DNSSEC

Cos’è il DNS?

Il sistema dei nomi a dominio (DNS) può essere paragonato ad una rubrica telefonica. L’apparecchio telefonico non può utilizzare direttamente i nomi e i cognomi ma necessita comunque di numeri di telefono. Allo stesso modo anche i computer connessi ad Internet non possono interagire in modo diretto con i nomi, ma hanno bisogno di indirizzi IP (Internet Protocol) che sono codici numerici univoci per identificare le macchine sulla Rete.

Gli esseri umani preferiscono avere a che fare con i nomi anziché con i numeri ed ecco che entra in gioco il sistema dei nomi a dominio che serve per abbinare i nomi ai numeri degli indirizzi IP.

Cos’è il DNSSEC?

Il DNS di per sé non ha possibilità di garantire l’autenticità delle informazioni: proprio come i numeri di telefono all’interno di una rubrica possono essere modificati (anche in modo fraudolento) così è possibile falsificare i dati del DNS.

Questo aspetto è problematico tanto più oggi ché molte attività giornaliere come il banking e lo shopping si basano su Internet e di conseguenza sul DNS. Quindi per migliorare la sicurezza del DNS, sono state introdotte le estensioni di sicurezza del DNS, cioè il DNSSEC. Questo è in grado di garantire l’autenticità dei dati del DNS per mezzo di firme digitali.

In che modo il DNSSEC protegge?

Quando si naviga su Internet, il browser utilizza un server DNS per tradurre i nomi in indirizzi IP, ad esempio quelli che si inseriscono nella barra degli indirizzi o i nomi contenuti nei link di una pagina web.

Il server DNS utilizza firme digitali che il DNSSEC introduce per verificare l’autenticità dei dati che riceve da Internet. Se un record viene falsificato il server DNS se ne accorge proprio grazie al fatto che la verifica della firma fallisce.

Gli utenti come lo utilizzano?

Gli utenti non devono effettuare cambiamenti alla configurazione dei loro dispositivi poiché sarà l’amministratore della rete che modificherà appositamente il server DNS utilizzato da tutti loro.

Come ci si accorge che il DNSSEC è abilitato?

È improbabile che ci si accorga che il DNSSEC è abilitato. L’unica cosa che si può notare è quando il server DNS rileva una firma non corretta nei dati del DNS. In questa evenienza l’utente vedrà una pagina bianca nel browser e un messaggio di errore che comunica che il server che si è tentato di raggiungere non è stato trovato. Al contrario degli avvisi circa gli errori di certificato nelle pagine in https protette da SSL, non c’è modo di ignorare gli errori di validazione da parte di DNSSEC.

Lo scenario del sistema autonomo SBTAP

Il sistema autonomo SBTAP ha implementato un sistema autoritativo di risoluzione dei nomi basato sul demone opensource NSD di NLnet labs e gestisce le estensioni DNSSEC attraverso il software, anche questo opensource, OpenDNSSEC. Quanto ai client, tutti gli utenti utilizzano server DNS di cache che effettuano la validazione delle firme digitali dei dati DNS. Il demone utilizzato nei server di cache è Unbound di NLnet Labs

Grazie a queste piattaforme, l’infrastruttura di rete di SBTAP può certificare la corretta risoluzione dei nomi, cosa che può essere verificata grazie anche a degli strumenti di terze parti che vengono, per comodità, riportate nelle pagine del menù DNSSEC.

Per quanto concerne le zone inverse delle risorse numeriche assegnate da RIPE NCC, la catena di credibilità dei domini ip6.arpa e in-addr.arpa, attinenti rispettivamente a IPv6 e IPv4, è stata certificata anche attraverso la pubblicazione di RR DS nel database di RIPE.

Ecco le rappresentazioni grafiche della catena di credibilità per tutte le risorse certificate:

as59715.net
comunesbt.it
san-benedetto-del-tronto.gov.it (still not available)
comune.san-benedetto-del-tronto.ap.it
comune.sanbenedettodeltronto.ap.it
istitutovivaldi.it
museodelleanfore.it
museodelmaresbt.it
comune.ap.it
comune.ascoli-piceno.it
comune.ascolipiceno.it
comuneap.gov.it (still not available)
200.5.185.in-addr.arpa
201.5.185.in-addr.arpa
202.5.185.in-addr.arpa
203.5.185.in-addr.arpa
0.c.d.c.2.0.a.2.ip6.arpa
1.c.d.c.2.0.a.2.ip6.arpa
2.c.d.c.2.0.a.2.ip6.arpa
3.c.d.c.2.0.a.2.ip6.arpa
4.c.d.c.2.0.a.2.ip6.arpa
5.c.d.c.2.0.a.2.ip6.arpa
6.c.d.c.2.0.a.2.ip6.arpa
7.c.d.c.2.0.a.2.ip6.arpa