Defaults.Exposed › Correzioni › Configurazione dei nameserver (diversità e SOA)

Come correggere Configurazione dei nameserver (diversità e SOA)

I tuoi nameserver sono l'elenco che dice a tutta internet dove trovare il tuo sito e la tua email. Se sono tutti sulla stessa rete e questa va giù, la tua impresa scompare da internet nello stesso istante — niente sito, niente email, niente — e un'impostazione dell'orologio fatta male su quei server può lasciare le modifiche che fai bloccate per giorni.

In sintesi per la tua attività: Se ogni nameserver del tuo dominio vive su un'unica rete, una sola interruzione o un attacco su quella rete manda offline insieme il tuo sito E la tua email — continui a pagare personale e pubblicità mentre nessun cliente può raggiungerti. Inoltre, timer SOA configurati male possono lasciare le tue modifiche DNS (un nuovo server, un cambio di provider email, un reindirizzamento d'emergenza) in propagazione per giorni invece che per ore.

Cosa può costarti

L'unica rete su cui stanno tutti i tuoi nameserver ha un brutto pomeriggio — un'interruzione o un attacco DDoS — e il tuo sito e la tua email spariscono nello stesso momento. I clienti vedono pagine di errore, la tua casella vendite respinge i messaggi, e al tuo referente web non resta che aspettare che la rete di qualcun altro si riprenda.
Il team di sicurezza di un cliente importante esegue un controllo sui fornitori, vede tutti i tuoi nameserver su un solo provider senza ridondanza, e annota il tuo dominio come singolo punto di guasto: attrito su un contratto che altrimenti avresti vinto.
Passi a un nuovo host web o cambi provider email, ma un timer «refresh» sbagliato nel tuo record SOA fa sì che gli altri server DNS continuino a distribuire il tuo vecchio indirizzo per giorni — così alcuni clienti atterrano su un sito morto e la tua email si divide in due.
Un incidente di sicurezza ti costringe a reindirizzare il traffico con urgenza, ma i tuoi timer SOA dicono al mondo di mettere in cache i tuoi vecchi record per una settimana, così la modifica fatta un'ora fa non ha ancora raggiunto metà di internet mentre il problema continua.
I tuoi due nameserver sono tecnicamente due nomi, ma puntano allo stesso rack sulla stessa rete, quindi la ridondanza che pensi di avere è un'illusione, e un singolo guasto manda comunque tutto giù.

Perché è importante. Ogni visita al tuo sito e ogni email inviata a te inizia con una ricerca verso i tuoi nameserver. Sono le fondamenta su cui poggia il resto della tua presenza online. Se quelle fondamenta non hanno ridondanza, un singolo guasto mette fuori uso tutto in una volta; se i loro valori di tempistica sono sbagliati, ogni modifica che fai è lenta a entrare in vigore, proprio quando puoi permettertelo di meno.

Cos’è, in parole semplici

Prima che qualcuno possa raggiungere il tuo sito o inviarti un’email, il suo computer deve porre una domanda semplice: «dove si trova davvero questo dominio?». I server che rispondono a quella domanda sono i tuoi nameserver. Sono la voce di elenco per tutta la tua presenza online — la primissima cosa che ogni visitatore e ogni email tocca, ancor prima che siano coinvolti il tuo sito o la tua casella.

Questa pagina copre due parti del fare bene quell’elenco:

Diversità — hai almeno due nameserver, e stanno su parti davvero separate della rete, così che una singola interruzione non possa zittirli tutti in una volta?
Il record SOA — un piccolo record «start of authority» che contiene i valori di tempistica che controllano per quanto tempo il resto di internet si fida e mette in cache le tue risposte DNS. Sbaglia i timer e ogni modifica che fai impiega più tempo a raggiungere il mondo.

Nessuno dei due è affascinante. Entrambi sono fondamenta. Quando sono giusti non ci pensi mai; quando sono sbagliati, te ne accorgi nel momento peggiore possibile.

