SISTEMA DNSSEC (DOMAIN NAME SYSTEM SECURITY EXTENSION)

Il protocollo DNSSEC (Domain Name System Security Extension) è in grado di rafforzare la fiducia in Internet garantendo maggiore protezione per gli utenti contro il reindirizzamento a siti fraudolenti e a indirizzi indesiderati.


Click to play
close

Il DNS (Domain Name System), il sistema di indirizzamento per Internet, è il componente più importante per l'infrastruttura Internet. Senza DNS, Internet potrebbe non funzionare. Tuttavia, il DNS non è stato sviluppato pensando alla sicurezza. Di conseguenza, risulta vulnerabile agli attacchi man-in-the-middle (MITM) e agli avvelenamenti della cache. Questi tipi di minacce utilizzano dati manomessi per reindirizzare il traffico Internet a siti fraudolenti e a indirizzi indesiderati.

Quando un utente o un dispositivo inattesi accedono a un sito fraudolento, i pirati informatici potrebbero riuscire a estrapolare dati relativi a carte di credito, rubare password personali, ascoltare le comunicazioni Voice over IP (VoIP), installare software nocivi, visualizzare immagini e testi a carattere diffamatorio per il marchio, oppure fornire informazioni non veritiere. Dato che un singolo server dei nomi DNS può agire come punto di risoluzione da nome a indirizzo per migliaia di utenti, il potenziale impatto di un attacco MITM o di avvelenamento della cache risulta notevole.

VANTAGGI DEL PROTOCOLLO DNSSEC

Selezionate un ruolo di seguito per acquisire ulteriori informazioni sull'effetto del protocollo DNSSEC e sul ruolo che ricopre nella nostra strategia di autenticazione integrale di Internet.

Società di registrazione Operatori di siti Web ISP

INFORMAZIONI SUL PROTOCOLLO DNSSEC

Verisign è coinvolta nello sviluppo del protocollo DNSSEC dal 2000 e continuiamo a collaborare con la community tecnica di Internet.

Come funziona il protocollo DNSSEC
Calendario del protocollo DNSSEC
Il ruolo di Verisign nel DNSSEC

DOMANDE FREQUENTI SUL PROTOCOLLO DNSSEC


Il protocollo DNSSEC tutela la community di Internet dai dati DNS manomessi, utilizzando una crittografia a chiave pubblica per eseguire firme digitali per dati di zone autoritative. La convalida DNSSEC garantisce agli utenti che i dati derivanti dall'origine indicata non sono stati modificati durante la transazione. Il protocollo DNSSEC consente inoltre di dimostrare che un nome di dominio non esiste.

Nonostante il protocollo DNSSEC migliori la sicurezza DNS, esso non costituisce una soluzione completa. Non protegge da attacchi DDoS (Distributed Denial of Service), non garantisce la massima riservatezza negli scambi di dati, né consente di crittografare i siti Web o di prevenire spoofing e phishing di indirizzi IP. Anche altri livelli di protezione, tra cui mitigazione DDoS, security intelligence, crittografia e convalida SSL (Secure Sockets Layer), e autenticazione a due fattori, sono indispensabili per garantire una maggiore sicurezza di Internet. Tali meccanismi dovrebbero essere utilizzati in abbinamento al protocollo DNSSEC.

Il protocollo DNSSEC influenza ogni componente all'interno dell'ecosistema dell'infrastruttura Internet. L'effettiva distribuzione di questo protocollo richiede il coinvolgimento di molti azionisti all'interno della community di Internet. Registri, società di registrazione, registranti di nomi di dominio, venditori di hardware e software, ISP, entità governative e semplici utenti di Internet: tutti svolgeranno un ruolo fondamentale per garantire il successo duraturo e stimolare lo sviluppo di miglioramenti sostanziali nell'ambito della sicurezza di Internet. Il protocollo DNSSEC offre vantaggi a:

  • La community di Internet, migliorando la sicurezza nelle zone sottoscritte.
  • Le società di registrazione, che potranno offrire servizi di sottoscrizione dei domini ai propri clienti.
  • Gli ISP, incrementando la sicurezza dei dati restituiti ai propri clienti.
  • Gli utenti, che potranno tutelarsi dalle vulnerabilità DNS quali avvelenamento della cache e attacchi man-in-the-middle.

