Defaults.Exposed › Configurazione › DNSSEC

Come configurare il DNSSEC su Namecheap

Attiva il DNSSEC in Namecheap così nessuno può falsificare le tue risposte DNS e reindirizzare i tuoi visitatori o la tua email.

Perché è importante per la tua azienda

Ogni volta che qualcuno apre il tuo sito o ti scrive un’email, il suo computer chiede al sistema DNS dove trovarti. Quelle risposte di solito viaggiano senza firma, perciò un malintenzionato in grado di interferire con la richiesta può silenziosamente dirottare i tuoi visitatori verso un sito contraffatto o reindirizzare la tua email al proprio server — il tutto mentre il tuo dominio autentico compare ancora nella barra degli indirizzi.

Il DNSSEC chiude questa porta. Firma crittograficamente le tue risposte DNS, così chiunque ti cerchi può confermare che la risposta proviene davvero da te e non è stata manomessa lungo il percorso. In parole semplici: previene il dirottamento del dominio e il cache poisoning, gli attacchi che trasformano il tuo stesso dominio in un’arma contro i tuoi clienti. È gratuito e, quando è Namecheap a gestire il tuo DNS, è quasi un singolo clic.

Come funziona il DNSSEC (e perché su Namecheap può essere semplice)

Il DNSSEC ha due metà: l’host DNS firma i tuoi record e pubblica le chiavi (un DNSKEY) più una piccola impronta chiamata record DS, e il registrar deposita quel record DS nella zona genitore così il resto di internet si fida delle firme.

Quando Namecheap è sia il tuo registrar sia il tuo host DNS — cioè il tuo dominio usa il BasicDNS / PremiumDNS di Namecheap — Namecheap gestisce entrambe le metà con un singolo interruttore. Firma la zona e pubblica il record DS lungo la catena per te. Quando il tuo DNS è ospitato altrove, copi invece a mano in Namecheap il record DS di quell’host.

Il rischio reale — fai le cose nell’ordine giusto

Il DNSSEC può mettere il tuo dominio offline se è configurato in modo errato. I due modi in cui ciò accade:

• Un record DS depositato presso il registrar che non corrisponde a ciò con cui l’host DNS sta effettivamente firmando.
• Spostare il tuo DNS a un host diverso (o disattivare la firma) senza rimuovere prima il record DS — il record DS obsoleto continua a richiedere firme che non esistono più, e le ricerche falliscono.

Quindi: se sposti il DNS lontano da Namecheap, o via dai nameserver Namecheap, disattiva il DNSSEC e cancella il record DS prima, poi sposta. Segui il flusso qui sotto nell’ordine e sei al sicuro.

Verifica che sia Namecheap a gestire il tuo DNS

Controlla cosa risponde al DNS per il tuo dominio. Nel tuo account Namecheap, apri il dominio e guarda l’impostazione Nameservers sulla scheda Domain:

• Se è impostata su Namecheap BasicDNS o Namecheap Web Hosting DNS / PremiumDNS, è Namecheap a ospitare il tuo DNS — usa il flusso con un clic.
• Se mostra Custom DNS che punta a un altro provider, è quel provider a ospitare il tuo DNS — attiva lì il DNSSEC, poi aggiungi in Namecheap il record DS che ti fornisce.

Passo dopo passo su Namecheap (Namecheap è registrar e host DNS)

1. Accedi a Namecheap.
2. Vai su Domain List e clicca Manage accanto al tuo dominio.
3. Apri la scheda Advanced DNS.
4. Scorri fino alla sezione DNSSEC.
5. Porta il DNSSEC su attivo.
6. Conferma. Con il DNS di Namecheap, è Namecheap a firmare la zona e a pubblicare il record DS lungo la catena per te — non c’è nulla da copiare altrove.

Passo dopo passo quando il tuo DNS è ospitato altrove

Se Namecheap è il tuo registrar ma un’altra azienda ospita il tuo DNS:

1. Attiva prima il DNSSEC presso il tuo host DNS e copia i valori del record DS che produce — di solito Key Tag, Algorithm, Digest Type e il Digest.
2. In Namecheap, apri il dominio e vai alla scheda Advanced DNS, poi alla sezione DNSSEC.
3. Aggiungi un record DS e inserisci esattamente i valori del tuo host DNS nei campi corrispondenti.
4. Salva. Il record DS è ora depositato nella zona genitore, completando la catena di fiducia.

Errori frequenti su Namecheap

• L’interruttore fa tutto solo quando è anche Namecheap a ospitare il tuo DNS. Su Custom DNS, attivarlo da solo non basta — devi incollare il record DS del tuo vero host DNS.
• Non firmare due volte. Se il tuo host DNS esterno firma già la zona, in Namecheap inserisci soltanto il suo record DS — non attivare anche la firma di Namecheap.
• Copia i valori DS carattere per carattere. Una sola cifra sbagliata nel Digest significa che il DS non corrisponderà alle firme, che è esattamente ciò che mette un dominio offline. Incolla, non riscrivere mai.
• Fai corrispondere i numeri di algoritmo e tipo di digest a quanto riportato dal tuo host DNS — non tirare a indovinare.
• Disattiva il DNSSEC prima di cambiare i nameserver. Cambiare host DNS con un record DS obsoleto ancora in posizione è il modo classico per mettere un dominio offline.
• Dagli tempo. Le modifiche possono richiedere da pochi minuti fino a un giorno per propagarsi del tutto.

Verifica che abbia funzionato

Una volta attivato il DNSSEC (ed eventuale record DS in posizione), esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il DNSSEC è pubblicato e considerato attendibile correttamente per il tuo dominio.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.