Quanto può costarti

Tutto offline in una volta. Se tutti i tuoi nameserver vivono su un’unica rete e quella rete ha un’interruzione o viene colpita da un attacco DDoS, il tuo sito e la tua email si spengono insieme. Non è teorico: un singolo provider DNS sotto attacco ha messo aziende importanti e ben dotate fuori da internet per buona parte di una giornata. Con la ridondanza tra reti, un guasto è sopravvivibile; senza, è totale.
Una trattativa persa su un controllo fornitori. Il team di sicurezza o acquisti di un cliente più grande esegue un controllo prima di firmare, vede tutti i tuoi nameserver concentrati su un provider senza ripiego, e segnala il tuo dominio come singolo punto di guasto. È il tipo di neo piccolo ed evitabile che aggiunge attrito a un contratto che altrimenti vinceresti.
Modifiche che non entrano in vigore. Cambi host web, sposti provider email o devi reindirizzare il traffico in fretta. Un timer «refresh» o «expire» sbagliato nel tuo record SOA fa sì che gli altri server DNS continuino a servire la tua vecchia risposta per giorni. Metà dei tuoi clienti atterra sul nuovo sito, metà su quello morto; parte dell’email scorre verso il vecchio provider, parte verso il nuovo. La modifica fatta un’ora fa ancora non è completata.
Un’emergenza che non riesci a chiudere in fretta. Durante un incidente di sicurezza devi allontanare il traffico da un server compromesso ora. Se i tuoi timer SOA hanno detto al mondo di mettere in cache i tuoi record per una settimana, la tua correzione striscia per internet mentre il problema continua a mordere.
Ridondanza che non è reale. Hai due nameserver, quindi dai per scontato di essere coperto — ma entrambi puntano allo stesso rack sulla stessa rete. Il primo guasto hardware li elimina tutti, e la rete di sicurezza su cui contavi non c’è mai stata.

Cos’è davvero

Diversità dei nameserver. Il tuo dominio dovrebbe elencare almeno due nameserver, e idealmente questi dovrebbero stare su percorsi di rete davvero indipendenti, non solo due nomi che puntano alla stessa macchina. Dietro le quinte, ogni nome di nameserver si risolve in uno o più indirizzi IP, e ciò che conta davvero è se quegli indirizzi occupano parti diverse dell’instradamento di internet. Un serio provider DNS distribuisce i suoi nameserver su molti blocchi di rete e località separate in tutto il mondo, così che persino due nameserver dello stesso provider ti diano una ridondanza reale e indipendente. Il caso di guasto è l’opposto: un singolo host piccolo dove entrambi i «nameserver» sono la stessa macchina, così un guasto è totale.

Una nota per il lettore tecnico: il nostro controllo conta i tuoi record NS e poi guarda quanta diversità di rete autentica c’è dietro. Il segnale primario è la dispersione di blocchi di rete IP distinti in cui i nameserver si risolvono (grosso modo, range /16 per IPv4 e /32 per IPv6), con il numero di nomi di provider distinti come ripiego. Questo accredita deliberatamente i provider hyperscale Anycast — Cloudflare, Google, AWS Route 53, Azure DNS — che annunciano un’unica identità di rete da molti percorsi di instradamento globalmente separati e quindi offrono vera diversità anche da un singolo marchio. Avere meno di due nameserver vale zero in questo controllo ed è trattato come gravità alta, perché è un singolo punto di guasto non mitigato per l’intero dominio.

Il record SOA. Ogni zona DNS ha esattamente un record Start of Authority. Nomina il nameserver primario e il contatto amministrativo, porta un numero di serie che si incrementa a ogni modifica, e — la parte che conta per la tua impresa — contiene quattro timer:

Refresh — con quale frequenza i nameserver secondari ricontrollano il primario per le modifiche. Buon range: circa 1–24 ore (3.600–86.400 secondi).
Retry — quanto presto riprovare se un refresh fallisce. Buon range: circa 5–60 minuti (300–3.600 secondi).
Expire — per quanto i secondari continuano a servire i tuoi record se non riescono a raggiungere affatto il primario. Buon range: circa 1–4 settimane (604.800–2.419.200 secondi).
Minimum TTL — il limite minimo per quanto a lungo le risposte (incluse quelle «questo nome non esiste») vengono messe in cache. Dovrebbe essere un valore positivo sensato; 300 secondi è una scelta comune.

Come si presenta una configurazione corretta: un SOA che esiste, ha un contatto amministrativo valido e porta timer all’interno di quei range. Valori fuori dai range non sono fatali, ma o rallentano le tue modifiche (timer troppo lunghi) o caricano i tuoi nameserver inutilmente (troppo corti). Un SOA mancante o davvero rotto è il caso più serio.

