Defaults.Exposed › Correzioni › DNSSEC

Come correggere DNSSEC

Il DNSSEC è un sigillo digitale sulla rubrica degli indirizzi del tuo dominio. Permette a internet di dimostrare che la risposta alla domanda «dove si trova questo dominio?» è arrivata davvero da te e non è stata manomessa per strada. Senza, la risposta può essere falsificata, e i tuoi visitatori dirottati in silenzio altrove.

In sintesi per la tua attività: Senza DNSSEC, un aggressore che riesce ad avvelenare una risposta DNS può puntare i tuoi clienti verso una copia perfetta del tuo sito mentre il loro browser mostra ancora il tuo dominio reale. Accessi, numeri di carta e dati personali vengono raccolti, e lo scopri solo dai chargeback e dalle proteste. Una configurazione DNSSEC rotta a metà è ancora peggio: può rendere il tuo sito irraggiungibile per una fetta crescente di visitatori senza alcun errore che tu possa mai notare.

Cosa può costarti

I visitatori che digitano il tuo dominio reale vengono reindirizzati in silenzio verso un sosia che cattura la loro password e i dati della carta — e poiché la barra degli indirizzi mostra il tuo dominio per tutto il tempo, nessuno sospetta nulla finché non arrivano le segnalazioni di frode.
La tua email viene reinstradata in silenzio: un aggressore falsifica la risposta per i tuoi server di posta, legge o intercetta i messaggi e reimposta le password su account che ti inviano un codice via email — il tutto senza toccare la tua casella.
Una configurazione DNSSEC fatta a metà (il sigillo pubblico esiste ma la chiave corrispondente manca) fa fallire casualmente il tuo sito e la tua email per i clienti su grandi ISP e reti aziendali: segnalazioni intermittenti del tipo «il tuo sito per me non funziona» che non riesci a riprodurre.
Il team di sicurezza di un potenziale cliente esegue un controllo pre-contratto, non vede DNSSEC, e ti annota come debole sui fondamentali, mettendo a rischio una trattativa per un'impostazione gratuita.
Compratori del settore pubblico e B2B di grandi dimensioni si aspettano sempre più il DNSSEC come base (è citato in normative come NIS2); la sua assenza ti squalifica in silenzio dai bandi ancora prima che inizi una conversazione.

Perché è importante. Il DNS è la rubrica degli indirizzi di internet, e per impostazione predefinita le sue risposte viaggiano senza firma: chiunque riesca a infilare una risposta falsificata può mandare i tuoi clienti e la tua email dove vuole, con il tuo dominio reale che compare ancora nel browser. Il DNSSEC mette un sigillo a prova di manomissione su quelle risposte così che possano essere verificate come autenticamente tue. La correzione è gratuita presso la maggior parte dei provider; l'unico costo reale è farla male, ed è per questo che ti accompagniamo con cura attraverso entrambe le metà.

Il DNSSEC, in parole semplici

Ogni volta che qualcuno visita il tuo sito o ti invia un’email, il suo computer pone prima a internet una domanda semplice: «dove si trova davvero questo dominio?». La risposta — l’insieme degli indirizzi del tuo sito e dei tuoi server di posta — torna dal DNS, la rubrica degli indirizzi di internet.

Ecco la parte scomoda: per impostazione predefinita, quelle risposte viaggiano senza firma. Non c’è nulla allegato a dimostrare che la risposta sia autentica. Se qualcuno riesce a infilare una risposta falsificata in quella conversazione — e ci sono modi noti e dimostrati di farlo esattamente — il computer del tuo visitatore l’accetterà senza problemi. Da quel momento, il visitatore può parlare con il server di un aggressore mentre il suo browser mostra ancora il tuo dominio nella barra degli indirizzi.

Il DNSSEC è la soluzione. Aggiunge un sigillo digitale a prova di manomissione alle tue risposte DNS. Quando il DNSSEC è attivo, internet può verificare matematicamente che una risposta sia arrivata davvero da te e non sia stata alterata per strada. Una risposta falsificata non supera il controllo e viene scartata. È la differenza tra una rubrica in cui chiunque può scarabocchiare e una in cui ogni voce è firmata e testimoniata.

Questa pagina copre le due parti che il nostro controllo esamina insieme: se il sigillo è pubblicato (il record DS) e se la chiave corrispondente dietro di esso esiste davvero (il record DNSKEY). Vedrai a breve perché contano entrambe — perché avere uno senza l’altro è un suo proprio tipo di guaio.

Quanto può costarti

Sono schemi realistici e aggregati, non una singola azienda nominata.