Nel protocollo DNSSEC ciascuna zona è dotata di una coppia di chiavi pubblica/privata. La chiave pubblica della zona utilizza il sistema DNS, mentre la chiave privata della zona viene protetta e possibilmente archiviata offline. La chiave privata di una zona firma singoli dati DNS in quella zona, creando firme digitali che vengono anche pubblicate con il sistema DNS. Il protocollo DNSSEC si avvale di un rigido modello di affidabilità che, secondo una catena gerarchica, passa dalla zona madre alla zona figlia. Le zone di livello alto (madri) sottoscrivono, o garantiscono per, le chiavi pubbliche delle zone di livello inferiore (figlie). I server di nomi autoritativi per queste zone possono essere gestiti da società di registrazione, ISP, società di hosting Web o dagli operatori di siti Web (registranti) stessi.

Quando un utente finale desidera accedere a un sito Web, uno stub resolver all'interno del sistema operativo dell'utente richiede la registrazione del nome di dominio da un server del nome ricorsivo, situato presso un ISP. Dopo che il server ha richiesto questo record, richiede anche la chiave DNSSEC associata alla zona. Questa chiave consente al server di verificare che le informazioni ricevute siano identiche al record presente sul server del nome autoritativo.

Se il server del nome ricorsivo determina che il record dell'indirizzo è stato inviato dal server del nome autoritativo e non è stato modificato durante il transito, il nome di dominio viene risolto e l'utente può accedere al sito. Tale procedura viene definita convalida. Se il record dell'indirizzo è stato modificato o non proviene dall'origine indicata, il server del nome ricorsivo non consente all'utente di raggiungere l'indirizzo fraudolento. Il protocollo DNSSEC consente inoltre di dimostrare che un nome di dominio non esiste.

Esistono numerosi pezzi che compongono il puzzle completo della sicurezza Internet. Il protocollo DNSSEC consente di prevenire le problematiche relative alla sicurezza causate, ad esempio, da attacchi man-in-the-middle e di avvelenamento della cache, ma non costituisce una soluzione completa per la tutela della sicurezza. Il protocollo DNSSEC non risolve molte delle minacce più comuni per la sicurezza di Internet, come spoofing o phishing. Per questo motivo, risultano estremamente importanti altri livelli di protezione, quali i certificati SSL e l'autenticazione a due fattori, per rendere l'ambiente di Internet sicuro per tutti.

La community di Internet non ha ancora stabilito un sistema standardizzato in grado di informare gli utenti di un attacco. Una soluzione possibile consiste nello sviluppo di browser "DNSSEC-aware" in grado di notificare gli utenti quando vengono indirizzati a una destinazione autenticata.

Nel luglio 2010, Verisign, in collaborazione con l'Internet Assigned Numbers Authority (IANA) e il Dipartimento del Commercio statunitense (DoC), ha completato la distribuzione del protocollo DNSSEC nella zona radice (punto di inizio della gerarchia DNS). Verisign ha inoltre abilitato il protocollo DNSSEC su .edu a luglio 2010, in collaborazione con EDUCAUSE e il Dipartimento del Commercio su .net a dicembre 2010 e su .com a marzo 2011.

La nostra strategia di distribuzione del protocollo DNSSEC prevede di iniziare con zone di piccole dimensioni quindi di valutare ciascuna distribuzione prima di passare alle zone successive. L'ultima zona a essere sottoscritta è stata la .com, in quanto è quella di maggiori dimensioni. Per gestire al meglio il dominio e ogni tipo di comunicazione o scambio commerciale via Internet, abbiamo voluto accumulare quanta più esperienza possibile.

La distribuzione corretta del protocollo DNSSEC comporta vantaggi su vasta scala per la community globale di Internet, grazie all'aumento della fiducia in merito a diverse attività di Internet, tra cui e-commerce, banking online, e-mail, VoIP e distribuzione di software online. Tuttavia, l'intera community di Internet condivide la responsabilità di garantire il successo del protocollo DNSSEC. Il raggiungimento del successo richiede la partecipazione attiva e coordinata di registri, società di registrazione, registranti, società di hosting, sviluppatori di software, venditori di hardware, governo e coalizioni e tecnici di Internet.

