Defaults.Exposed › Configurazione › DNSSEC

Come configurare il DNSSEC su Cloudflare

Attiva il DNSSEC in Cloudflare e aggiungi il record DS presso il tuo registrar così nessuno può falsificare le tue risposte DNS.

Perché è importante per la tua azienda

Quando qualcuno digita il tuo dominio o ti invia un’email, il suo computer chiede al sistema DNS l’indirizzo corretto. Normalmente quelle risposte viaggiano senza firma, il che significa che un malintenzionato in grado di manometterle può silenziosamente indirizzare i tuoi visitatori verso un sito falso o reindirizzare la tua email al proprio server. I tuoi clienti vedono il tuo vero dominio nella barra degli indirizzi per tutto il tempo.

Il DNSSEC chiude questa falla. Firma crittograficamente le tue risposte DNS, così chi ti cerca può dimostrare che la risposta proviene davvero da te e non è stata alterata lungo il percorso. In parole semplici: impedisce ai criminali di dirottare il tuo dominio o di avvelenare le ricerche che indirizzano le persone verso di te. È gratuito ed è una delle protezioni più forti che puoi attivare per le fondamenta su cui poggia tutto il resto.

Come funziona davvero il DNSSEC (così i passaggi avranno senso)

Il DNSSEC ha due metà che vivono in due posti:

• Il tuo host DNS (Cloudflare) firma i tuoi record e pubblica le chiavi pubbliche (un DNSKEY) più una piccola impronta di esse chiamata record DS.
• Il tuo registrar (dove hai acquistato e rinnovi il dominio) pubblica quel record DS nella zona genitore (per esempio .com).

Il record DS presso il registrar è l’anello della catena di fiducia. Cloudflare può firmare quanto vuole, ma finché il record DS corrispondente non è depositato presso il tuo registrar, internet non ha alcun modo firmato per fidarsi di quelle firme. Quindi il lavoro è in due passaggi: attivarlo in Cloudflare, poi consegnare il record DS al tuo registrar.

Il rischio reale — fallo con attenzione

Il DNSSEC può mettere offline l’intero dominio se è fatto male. I due modi in cui ciò accade:

• Pubblicare presso il registrar un record DS che non corrisponde a ciò con cui il tuo host DNS sta effettivamente firmando.
• Spostare il tuo DNS a un host diverso (o disattivare Cloudflare) senza rimuovere prima il record DS presso il registrar — il vecchio record DS continua a richiedere firme che non esistono più, e le ricerche iniziano a fallire.

Nessuno dei due è pericoloso se segui il flusso qui sotto nell’ordine e non cancelli mai il record DS presso il registrar mentre Cloudflare è ancora il tuo host di firma. Se prevedi di lasciare Cloudflare, disattiva il DNSSEC e rimuovi il record DS presso il registrar prima, poi sposta.

Verifica che sia Cloudflare a gestire il tuo DNS

Funziona solo se è Cloudflare a rispondere al DNS per il tuo dominio. Cloudflare è il tuo host DNS, non necessariamente l’azienda da cui hai acquistato il dominio. Il DNS di Cloudflare è attivo solo quando i nameserver del tuo dominio puntano ai nameserver Cloudflare mostrati nella dashboard. Apri il tuo dominio in Cloudflare e controlla la pagina Overview per confermare che Cloudflare sia attivo. Se i tuoi nameserver puntano altrove, attiva il DNSSEC presso il provider che gestisce davvero il tuo DNS.

Passo dopo passo su Cloudflare

1. Accedi a Cloudflare e seleziona il tuo dominio.
2. Nel menu a sinistra, vai su DNS, poi Settings (le dashboard più vecchie mostrano una sezione DNSSEC direttamente sotto DNS).
3. Trova DNSSEC e clicca Enable DNSSEC.
4. Cloudflare mostrerà un pannello di valori — il più importante è il record DS. Vedrai di solito campi come Key Tag, Algorithm, Digest Type, Digest e un record DS già pronto su una riga. Lascia aperto questo pannello; ti serve copiare questi valori presso il tuo registrar.
5. Ora accedi al tuo registrar (l’azienda con cui rinnovi il dominio — può essere o no Cloudflare).
6. Trova la sezione DNSSEC o record DS per il tuo dominio presso il registrar e aggiungi un nuovo record DS usando i valori esatti forniti da Cloudflare:
   • Key Tag — il numero mostrato da Cloudflare.
   • Algorithm — di solito 13 (ECDSA P-256 SHA-256).
   • Digest Type — di solito 2 (SHA-256).
   • Digest — la lunga stringa esadecimale, copiata esattamente.
7. Salva presso il registrar. Se il tuo registrar ti permette di incollare un’unica riga DS combinata invece di campi separati, usa la riga DS completa mostrata da Cloudflare.
8. Tornando in Cloudflare, una volta che il registrar ha accettato il record DS, lo stato DNSSEC di Cloudflare passerà ad active (la conferma può richiedere un po’).

Errori frequenti su Cloudflare

• Due sistemi, non uno. Attivare il DNSSEC solo in Cloudflare non fa nulla da solo — il record DS deve essere depositato anche presso il tuo registrar. Le persone si fermano dopo il passaggio 3 e si chiedono perché non diventa mai attivo.
• Copia il digest esattamente. Un solo carattere sbagliato o mancante nel Digest significa che il record DS del registrar non corrisponderà alle firme di Cloudflare, che è esattamente la configurazione errata che mette un dominio offline. Copia e incolla; non riscriverlo mai.
• Fai corrispondere i numeri di algoritmo e tipo di digest. Se il tuo registrar li richiede separatamente, usa i valori mostrati da Cloudflare — non tirare a indovinare.
• Se Cloudflare è anche il tuo registrar, il passaggio DS è gestito internamente e potresti non vedere un modulo separato del registrar — ma conferma che il DNSSEC risulti attivo prima di darlo per fatto.
• Non rimuovere mai il record DS mentre Cloudflare sta ancora firmando. E se mai migri il DNS lontano da Cloudflare, disattiva il DNSSEC e cancella il record DS presso il registrar prima dello spostamento.
• Dagli tempo. Le modifiche DNSSEC possono richiedere da pochi minuti fino a un giorno per propagarsi del tutto e risultare attive.

Verifica che abbia funzionato

Una volta che il DNSSEC risulta attivo in Cloudflare e il record DS è in posizione presso il tuo registrar, esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il DNSSEC è pubblicato e considerato attendibile correttamente per il tuo dominio.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.