona (KSK/ZSK)Presenza, algoritmo, associazione DS
RRSIG su DSFirma del DS RRSet da parte della ZSK del parentValidità crittografica + finestra temporale
RRSIG su DNSKEYFirma del DNSKEY RRSet da parte della KSKValidità crittografica + finestra temporale
AlgoritmiTipo di algoritmo di firmaRilevamento algoritmi deprecati (RFC 8624)
Digest DSTipo di hash del DSRilevamento SHA-1 deprecato

Modalità Completa (in aggiunta)

ElementoDescrizioneRisultato
Coerenza DNSKEYConfronta le DNSKEY su tutti i server autoritativiRilevamento incoerenze tra server
RRSIG su SOAFirma del record SOAValidità + tempo residuo prima della scadenza
RRSIG su NSFirma dei record NSValidità + tempo residuo prima della scadenza
RRSIG su A/MXFirme dei record A e MXValidità + tempo residuo prima della scadenza
Scadenza RRSIGTempo residuo prima della scadenza di ogni firmaAllarme se scadenza entro 7 giorni

Diagnosi comuni e soluzioni

DS orfano (DNSSEC_DS_ORPHAN)

Sintomo: Un record DS nel parent non ha nessuna DNSKEY corrispondente nella tua zona.

Causa probabile: Key rollover incompleto. La vecchia chiave è stata eliminata dalla zona prima dell'aggiornamento del DS presso il registrar.

Azione: Elimina il DS orfano tramite il registrar. Oppure riaggiungi la DNSKEY corrispondente. Rilancia il checker per confermare.

Algoritmo debole (DNSSEC_WEAK_ALGO)

Sintomo: La tua zona utilizza un algoritmo di firma considerato non sicuro dalla RFC 8624.

Algoritmi interessati: RSAMD5 (1), DSA (3), DSA-NSEC3-SHA1 (6) sono vietati. RSASHA1-NSEC3-SHA1 (7) è sconsigliato.

Azione: Migra verso ECDSAP256SHA256 (13) o ED25519 (15). Sicurezza migliore, firme 4 volte più compatte di RSA-2048.

Digest SHA-1 (DNSSEC_WEAK_DIGEST)

Sintomo: Il tuo DS utilizza SHA-1 (tipo 1) come tipo di digest.

Azione: Aggiungi un DS SHA-256 (tipo 2) in parallelo. Attendi 48 ore di propagazione. Solo dopo, elimina il DS SHA-1.

SERVFAIL dopo l'attivazione di DNSSEC

Sintomo: Il tuo dominio restituisce SERVFAIL per i resolver validanti dopo l'attivazione di DNSSEC.

Cause frequenti:

  • DS nel registrar non corrisponde alla DNSKEY della tua zona
  • Firme RRSIG non generate o scadute
  • Server autoritativi che non servono i record DNSKEY

Azione: Avvia il test in modalità Completa per individuare l'anello spezzato. Verifica prima che il DS corrisponda alla KSK: stesso key tag, stesso algoritmo.

Incoerenza DNSKEY tra server (DNSSEC_SERVER_INCONSISTENT)

Sintomo: I server autoritativi della tua zona non servono le stesse chiavi DNSKEY. Rilevato solo in modalità Completa.

Causa probabile: Propagazione incompleta tra server primario e secondari, oppure configurazione diversa su un server.

Azione: Verifica la replica tra i tuoi server DNS. Forza un trasferimento di zona (AXFR/IXFR) se necessario. Rilancia il test dopo qualche minuto per confermare.

Verificare DNSSEC con dig (riga di comando)

Per i sysadmin che preferiscono il terminale, dig permette di verificare DNSSEC manualmente:

# Verificare i record DS nel parent
dig DS captaindns.com +short

# Verificare le DNSKEY della zona
dig DNSKEY captaindns.com +dnssec +short

# Verificare le RRSIG su un record
dig A captaindns.com +dnssec

# Verificare la catena completa con validazione
dig captaindns.com +sigchase +trusted-key=./root.keys

Questi comandi richiedono competenze DNS e accesso al terminale. Il DNSSEC Checker qui sopra fa lo stesso lavoro automaticamente, con risultati visivi e zero riga di comando.

DNSSEC per provider DNS

L'attivazione di DNSSEC richiede la collaborazione tra provider DNS e registrar. Ecco come si posizionano i principali provider:

ProviderDNSSECAttivazioneAlgoritmo predefinito
CloudflareAutomaticoUn clic nella dashboard, poi aggiunta del DS nel registrarECDSAP256SHA256 (13)
OVHSupportatoAttivazione tramite lo spazio cliente o l'APIVaria secondo la configurazione
AWS Route 53SupportatoTramite la console AWS, creazione KSK poi DS nel registrarECDSAP256SHA256 (13)
GandiAutomaticoAttivo di default se Gandi è registrar + provider DNSECDSAP256SHA256 (13)
InfomaniakSupportatoAttivazione tramite il managerECDSAP256SHA256 (13)

Dopo l'attivazione, verifica sempre la chain of trust con lo strumento qui sopra. L'errore n. 1: un DS nel registrar che non corrisponde alla DNSKEY generata dal provider.