Come correggerlo (gratis, circa 15 minuti)

Questa parte è per chi gestisce il tuo dominio o DNS — se non sei tu, passagli questa sezione. La correzione è gratuita; ti facciamo pagare solo per monitorare che resti corretta.

Passo 1 — Assicurati di avere almeno due nameserver su infrastruttura diversificata.

Verifica cosa hai oggi. Esegui dig NS tuodominio.com (o usa un qualsiasi strumento web di «DNS lookup») e leggi i nameserver. Due o più è il minimo.
Se ne hai solo uno, o entrambi sono su un singolo host piccolo, sposta il tuo DNS a un provider che ti dia ridondanza per impostazione predefinita. Praticamente ogni serio provider lo fa:
- Cloudflare — assegna due nameserver distribuiti sulla sua rete Anycast globale automaticamente quando aggiungi un dominio.
- AWS Route 53 — ogni zona ospitata riceve quattro nameserver su reti Route 53 separate.
- Google Cloud DNS / Microsoft 365 / Azure DNS — analogamente forniscono più nameserver su infrastruttura indipendente.
Per passare, imposta i nameserver del tuo dominio presso il tuo registrar (dove hai comprato il dominio — es. GoDaddy, Namecheap) su quelli che ti dà il nuovo provider DNS. Questa modifica può richiedere 24–48 ore per propagarsi del tutto.
Per una resilienza cintura-e-bretelle, le imprese più grandi o a maggior rischio possono gestire un DNS secondario da un secondo provider indipendente (es. Cloudflare + Route 53, oppure NS1 + Cloudflare). Per la maggior parte delle piccole imprese è facoltativo: un solo provider affidabile ti dà già una vera ridondanza tra reti.

Passo 2 — Verifica (e se serve, correggi) i tuoi timer SOA.

Esegui dig SOA tuodominio.com e leggi i valori di refresh, retry, expire e minimum TTL.
Confrontali con i range qui sopra. Nella stragrande maggioranza dei casi il tuo provider DNS ha già impostato valori predefiniti sensati e non c’è nulla da fare.
Se un valore è fuori range, correggilo dove è ospitato il tuo DNS:
- Sui provider gestiti (Cloudflare, Route 53, Google, Azure) il SOA è in gran parte gestito per te; di solito lo regoli tramite le impostazioni DNS del provider o l’assistenza, piuttosto che modificarlo a mano.
- Su un nameserver autogestito (BIND, PowerDNS) modifica la riga SOA direttamente nel file di zona e ricarica la zona, ricordando di incrementare il numero di serie così che i secondari raccolgano la modifica.
Dopo ogni modifica, riesegui i lookup per confermare che sia l’elenco dei nameserver sia i timer SOA siano a posto.

Errori comuni

Trattare «due nomi» come «due reti». Due nomi di nameserver che puntano alla stessa macchina o rack sono un singolo punto di guasto travestito. Ciò che conta sono i percorsi di rete indipendenti, non il numero di nomi.
Dare per scontato che più sia sempre meglio, senza diversità. Cinque nameserver tutti su un host fragile non sono più sicuri di uno. La diversità batte la quantità.
Impostare i timer in modo troppo aggressivo. Abbassare il refresh SOA o il minimum TTL al massimo per «rendere le modifiche istantanee» non fa che martellare i tuoi nameserver e può peggiorare le interruzioni, con poco beneficio reale. I valori predefiniti sensati bilanciano già velocità e carico.
Impostare expire troppo basso. Se i secondari smettono di servire la tua zona troppo presto durante un’interruzione del primario, un intoppo recuperabile diventa un’interruzione totale. Tieni expire nell’ordine delle settimane.
Modificare una zona a mano e dimenticare il numero di serie. Sui nameserver autogestiti, i secondari raccolgono le modifiche solo quando il serial SOA aumenta. Cambia i record ma lascia il serial invariato e la tua «correzione» non si propaga mai.
Lasciare il DNS sul predefinito spoglio del registrar di dominio. Il DNS integrato di alcuni registrar è una configurazione singola e minimale. Spostare il DNS a un vero provider di solito ti dà ridondanza e timer SOA sensati in una sola mossa.