Il reindirizzamento invisibile. Un aggressore avvelena la risposta DNS per il tuo dominio. I clienti digitano il tuo indirizzo web reale, vedono il tuo dominio reale nella barra, e atterrano su una copia impeccabile della tua pagina di accesso o checkout ospitata dall’aggressore. Ogni password e numero di carta che inseriscono va dritto al criminale. Lo vieni a sapere solo quando iniziano i chargeback e le telefonate del tipo «sono stato hackerato tramite il tuo sito», e la pista riporta al tuo marchio, non a quello dell’aggressore.
Intercettazione silenziosa dell’email. Il DNS non punta solo al tuo sito; punta ai tuoi server di posta. Falsifica quella risposta e l’email in entrata può essere reinstradata prima attraverso un aggressore. Legge i messaggi sensibili, raccoglie i codici monouso che i servizi inviano via email per «verificare che sei tu» e reimposta le password sugli account legati al tuo dominio, il tutto senza mai accedere alla tua casella.
L’interruzione che non riesci a riprodurre. Questa viene da una configurazione DNSSEC fatta a metà. Il sigillo pubblico (DS) è presso il tuo registrar, ma la chiave corrispondente (DNSKEY) manca o è sbagliata. I visitatori su ISP e reti aziendali che controllano il DNSSEC — e ce ne sono di più ogni anno — semplicemente non riescono a risolvere il tuo dominio. Il tuo sito e la tua email funzionano bene per te e per il tuo tecnico, ma una fetta di clienti reali ottiene «impossibile raggiungere il sito» senza alcun errore che tu possa vedere. È uno dei problemi più difficili da diagnosticare proprio perché è invisibile dall’interno.
La trattativa persa. Il team di sicurezza o acquisti di un potenziale cliente esegue una scansione pre-contratto di routine sul tuo dominio. L’assenza di DNSSEC compare come segno rosso sulle «basi di sicurezza DNS». Per un controllo gratuito e ben compreso, la sua assenza viene letta come trascuratezza, e può costarti in silenzio un contratto che non sapevi nemmeno fosse a rischio.
Il bando per cui non sei nemmeno qualificato. Normative e checklist dei compratori nominano sempre più il DNSSEC come igiene di base attesa (è citato nelle disposizioni di sicurezza DNS di NIS2). I compratori B2B e del settore pubblico più grandi possono escluderti prima ancora che inizi una conversazione di vendita, semplicemente perché la casella non è spuntata.

Cos’è davvero

Il DNSSEC funziona come una catena di fiducia, e ha due parti mobili che devono concordare tra loro. È questo il cuore del perché il nostro controllo esamina due cose.

Il DNSKEY — la tua chiave. Il tuo provider DNS detiene una chiave crittografica e la usa per firmare i tuoi record DNS. La metà pubblica di quella chiave è pubblicata come record DNSKEY. Pensala come il timbro-sigillo tenuto dalla tua parte.

Il record DS — l’impronta che garantisce per la chiave. Una breve impronta di quella chiave, chiamata record DS (Delegation Signer), è pubblicata un livello più in alto, presso il registro del tuo dominio, tramite il tuo registrar. È questo che permette al resto di internet di fidarsi della tua chiave: ogni livello garantisce per quello sotto, fino alla radice di internet. Il DS è il sigillo registrato ufficialmente così che tutti gli altri possano riconoscerlo.

Perché il DNSSEC ti protegga davvero, entrambi devono essere presenti e devono coincidere:

DS presente + DNSKEY presente e corrispondente → buono. La catena di fiducia è completa. Le risposte falsificate vengono respinte; quelle legittime si verificano. È lo stato «superato».
Nessun DS (e nessun DNSKEY) → il DNSSEC semplicemente non è attivo. Non hai protezione, ma nulla è rotto. È lo stato «non ancora fatto» più comune. (Nel nostro punteggio è qui che il controllo DS conta contro di te; il controllo combinato della chiave tratta uno stato pulito e completamente «spento» come informativo anziché come fallimento netto, perché nulla si sta rompendo attivamente.)
DS presente, ma DNSKEY mancante o non corrispondente → rotto, e peggio che spento. Internet vede un sigillo pubblicato che punta a una chiave che non c’è. I resolver che validano concludono che il tuo dominio è stato manomesso e si rifiutano di risolverlo, causando le interruzioni intermittenti descritte sopra. È lo stato più urgente da correggere, e il nostro controllo lo segnala come gravità alta.
DNSKEY presente, ma nessun DS presso il registrar → attivato ma non attivo. I tuoi record sono firmati, ma poiché l’impronta non è mai stata registrata un livello più in alto, il resto di internet non ha modo di fidarsi di essi. Fai il lavoro senza la protezione. La correzione è aggiungere il record DS presso il tuo registrar.

