COME FUNZIONA IL DNSSEC

La Task Force di Ingegneria Internet (IETF) lavora da oltre 15 anni per sviluppare uno standard elaborabile per il protocollo DNSSEC. Il protocollo DNSSEC protegge la community di Internet dai dati DNS manomessi utilizzando la crittografia della chiave pubblica per eseguire la firma digitale di dati di zone autoritative nel momento in cui entrano all'interno del sistema e convalidando tali dati nella propria destinazione. Ulteriori informazioni sulla crittografia della chiave pubblica.


La firma digitale garantisce agli utenti che i dati derivano dall'origine indicata e non sono stati modificati durante la transazione. Il protocollo DNSSEC consente inoltre di dimostrare che un nome di dominio non esiste. Tali funzionalità risultano essenziali per il mantenimento della fiducia in Internet.

Nel protocollo DNSSEC ciascuna zona è dotata di una coppia di chiavi pubblica/privata. La chiave pubblica della zona utilizza il sistema DNS, mentre la chiave privata della zona viene protetta e possibilmente archiviata offline. La chiave privata di una zona firma singoli dati DNS in quella zona, creando firme digitali che vengono anche pubblicate con il sistema DNS.

Il protocollo DNSSEC si avvale di un rigido modello di affidabilità che, secondo una catena gerarchica, passa dalla zona madre alla zona figlia. Le zone di livello alto (madri) sottoscrivono, o garantiscono per, le chiavi pubbliche delle zone di livello inferiore (figlie). I server dei nomi autoritativi per queste zone possono essere gestiti da società di registrazione, ISP, società di hosting Web o dagli operatori di siti Web (registranti) stessi.

Quando un utente finale desidera accedere a un sito Web, uno stub resolver sul computer dell'utente richiede l'indirizzo IP del sito Web da un server dei nomi ricorsivo. Dopo che il server ha richiesto questo record, richiede anche la chiave DNSSEC associata alla zona. Tale chiave consente al server di verificare che il record dell'indirizzo IP ricevuto risulti identico al record presente sul server dei nomi autoritativi.

Se il server del nome ricorsivo determina che il record dell'indirizzo è stato inviato dal server del nome autoritativo e non è stato modificato durante il transito, il nome di dominio viene risolto e l'utente può accedere al sito. Tale procedura viene definita convalida. Se il record dell'indirizzo è stato modificato o non proviene dall'origine indicata, il server del nome ricorsivo non consente all'utente di raggiungere l'indirizzo fraudolento. Il protocollo DNSSEC consente inoltre di dimostrare che un nome di dominio non esiste. Come conseguenza di questo processo, le query e le risposte DNS vengono protette dagli attacchi man-in-the-middle (MITM) e dai tipi di falsificazioni in grado di reindirizzare gli utenti di Internet a siti di phishing e pharming.