Best practice DNSSEC

Algoritmo di firma: Usa ECDSAP256SHA256 (13) o ED25519 (15). ECDSA produce firme 4 volte più compatte di RSA-2048. Evita RSA salvo vincoli di compatibilità.

Digest DS: Pubblica un DS con SHA-256 (tipo 2). Aggiungi SHA-384 (tipo 4) se il registrar lo supporta. Non pubblicare mai un DS SHA-1 da solo.

Key rollover: Segui il processo RFC 7583. Non eliminare mai il vecchio DS prima che il nuovo sia propagato. Avvia il DNSSEC Checker dopo ogni rotazione per confermare zero DS orfani.

Monitoring: Verifica la chain of trust dopo ogni modifica DNS. Le firme RRSIG hanno una durata finita: se la zona non viene rifirmata in tempo, i resolver restituiscono SERVFAIL senza preavviso.

Migrazione di provider: Conferma che il nuovo provider supporti DNSSEC con lo stesso algoritmo prima di migrare. Durante la migrazione, i due set di chiavi devono coesistere fino al completamento della propagazione.

Casi d'uso concreti

Attivazione DNSSEC presso un nuovo registrar

Hai appena attivato DNSSEC? Avvia subito una verifica in modalità Semplice. Conferma che il DS nel parent corrisponda alla DNSKEY della tua zona. Una sola discrepanza significa SERVFAIL per ogni resolver validante.

Key rollover

Dopo un key rollover, cerca DS orfani con la modalità Semplice. Un vecchio DS non eliminato non blocca la risoluzione oggi. Ma segnala manutenzione incompleta e complicherà il prossimo rollover.

Migrazione di provider DNS

Stai migrando a Cloudflare, Route 53 o un altro provider? Avvia il test in modalità Completa. Verifica tre cose: i DS puntano alle nuove DNSKEY, le firme sono valide su tutti i server autoritativi, le chiavi sono coerenti su ogni server.

Audit di sicurezza

La modalità Completa è il tuo report di conformità DNSSEC. Copre la coerenza DNSKEY tra tutti i server autoritativi, la validità delle firme sui dati (SOA, NS, A, MX) e i giorni residui prima della scadenza di ogni RRSIG.

Dominio che restituisce SERVFAIL

Utenti segnalano che il tuo sito è irraggiungibile da alcune reti? Probabilmente reti con resolver validanti. Avvia il test immediatamente. Se la catena è spezzata, lo strumento mostra esattamente dove.

FAQ - Domande frequenti

D: Cos'è DNSSEC e perché attivarlo?

R: DNSSEC aggiunge firme crittografiche alle risposte DNS. Senza di esso, un attaccante può falsificare le risposte e dirottare il traffico (cache poisoning). Con DNSSEC, i resolver possono verificare che le risposte siano autentiche.

D: Come verificare se DNSSEC è attivo sul mio dominio?

R: Inserisci il tuo dominio nello strumento qui sopra. Se mostra "DNSSEC non è attivo", nessun record DS esiste presso il registry parent. Contatta il tuo registrar per attivarlo.

D: Cos'è un DS orfano?

R: Un record DS nel parent senza DNSKEY corrispondente nella zona figlia. Di solito risulta da un key rollover incompleto. Non è bloccante se esiste un altro DS valido, ma indica una lacuna nella configurazione.

D: Perché il mio dominio restituisce SERVFAIL dopo l'attivazione di DNSSEC?

R: La chain of trust è spezzata. Tre cause frequenti: DS/DNSKEY non corrispondenti nel registrar, firme RRSIG mancanti o scadute, oppure server autoritativi che non servono le DNSKEY. Avvia la modalità Completa per trovare l'anello esatto.

D: Qual è la differenza tra la modalità Semplice e Completa?

R: La Semplice verifica la catena DS/DNSKEY/RRSIG su un server per zona (1-3 secondi). La Completa aggiunge la coerenza DNSKEY multi-server e le firme RRSIG sui dati SOA/NS/A/MX (5-10 secondi).

D: Quali algoritmi DNSSEC sono raccomandati?

R: ECDSAP256SHA256 (13) ed ED25519 (15). Evita RSAMD5, DSA e RSASHA1-NSEC3-SHA1. La RFC 8624 li classifica come deboli o vietati.

D: DNSSEC rallenta la risoluzione DNS?

R: Impatto trascurabile con i resolver moderni. Le risposte sono leggermente più grandi a causa delle firme, ma i resolver mettono in cache i risultati validati come quelli non firmati.

Strumenti complementari

StrumentoUtilità
DNS Domain CheckAudit completo della configurazione DNS con verifica DNSSEC di base
DNS LookupInterrogare manualmente i record DS, DNSKEY o RRSIG
DNS Propagation TestVerificare la propagazione delle modifiche DNSSEC nel mondo
RDAP LookupVerificare lo stato DNSSEC del dominio presso il registrar

Risorse utili