Come si presenta una configurazione corretta, in una riga: un record DS presso il tuo registrar la cui impronta coincide con un DNSKEY attivo presso il tuo provider DNS, entrambi confermati con un rapido lookup.

Come correggerlo (gratis, circa 10–30 minuti)

Passa questa sezione a chi gestisce il tuo dominio o sito. La correzione in sé è gratuita presso la maggior parte dei provider — l’unico costo è farla con cura così che le due metà restino sincronizzate. Ti facciamo pagare solo se in seguito vuoi che monitoriamo che resti correttamente attivo.

La regola d’oro: attiva prima la firma (che crea il DNSKEY), poi pubblica il record DS presso il registrar — mai il contrario, e mai uno senza l’altro. Pubblicare un DS prima che la chiave esista è esattamente ciò che causa le interruzioni.

La via semplice (consigliata — Cloudflare):

In Cloudflare, assicurati che Cloudflare gestisca davvero il tuo DNS (i tuoi nameserver puntano a Cloudflare).
Vai su DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare genera e gestisce le chiavi al posto tuo (questo crea automaticamente la parte DNSKEY).
Cloudflare ti mostra i dettagli del record DS da pubblicare presso il tuo registrar.
Accedi al tuo registrar di dominio (es. GoDaddy, Namecheap, OVH) e trova la sezione DNSSEC. Incolla i valori DS che Cloudflare ti ha dato.
Attendi 24–48 ore per la propagazione completa. Il tuo sito e la tua email continuano a funzionare per tutto il tempo.

Altri provider DNS (AWS Route 53, il tuo host web, ecc.):

Nel pannello di controllo del tuo provider DNS, attiva il DNSSEC / «firma questa zona». Questo genera le chiavi di firma e pubblica i record DNSKEY.
Copia il record DS che il provider produce.
Aggiungi quel record DS presso il tuo registrar nelle sue impostazioni DNSSEC.
Conferma che il registrar l’ha accettato e attendi la propagazione.

Note per piattaforma:

Cloudflare — attivazione con un clic, poi un incolla del DS presso il registrar. La via di gran lunga più facile.
AWS Route 53 — attiva la firma DNSSEC sulla zona ospitata, poi aggiungi il record DS presso il registrar del tuo dominio (se il dominio è registrato con Route 53, AWS può collegarlo per te).
Microsoft 365 / Google Workspace — questi gestiscono la tua email, di solito non la tua zona DNS. Il DNSSEC si attiva dove vivono davvero i tuoi record DNS (spesso il tuo registrar, host o Cloudflare), non nel centro amministrativo di 365/Workspace.
Il tuo provider DNS non supporta affatto il DNSSEC? È comune con host più vecchi o economici. La soluzione pulita è spostare la gestione DNS a un provider che lo supporta (Cloudflare è gratuito), poi seguire la via semplice qui sopra. Spostare il DNS non richiede spostare il tuo sito o la tua email.

Verifica che abbia funzionato:

Esegui dig DS tuodominio.com e dig DNSKEY tuodominio.com — entrambi dovrebbero restituire record.
Oppure usa un qualsiasi controllore DNSSEC online gratuito e conferma una catena di fiducia verde/valida.
Non considerarlo fatto finché entrambi non restituiscono record corrispondenti. Un DS senza DNSKEY è lo stato rotto: correggilo o rimuovilo immediatamente.

Errori comuni

Pubblicare il DS prima che la chiave esista. L’errore più dannoso in assoluto: aggiungere il record DS presso il registrar prima che la firma sia davvero attiva presso il provider DNS. Crea lo stato «sigillo pubblicato, chiave mancante» che rende il tuo dominio irrisolvibile per i visitatori che controllano il DNSSEC. Attiva sempre prima la firma, poi pubblica il DS.
Lasciare un DS obsoleto dopo aver cambiato provider. Se migri provider DNS (o disattivi la firma) ma dimentichi di rimuovere o aggiornare il vecchio record DS presso il registrar, resti a puntare a una chiave che non esiste più — stesso esito rotto. Quando disattivi il DNSSEC o lo sposti, aggiorna il DS presso il registrar nella stessa modifica.
Fermarsi dopo il primo passo. Attivare la firma presso il provider DNS (creando il DNSKEY) ma non aggiungere mai il DS presso il registrar. Tutto sembra «attivo» nella dashboard DNS, ma senza DS la protezione non si attiva mai. Hai fatto il lavoro senza alcun beneficio.
Dare per scontato che HTTPS o l’autenticazione email lo coprano già. Il lucchetto e l’autenticazione email (SPF / DKIM / DMARC) sono preziosi ma risolvono problemi diversi. Nessuno di essi impedisce che una risposta DNS falsificata mandi i visitatori nel posto sbagliato fin dall’inizio.
Non monitorare dopo l’attivazione. Le chiavi vengono ruotate, i provider cambiano, i record vengono modificati. Una configurazione perfetta oggi può rompersi in silenzio mesi dopo. Se il DNSSEC è abbastanza importante da attivarlo, vale la pena un controllo periodico che sia ancora valido.

