Perché verificare DNSSEC?
DNSSEC (DNS Security Extensions) aggiunge un livello di verifica crittografica al DNS. Senza DNSSEC, un attaccante può falsificare le risposte DNS per reindirizzare il traffico verso server malevoli (cache poisoning).
Tre motivi per verificare il tuo DNSSEC:
- Sicurezza: Assicurarsi che la catena di fiducia sia intatta e che i visitatori raggiungano effettivamente i tuoi server
- Conformità: Sempre più organizzazioni richiedono DNSSEC per i domini sensibili
- Rilevamento problemi: Identificare DS orfani, algoritmi deboli o firme scadute prima che causino interruzioni
Come utilizzare il DNSSEC Checker in 3 passaggi
Passaggio 1: Inserisci il tuo dominio
Inserisci il nome di dominio da verificare (ad esempio cloudflare.com o nic.fr). Lo strumento accetta qualsiasi dominio, che sia firmato DNSSEC o meno.
Passaggio 2: Analizza il report zona per zona
Lo strumento percorre la catena di fiducia dalla radice DNS:
- Radice (.): Verifica dei trust anchor
- TLD (es: .com): Verifica dei DS e DNSKEY del TLD
- Il tuo dominio: Verifica dei DS, DNSKEY e RRSIG
Per ogni zona, visualizzi i record DS, DNSKEY e le firme RRSIG con il loro stato di validazione.
Passaggio 3: Correggi i problemi rilevati
Il report identifica chiaramente:
- Gli errori (catena spezzata, firme non valide)
- Gli avvertimenti (DS orfani, algoritmi deboli)
- Le informazioni (CSK rilevata, NS fuori bailiwick)
Cos'è la catena di fiducia DNSSEC?
La catena di fiducia DNSSEC funziona come una serie di verifiche a cascata:
Radice (.)
|-- DS del TLD --> verifica la DNSKEY del TLD
|-- La ZSK del TLD firma il DS del tuo dominio
|-- DS del tuo dominio --> verifica la tua DNSKEY (KSK)
|-- La tua KSK firma il DNSKEY RRSet
|-- La tua ZSK firma i dati (A, MX, SOA, NS)
Ogni anello dipende dal precedente. Se uno solo è spezzato, l'intera validazione fallisce.
Cosa verifica esattamente lo strumento?
| Elemento | Descrizione | Risultato |
|---|---|---|
| DS Records | Record DS pubblicati presso il parent | Corrispondenza con DNSKEY, orfani, digest debole |
| DNSKEY Records | Chiavi pubbliche della zona (KSK/ZSK) | Presenza, algoritmo, associazione DS |
| RRSIG su DS | Firma del DS RRSet da parte della ZSK del parent | Validità crittografica |
| RRSIG su DNSKEY | Firma del DNSKEY RRSet da parte della KSK | Validità crittografica |
| Algoritmi | Tipo di algoritmo di firma | Rilevamento algoritmi deprecati (RFC 8624) |
| Digest DS | Tipo di hash del DS | Rilevamento SHA-1 deprecato |
Diagnosi comuni e soluzioni
DS orfano (DNSSEC_DS_ORPHAN)
Sintomo: Un record DS è pubblicato presso il parent ma nessuna DNSKEY corrispondente esiste nella tua zona.
Causa probabile: Rotazione di chiavi incompleta o vecchia chiave eliminata prima del DS.
Azione: Elimina il DS orfano presso il tuo registrar, oppure aggiungi la DNSKEY corrispondente nella tua zona.
Algoritmo debole (DNSSEC_WEAK_ALGO)
Sintomo: La tua zona utilizza un algoritmo di firma considerato non sicuro.
Azione: Pianifica una migrazione verso ECDSAP256SHA256 (algoritmo 13) o ED25519 (algoritmo 15).
Digest SHA-1 (DNSSEC_WEAK_DIGEST)
Sintomo: Il tuo DS utilizza SHA-1 come tipo di digest.
Azione: Aggiungi un DS con SHA-256 (tipo 2) in parallelo, poi elimina il DS SHA-1 una volta completata la propagazione.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| DNS Domain Check | Audit completo della configurazione DNS inclusa una verifica DNSSEC di base |
| DNS Lookup | Interrogare manualmente i record DS, DNSKEY o RRSIG |
| DNS Propagation Test | Verificare la propagazione delle modifiche DNSSEC nel mondo |
Risorse utili
- RFC 4033 - DNS Security Introduction: Introduzione alle estensioni DNSSEC
- RFC 8624 - Algorithm Implementation Requirements: Requisiti sugli algoritmi DNSSEC
- Verisign DNSSEC Debugger: Strumento di riferimento per il debug DNSSEC
- DNSViz: Visualizzazione avanzata della catena DNSSEC