Defaults.Exposed › Report
Che cos'è il DNSSEC — e ne hai davvero bisogno? (2026)
Pubblicato 2026-07-01
Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Il DNSSEC aggiunge firme crittografiche al DNS in modo che un resolver possa dimostrare che una risposta proviene davvero da te e non è stata manomessa. Vedi come assegniamo i voti.
Il DNSSEC appone su ogni risposta DNS del tuo dominio una firma, così che un aggressore non possa sostituirla silenziosamente con una falsa e dirottare i tuoi visitatori altrove. È uno dei controlli meno adottati sul web: solo il 1,99% dei 261 milioni di domini ha una catena firmata valida. È anche uno dei pochi in cui una configurazione sbagliata è peggio dell’assenza — il 3,02% dei domini è firmato ma con errori, il che può renderli irraggiungibili. Ecco cosa fa e se ne hai bisogno.
Da cosa protegge realmente il DNSSEC
Il DNS in chiaro non ha modo di dimostrare che una risposta sia autentica. Questo apre la porta al cache poisoning e allo spoofing DNS on-path — un aggressore fornisce a un resolver un record falsificato e dirotta i tuoi visitatori, o la tua posta, verso il suo server, senza alcun avviso sul certificato a rivelarlo. Il DNSSEC colma questa lacuna firmando i record, così che un resolver che effettua la validazione rifiuti tutto ciò che non si verifica.
Cosa non fa: non cifra il DNS, non mette in sicurezza il sito web stesso e non sostituisce HTTPS, DMARC o CAA. È un solo livello — l’integrità delle risposte DNS.
Il quadro dell’adozione
- 1,99% firmato e valido.
- 3,02% firmato ma con errori — una firma che non supera la validazione, il che può rendere il dominio irraggiungibile per chiunque usi un resolver che effettua la validazione. È questo il rischio che rende le persone diffidenti.
- Dove un registro lo promuove attivamente, l’adozione è molto più alta: le estensioni nazionali guidate dal registro raggiungono il 9,1% di validità, contro il 1,3% delle altre estensioni nazionali. L’adozione è una leva di policy, non un limite tecnico. Vedi il DNSSEC obbligatorio funziona? e il paradosso del DNSSEC.
Per estensione di dominio, il DNSSEC valido varia ampiamente: 18,38% su .se, 11,86% su .nl, 14,62% su .cz — contro appena 1,62% su .com.
Ne hai bisogno?
- Domini di valore elevato o presi di mira — banche, enti pubblici, infrastrutture, tutto ciò in cui dirottare utenti o posta rappresenta un premio consistente — ne traggono il maggior beneficio.
- Organizzazioni guidate dalla conformità — il DNSSEC compare sempre più spesso nei questionari di sicurezza e in alcune regole di settore.
- Tutti gli altri — è un ragionevole passo di rafforzamento se il tuo host DNS lo rende disponibile con un clic e gestisce per te il rinnovo delle chiavi. Se abilitarlo significa gestire manualmente chiavi che potresti sbagliare, il rischio di firma con errori è concreto — fallo dove è automatizzato.
Come attivarlo in sicurezza
- Usa un host DNS che automatizza il DNSSEC — firma e rinnovo delle chiavi gestiti per te (la maggior parte dei principali provider lo fa ora con un solo clic). Vedi correggi il DNSSEC.
- Abilita la firma, poi pubblica il record DS presso il tuo registrar per completare la catena di fiducia.
- Verifica che la catena si risolva prima di andartene — un dominio firmato ma con errori è peggio di uno non firmato.
- Non gestire mai le chiavi manualmente a meno che tu non disponga degli strumenti per ruotarle in modo affidabile.
Domande frequenti
Che cos’è il DNSSEC in parole semplici? È un insieme di firme digitali sui tuoi record DNS che permette ai resolver di dimostrare che la risposta è autentica e non è stata falsificata durante il transito.
Ho davvero bisogno del DNSSEC? È più utile per i domini ad alto rischio e dove la conformità lo richiede. Per tutti gli altri è un buon passo di rafforzamento se il tuo host DNS lo automatizza — il rischio principale è una configurazione errata, che attualmente riguarda il 3,02% dei domini.
Il DNSSEC cifra il mio DNS? No. Dimostra l’integrità (la risposta è autentica) ma non nasconde la query. Quella è una tecnologia diversa (DoH/DoT).
Il DNSSEC può danneggiare il mio sito web? Una firma con errori o scaduta può rendere il tuo dominio irrisolvibile per chiunque usi un resolver che effettua la validazione. È per questo che la firma automatizzata e il rinnovo delle chiavi sono importanti.
Il DNSSEC è gratuito? Sì sulla maggior parte degli host DNS moderni — è un’impostazione, non un acquisto.
Verifica gratuitamente il DNSSEC del tuo dominio
Scopri se il tuo dominio è firmato, valido e correttamente concatenato — in modo privato e riservato al solo proprietario.
Verifica il tuo dominio → · Correggi il DNSSEC → · Il DNSSEC obbligatorio funziona? → · Come assegniamo i voti → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.