In conclusione

I tuoi nameserver e il loro record SOA sono le fondamenta su cui poggia tutto il resto. Due nameserver su reti davvero separate significano che un singolo guasto non può mandare offline tutta la tua impresa in una volta; timer SOA sensati significano che le modifiche che fai raggiungono davvero il mondo in fretta. Entrambi sono gratuiti da fare bene, entrambi sono di solito già in buona forma nel momento in cui sei su un vero provider DNS, ed entrambi meritano un controllo di due minuti, perché il giorno in cui contano è il giorno in cui puoi meno permetterti che siano sbagliati.

FAQ

Non sono una persona tecnica: è qualcosa che posso sistemare da solo?

Non devi capire gli aspetti interni del DNS. La diversità dei nameserver è di solito gestita per te nel momento in cui metti il tuo dominio su un vero provider DNS (Cloudflare, AWS Route 53, il tuo host): ti danno automaticamente due o più nameserver distribuiti sulla loro rete. Anche i timer SOA sono normalmente impostati con criterio per impostazione predefinita. Il compito è soprattutto verificare cosa hai e, se sei su una configurazione fragile e singola, passare a un provider che ti dà ridondanza. Passa la sezione tecnica qui sotto al tuo referente web o IT: la correzione è gratuita.

Qual è la differenza tra le due cose che questa pagina controlla?

Due parti collegate delle stesse fondamenta. La prima — la diversità dei nameserver — riguarda la resilienza: hai almeno due nameserver, e stanno su parti davvero diverse della rete così che un guasto non possa eliminarli tutti? La seconda — il record SOA — riguarda la tempistica: contiene i valori dell'orologio che dicono al resto di internet per quanto tempo fidarsi e mettere in cache le tue risposte DNS. Una è «non mettere tutte le uova nello stesso paniere»; l'altra è «imposta i timer così le modifiche scorrano in modo pulito».

Ho due nameserver della stessa azienda: è abbastanza?

Di solito sì, se quell'azienda è un serio provider DNS. I grandi provider come Cloudflare, Google e AWS gestiscono i loro nameserver su molte reti e località separate in tutto il mondo, quindi due nomi da loro stanno davvero su infrastruttura indipendente: è vera ridondanza. Il caso rischioso è un singolo host piccolo dove entrambi i «nameserver» sono in realtà la stessa macchina o lo stesso rack. Se vuoi cintura-e-bretelle, puoi gestire nameserver da due provider indipendenti, ma per la maggior parte delle piccole imprese un solo provider DNS affidabile è più che sufficiente.

Cosa fa concretamente alla mia impresa il valore «refresh» o «expire» del SOA?

Sono timer che dicono agli altri server DNS quanto attendere prima di ricontrollare i tuoi record, e per quanto continuare a servirli se non riescono a raggiungerti. Impostati troppo alti e una modifica che fai — un nuovo IP del server, un nuovo provider email, un reindirizzamento d'emergenza — impiega molto più tempo a raggiungere tutti. Impostati troppo bassi e i tuoi nameserver gestiscono traffico extra inutile. Valori predefiniti sensati (refresh nell'ordine delle ore, expire nelle settimane) tengono le modifiche in scorrimento rapido restando robusti durante un'interruzione. La maggior parte dei provider li imposta correttamente di serie.

Questo cambia il mio voto, e di quanto?

Sì, entrambe le parti contano per il tuo punteggio DNS. Avere meno di due nameserver è trattato come una falla seria perché è un singolo punto di guasto per tutta la tua presenza online. Un SOA configurato male è un problema più moderato: non ti mette offline, ma rallenta la tua capacità di reagire quando qualcosa cambia. Entrambi sono gratuiti da correggere e, per la maggior parte delle imprese, sono già in buona forma una volta che sei su un vero provider DNS.

C'è una fregatura: devo pagarvi per correggere questo?

No. Ottenere nameserver ridondanti e timer SOA sensati è gratuito presso ogni grande provider DNS, e i passaggi qui sotto sono tutto ciò che serve. Ti facciamo pagare solo se in seguito vuoi che continuiamo a sorvegliare il tuo dominio e ad avvisarti se la ridondanza dovesse ricadere a un singolo punto di guasto o i timer dovessero andare alla deriva.