Dove si colloca nel tuo voto

Entrambi questi controlli contano per il tuo punteggio di Sicurezza DNS. Il controllo del record DS è trattato come il più prioritario dei due: un DS mancante è una falla reale ed è valutato come fallimento. Il controllo del DNSKEY conferma che il resto della catena sia intatto: supera solo quando un DS e un DNSKEY corrispondenti sono entrambi presenti, e segnala il pericoloso stato rotto «DS senza chiave» come gravità alta. Un risultato pulito «il DNSSEC semplicemente non è ancora attivato» è il punto di partenza comune per molte imprese; passare da lì a una coppia DS + DNSKEY completa e corrispondente è un aggiornamento gratuito e ben compreso che migliora la tua posizione di Sicurezza DNS e rimuove un’autentica via di impersonazione e intercettazione.

Configuralo sul tuo host

Passo per passo per i provider più diffusi:

FAQ

Non sono una persona tecnica: è qualcosa di cui devo occuparmi di persona?

No. Devi capire perché è importante (questa pagina lo spiega), ma la modifica vera e propria vive nelle impostazioni DNS e del registrar del tuo dominio, quindi spetta a chi gestisce il tuo dominio o sito. Passagli la sezione «Come correggerlo»: è gratuita e di solito richiede meno di mezz'ora. Ti facciamo pagare solo se in seguito vuoi che continuiamo a verificare che resti correttamente attivo.

Se il mio sito ha già il lucchetto (HTTPS), non sono già protetto?

Proteggono cose diverse. Il lucchetto mette in sicurezza la connessione una volta che un visitatore ha raggiunto il server giusto. Il DNSSEC protegge il passo precedente: assicurarsi che raggiunga il server giusto in primo luogo. Un aggressore che falsifica il tuo DNS può mandare i visitatori sul proprio server, che può avere un suo lucchetto valido su un dominio sosia o persino su una copia del tuo. Ti servono entrambi; uno non sostituisce l'altro.

Attivare il DNSSEC potrebbe rompere il mio sito o la mia email?

Fatto in un solo punto da un provider che lo supporta, no: i provider moderni gestiscono le chiavi al posto tuo e funziona e basta. Il rischio viene dal farlo in due passi scollegati e completarne solo uno: pubblicare il «sigillo» pubblico (il record DS) presso il registrar mentre la chiave corrispondente (DNSKEY) manca o non coincide. Quello stato rotto è peggio di nessun DNSSEC e causa interruzioni intermittenti. I passaggi qui sotto tengono le due metà sincronizzate così non succeda.

Ci appoggiamo a Cloudflare / Google Workspace / Microsoft 365: questo lo copre?

Non automaticamente, ma lo rende facile. Ciò che conta è dove è gestito il tuo DNS. Se il DNS è su Cloudflare, è un'attivazione con un clic più l'incollare un record presso il registrar. Microsoft 365 e Google Workspace gestiscono l'email, di solito non la tua zona DNS — il DNSSEC si attiva dove vivono davvero i record DNS del tuo dominio (spesso Cloudflare, il tuo registrar o il tuo host). I passaggi qui sotto coprono i casi comuni.

Cosa sono esattamente «DS» e «DNSKEY», e perché questa pagina li menziona entrambi?

Sono le due metà di un'unica serratura. DNSKEY è la chiave che il tuo provider DNS detiene e usa per firmare i tuoi record. DS è un'impronta di quella chiave, pubblicata un livello più in alto presso il tuo registrar così che il resto di internet possa confermare che la chiave è davvero tua. Entrambi devono essere presenti e devono coincidere. Controlliamo entrambi: un DS mancante significa che il DNSSEC non è attivo; un DS senza un DNSKEY corrispondente significa che è attivo ma rotto.

Quanto ci vuole perché funzioni, e come lo confermo?

Concedi 24–48 ore perché la modifica si diffonda del tutto in internet; se è fatta correttamente, il tuo sito e la tua email esistenti continuano a funzionare per tutto il tempo. Per confermare, il tuo referente IT può eseguire «dig DS tuodominio» e «dig DNSKEY tuodominio» e vedere i record restituiti per entrambi, oppure usare un qualsiasi controllore DNSSEC online gratuito. Possiamo anche monitorarlo in continuo così che una futura rottura venga colta il giorno in cui accade, non il giorno in cui un cliente si lamenta.