Defaults.Exposed › Report
Dirottamento di dominio e DNS: come vengono rubati i domini e come proteggere il tuo (2026)
Pubblicato 2026-07-01
Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Il dirottamento consiste nel prendere il controllo del DNS o della registrazione del tuo dominio per reindirizzarne il traffico e la posta. Vedi come attribuiamo i voti.
Il dirottamento di dominio non tocca il tuo sito web: prende il controllo del DNS o dell’account presso il registrar che punta ad esso, così i tuoi stessi visitatori e la tua posta vengono silenziosamente reindirizzati verso un attaccante. I due controlli DNS che riducono maggiormente il rischio sono tra i meno diffusi sul web: solo il 1,99% dei domini ha DNSSEC valido e appena il 1,56% pubblica un record CAA. Ecco come vengono rubati i domini e come proteggere il tuo.
Come vengono effettivamente dirottati i domini
- Compromissione dell’account presso il registrar — una password rubata tramite phishing o riutilizzata sul login del tuo registrar consente a un attaccante di cambiare i nameserver o trasferire del tutto il dominio. Il vettore a maggior impatto e il più prevenibile.
- Manomissione dei record DNS / cache poisoning — risposte DNS contraffatte indirizzano utenti e posta altrove. È esattamente ciò che DNSSEC è progettato per fermare — e il 1,99% dei domini lo possiede (con un ulteriore 3,02% firmato ma malfunzionante).
- Record pendenti (dangling records) — una voce DNS lasciata a puntare verso una risorsa cloud che non possiedi più consente a qualcun altro di rivendicarla (subdomain takeover).
- Ri-registrazione di domini scaduti — se lasci scadere un dominio, chiunque può ri-registrarlo, ereditandone il traffico residuo e la fiducia associata. In tutto il censimento, il 6,2% dei domini non risolve più — un ampio bacino di nomi scaduti. Vedi i domini morti di internet.
- Emissione di certificati fraudolenti — senza un record CAA che limiti quali autorità possono emettere certificati per il tuo dominio, un certificato emesso in modo improprio è più facile da ottenere. Solo il 1,56% dei domini ne imposta uno.
La concentrazione aggiunge un’angolatura sistemica
La maggior parte dei domini si affida a una manciata di provider DNS, quindi un singolo incidente presso un provider ha una portata sproporzionata: il più grande operatore di nameserver da solo serve il 15,4% dei domini che utilizzano un provider riconosciuto, e i primi cinque insieme il 42,1%. La concentrazione non è un difetto che puoi correggere da solo, ma è un motivo per gestire correttamente i controlli che possiedi davvero. Vedi la concentrazione dei nameserver.
Come proteggere il tuo dominio
- Metti in sicurezza l’account presso il registrar — password univoca, MFA robusta e attiva il blocco presso il registrar (trasferimento vietato) così che il dominio non possa essere spostato senza uno sblocco esplicito.
- Abilita DNSSEC dove il tuo host lo automatizza — ferma le risposte DNS contraffatte a livello di resolver.
- Pubblica un record CAA indicando solo le autorità di certificazione che utilizzi, così che non possa essere emesso un certificato fraudolento.
- Verifica il DNS alla ricerca di record pendenti — rimuovi le voci che puntano a risorse che non controlli più.
- Non lasciare mai scadere i domini importanti — attiva il rinnovo automatico della registrazione e mantieni aggiornati i recapiti così che un avviso di rinnovo non sfugga mai.
Domande frequenti
Che cos’è il dirottamento di dominio? Prendere il controllo della registrazione o del DNS del tuo dominio per reindirizzarne il traffico web ed email — senza mai violare i tuoi server reali.
In cosa differisce il dirottamento DNS? Il dirottamento DNS manomette in modo specifico i record che risolvono il tuo dominio (tramite compromissione dell’account, cache poisoning o un host DNS compromesso). DNSSEC difende dalle risposte contraffatte; solo il 1,99% dei domini lo possiede.
Qual è la migliore protezione in assoluto? Mettere in sicurezza l’account presso il registrar — password univoca, MFA e blocco del trasferimento presso il registrar. La maggior parte dei dirottamenti inizia con l’accesso all’account, non con attacchi sofisticati.
DNSSEC ferma il dirottamento? Ferma una classe importante — le risposte DNS contraffatte o avvelenate — ma non la compromissione dell’account presso il registrar. Usalo insieme alla sicurezza dell’account e a CAA.
Qualcosa di tutto ciò è costoso? No. Il blocco presso il registrar, DNSSEC e CAA sono impostazioni gratuite; il costo è la disciplina di applicarle.
Verifica gratuitamente le difese DNS del tuo dominio
Scopri se DNSSEC e CAA sono presenti e configurati correttamente — in modo privato e solo per il proprietario.
Verifica il tuo dominio → · Correggi DNSSEC → · Correggi CAA → · Come attribuiamo i voti → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.