Defaults.Exposed › Configurazione › DNSSEC

Come configurare il DNSSEC su GoDaddy

Attiva il DNSSEC in GoDaddy con un solo interruttore così nessuno può falsificare le tue risposte DNS e dirottare il tuo dominio.

Perché è importante per la tua azienda

Quando qualcuno visita il tuo sito o ti invia un’email, il suo computer chiede prima al sistema DNS l’indirizzo corretto. Quelle risposte normalmente viaggiano senza firma, perciò un malintenzionato in grado di manomettere la richiesta può silenziosamente dirottare i tuoi visitatori verso un sito falso o reindirizzare la tua email al proprio server — mentre il tuo vero dominio compare ancora nella barra degli indirizzi.

Il DNSSEC blocca tutto questo. Firma crittograficamente le tue risposte DNS, così chiunque ti cerchi può dimostrare che la risposta proviene davvero da te e non è stata alterata durante il transito. In parole semplici: impedisce il dirottamento del dominio e il cache poisoning, gli attacchi che rivoltano il tuo stesso dominio contro i tuoi clienti. È gratuito e su GoDaddy è di solito un singolo interruttore.

Come funziona il DNSSEC (e perché su GoDaddy è facile)

Il DNSSEC ha due metà: l’host DNS firma i tuoi record e pubblica le chiavi (un DNSKEY) più una piccola impronta chiamata record DS, e il registrar deposita quel record DS nella zona genitore così il resto di internet può fidarsi delle firme.

Quando GoDaddy è sia il tuo registrar sia il tuo host DNS — come accade per la maggior parte dei domini GoDaddy che usano i nameserver GoDaddy — GoDaddy fa entrambe le metà per te. Tu attivi un interruttore; GoDaddy genera le chiavi e deposita automaticamente il record DS lungo la catena. Nessun valore da copiare tra sistemi.

Il rischio reale — quando non è così semplice

Il DNSSEC può mettere il tuo dominio offline se è configurato male. Il pericolo nasce soprattutto quando il registrar e l’host DNS sono aziende diverse, o quando si cambia host DNS:

• Se il tuo dominio è registrato su GoDaddy ma il tuo DNS è ospitato altrove, l’interruttore con un clic di GoDaddy non si applica — devi attivare la firma presso il tuo vero host DNS e aggiungere a mano il record DS su GoDaddy.
• Se sposti il tuo DNS lontano da GoDaddy, disattiva prima il DNSSEC. Un record DS residuo che non corrisponde più a nessun host di firma attivo farà fallire le ricerche e il dominio andrà al buio.

Se GoDaddy è sia registrar sia host DNS, il flusso con un clic qui sotto è sicuro.

Verifica che sia GoDaddy a gestire il tuo DNS

Questo conta solo se è davvero GoDaddy a rispondere al DNS per il tuo dominio. Controlla che il tuo dominio usi i nameserver GoDaddy: nel tuo account GoDaddy, apri il dominio e guarda l’impostazione Nameserver. Se mostra i nameserver di GoDaddy, l’interruttore con un clic è la strada giusta. Se i nameserver puntano a un altro provider (per esempio un host DNS separato), attiva il DNSSEC presso quel provider, poi aggiungi su GoDaddy il record DS che ti fornisce.

Passo dopo passo su GoDaddy (un clic, GoDaddy è registrar e host DNS)

1. Accedi al tuo account GoDaddy.
2. Vai su I miei prodotti (oppure Portfolio domini).
3. Trova il tuo dominio e apri la sua pagina di gestione — clicca il nome del dominio o il menu a tre puntini e scegli Gestisci DNS / Impostazioni dominio.
4. Scorri fino alla sezione Impostazioni aggiuntive (in alcuni account compare sotto Gestione DNS).
5. Trova DNSSEC e clicca Gestisci o l’interruttore.
6. Porta il DNSSEC su attivo.
7. Conferma. GoDaddy genera le chiavi, firma la tua zona e pubblica il record DS lungo la catena per te — non c’è nulla da copiare altrove.

Passo dopo passo quando il tuo DNS è ospitato altrove

Se GoDaddy è solo il tuo registrar e un’altra azienda ospita il tuo DNS:

1. Attiva prima il DNSSEC presso il tuo host DNS e copia il record DS che produce (ti serviranno Key Tag, Algorithm, Digest Type e il Digest).
2. In GoDaddy, apri il dominio e trova la sezione DNSSEC sotto Impostazioni aggiuntive.
3. Scegli di aggiungere un record DS e inserisci esattamente i valori del tuo host DNS.
4. Salva. Il record DS è ora depositato nella zona genitore, completando la catena.

Errori frequenti su GoDaddy

• Controlla prima chi ospita il tuo DNS. L’interruttore con un clic fa tutto il lavoro solo quando GoDaddy è sia registrar sia host DNS. Se il DNS vive altrove, l’interruttore da solo non basta.
• Non attivarlo in due posti. Se il tuo host DNS firma già la zona, su GoDaddy aggiungi soltanto il suo record DS — non attivare anche l’interruttore di firma di GoDaddy, o avrai due configurazioni in conflitto.
• Copia i valori DS esattamente quando li inserisci a mano. Un solo carattere sbagliato nel Digest rompe la catena e può mettere il dominio offline.
• Disattiva il DNSSEC prima di spostare il DNS. Migrare verso un nuovo host DNS con un record DS obsoleto ancora in posizione è il modo classico per mettere un dominio offline.
• Dagli tempo. Le modifiche possono richiedere da pochi minuti fino a un giorno per propagarsi del tutto.

Verifica che abbia funzionato

Una volta attivato il DNSSEC (ed eventuale record DS in posizione), esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il DNSSEC è pubblicato e considerato attendibile correttamente per il tuo dominio.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.