DNSSEC (Domain Name System Security Extensions) e una suite di specifiche IETF (RFC 4033, 4034 e 4035 di marzo 2005) che aggiunge firme crittografiche ai record DNS. Senza DNSSEC un resolver non puo verificare che una risposta provenga davvero dal server autoritativo e non sia stata modificata in transito, rendendo possibili attacchi come cache poisoning, DNS spoofing e man in the middle. Con DNSSEC ogni set di record viene firmato con una chiave privata del proprietario della zona e il resolver convalida con la chiave pubblica. La zona root e firmata dal 15 luglio 2010. Nel 2025 piu del 90 percento dei ccTLD e tutti i principali gTLD (com, net, org, info, biz) supportano DNSSEC, ma l adozione a livello di dominio varia: Paesi Bassi, Svezia, Repubblica Ceca e Norvegia superano il 60 percento, altri paesi restano sotto il 5 percento.
Come funziona DNSSEC?
- DNSKEY: chiavi pubbliche. ZSK firma i record, KSK firma il set DNSKEY.
- RRSIG: firma digitale di ogni set di record.
- DS (Delegation Signer): hash della KSK figlia pubblicato nella zona genitore. Chiude la catena di fiducia.
- NSEC o NSEC3: dimostra la non esistenza di un record. NSEC3 hash i nomi.
Il resolver validatore parte dalla root, controlla la KSK root contro un trust anchor incorporato (root key, ultima rotazione ottobre 2018 da KSK 19036 a KSK 20326), e segue la catena fino alla zona richiesta. Firma mancante o invalida produce SERVFAIL.
Quali attacchi previene DNSSEC?
- Cache poisoning, attacco Kaminsky 2008.
- DNS spoofing su WiFi pubblico o ISP ostile.
- Conseguenze di hijack BGP.
- Server autoritativo compromesso (protezione limitata).
Cosa DNSSEC NON fa
- Non cifra le query DNS. Per questo DoH (RFC 8484) o DoT (RFC 7858).
- Non protegge l ultimo miglio se il client non valida.
- Non ferma DDoS, anzi amplifica.
- Non autentica il sito web. Compito di TLS.
Come attivare DNSSEC
- Scegli un provider DNS con DNSSEC: Cloudflare, AWS Route 53 (dicembre 2020), Google Cloud DNS, Azure DNS (2024), DNSimple, Hurricane Electric, Namecheap, Gandi, OVH, INWX, Hetzner, Porkbun, Aruba.
- Attiva DNSSEC nel pannello del provider.
- Copia il record DS.
- Incollalo nel pannello del registrar.
- Attendi fino a 48 ore e convalida con
dig +dnssec tuodominio.it A.
Come verificare DNSSEC
- Online: DNSViz, Verisign DNSSEC Debugger, Internet.nl, MxToolbox.
- Riga di comando:
dig +dnssec example.itodelv example.it. - Browser: estensione "DNSSEC/TLSA Validator" di CZ.NIC.
Algoritmi
| N. | Algoritmo | Stato |
|---|---|---|
| 5 | RSA/SHA 1 | Obsoleto |
| 8 | RSA/SHA 256 | Piu diffuso |
| 10 | RSA/SHA 512 | Firme piu grandi |
| 13 | ECDSA P 256 | Consigliato moderno |
| 14 | ECDSA P 384 | Sicurezza maggiore |
| 15 | Ed25519 | Compatto |
| 16 | Ed448 | Alta sicurezza |
Rollover delle chiavi
ZSK ogni 1 a 3 mesi, KSK ogni 1 a 2 anni. Primo rollover della KSK root nell ottobre 2018. Prossimo previsto da ICANN per 2026 o 2027.
DNSSEC e DANE
DANE (RFC 6698, agosto 2012) usa record TLSA firmati con DNSSEC per pubblicare le impronte dei certificati TLS nel DNS. Molto diffuso in SMTP. In HTTPS non si e mai affermato nei browser.
DNSSEC e DoH
- DNSSEC garantisce autenticita.
- DoH garantisce riservatezza.
Cloudflare 1.1.1.1, Google 8.8.8.8 e Quad9 9.9.9.9 convalidano DNSSEC e offrono DoH/DoT.
Errori comuni
- Non aggiornare il DS dopo un rollover.
- Cambiare provider senza coordinare DNSSEC.
- Algoritmo non supportato da tutti i resolver.
- Mancato monitoraggio della scadenza delle firme.
- Confondere DNSSEC con HTTPS o SPF/DKIM/DMARC.
Come InspectWP aiuta con DNSSEC?
InspectWP interroga i record DNS di ogni dominio analizzato e segnala se la risposta porta firme DNSSEC e una catena di fiducia valida.