DNSSEC

Cos’è il DNS?

Il sistema dei nomi a dominio (DNS) può essere paragonato ad una rubrica telefonica. L’apparecchio telefonico non può utilizzare direttamente i nomi e i cognomi ma necessita comunque di numeri di telefono. Allo stesso modo anche i computer connessi ad Internet non possono interagire in modo diretto con i nomi, ma hanno bisogno di indirizzi IP (Internet Protocol) che sono codici numerici univoci per identificare le macchine sulla Rete.

Gli esseri umani preferiscono avere a che fare con i nomi anziché con i numeri ed ecco che entra in gioco il sistema dei nomi a dominio che serve per abbinare i nomi ai numeri degli indirizzi IP.

Cos’è il DNSSEC?

Il DNS di per sé non ha possibilità di garantire l’autenticità delle informazioni: proprio come i numeri di telefono all’interno di una rubrica possono essere modificati (anche in modo fraudolento) così è possibile falsificare i dati del DNS.

Questo aspetto è problematico tanto più oggi ché molte attività giornaliere come il banking e lo shopping si basano su Internet e di conseguenza sul DNS. Quindi per migliorare la sicurezza del DNS, sono state introdotte le estensioni di sicurezza del DNS, cioè il DNSSEC. Questo è in grado di garantire l’autenticità dei dati del DNS per mezzo di firme digitali.

In che modo il DNSSEC protegge?

Quando si naviga su Internet, il browser utilizza un server DNS per tradurre i nomi in indirizzi IP, ad esempio quelli che si inseriscono nella barra degli indirizzi o i nomi contenuti nei link di una pagina web.

Il server DNS utilizza firme digitali che il DNSSEC introduce per verificare l’autenticità dei dati che riceve da Internet. Se un record viene falsificato il server DNS se ne accorge proprio grazie al fatto che la verifica della firma fallisce.

Gli utenti come lo utilizzano?

Gli utenti non devono effettuare cambiamenti alla configurazione dei loro dispositivi poiché sarà l’amministratore della rete che modificherà appositamente il server DNS utilizzato da tutti loro.

Come ci si accorge che il DNSSEC è abilitato?

È improbabile che ci si accorga che il DNSSEC è abilitato. L’unica cosa che si può notare è quando il server DNS rileva una firma non corretta nei dati del DNS. In questa evenienza l’utente vedrà una pagina bianca nel browser e un messaggio di errore che comunica che il server che si è tentato di raggiungere non è stato trovato. Al contrario degli avvisi circa gli errori di certificato nelle pagine in https protette da SSL, non c’è modo di ignorare gli errori di validazione da parte di DNSSEC.

Lo scenario del sistema autonomo SBTAP