La zona radice di Internet, i domini di primo livello (TLD) .gov, .org, .museum e una serie di TLD con codice di paese (country code TLD - ccTLD), hanno firmato le zone che gestiscono. Altri TLD quali .edu, .net e .com hanno implementato il protocollo DNSSEC nel 2010 e nel 2011. I TLD hanno iniziato ad accettare nomi di dominio a firma DNSSEC di secondo livello. Gli ISP di grandi dimensioni come Comcast hanno attivato la convalida dei server dei nomi ricorsivi che rispondono alle query degli utenti e alcune società di registrazione hanno incluso l'implementazione del protocollo DNSSEC nella propria agenda. Inoltre, la Corporazione Internet per Nomi e Numeri Assegnati (ICANN) ha allestito applicazioni per i nuovi TLD, e sembrerebbe che i piani per l'implementazione DNSSEC costituiranno un requisito fondamentale per l'accettazione di una nuova richiesta TLD.

Nonostante sia il DNSSEC sia il protocollo SSL facciano affidamento sulla crittografia a chiave pubblica, eseguono entrambi diverse funzioni complementari, piuttosto che sostitutive l'una dell'altra.

In un modello estremamente semplicistico, il protocollo DNSSEC ha a che fare con il "dove" e il SSL con "chi" e "come".

  • Dove—il protocollo DNSSEC utilizza le firme digitali per verificare l'integrità dei dati DNS, garantendo, in questo modo, che gli utenti raggiungano l'indirizzo IP desiderato. Tale compito può considerarsi completato quando l'utente raggiunge l'indirizzo. Il protocollo DNSSEC non fornisce l'identità dell'entità all'indirizzo e non esegue la crittografia delle interazioni tra utente e sito.
  • Chi—il protocollo SSL utilizza i certificati digitali per convalidare l'identità di un sito. Quando questi certificati vengono pubblicati da competenti autorità di certificazione (CA) esterne, il protocollo SSL fornisce agli utenti garanzia dell'identità del proprietario del sito Web. Tuttavia, il protocollo SSL non esegue alcuna operazione per garantire che un utente raggiunga il sito corretto, pertanto non può essere applicato contro gli attacchi che reindirizzano gli utenti. In altre parole, la convalida di un sito da parte del protocollo SSL è efficace, ma solamente se un utente raggiunge prima la destinazione corretta.
  • Come—il protocollo SSL utilizza i certificati digitali anche per crittografare gli scambi di dati tra utenti e siti, proteggendo, in questo modo, la riservatezza di transazioni finanziarie, comunicazioni, e-commerce e altre interazioni sensibili.

Se utilizzati insieme, i protocolli DNSSEC e SSL incrementano la sicurezza e l'affidabilità di Internet: gli utenti sono in grado di accertare in modo sicuro la propria destinazione, l'identità della figura con cui stanno interagendo e il livello di riservatezza delle interazioni.

La nota 08-23 dell'Office of Management and Budget (OMB) statunitense ha stabilito che il protocollo DNSSEC sia distribuito nel dominio di primo livello .gov a partire da gennaio 2009 e che le agenzie federali degli Stati Uniti distribuiscano il protocollo DNSSEC sui siti esterni a partire da dicembre 2009. Il registro .gov è stato firmato nei primi mesi del 2009. La U.S. Defense Information Systems Agency intende raggiungere i requisiti relativi al protocollo DNSSEC stabiliti dall'OMB anche per il dominio .mil. La U.S. Le nuove disposizioni del Federal Information Security Management Act (FISMA) prevedono che le agenzie sottoscrivano le proprie zone intranet con il protocollo DNSSEC a partire dal secondo semestre del 2010. Attualmente,non vi sono requisiti per gli operatori dei siti Web pubblici al fine di garantire la sicurezza dei propri domini tramite il protocollo DNSSEC.

1994: viene pubblicata la prima bozza di un possibile standard
1997: viene pubblicato il documento RFC 2065 (il protocollo DNSSEC è uno standard IETF)
1999: viene pubblicato il documento RFC 2535 (lo standard DNSSEC viene rivisto)
2005: viene pubblicata la nuova stesura completa degli standard
RFC 4033 (introduzione e requisiti)
RFC 4034 (record di nuove risorse)
RFC 4035 (modifiche protocollo)
Luglio 2010: firma della zona radice
Luglio 2010: firmato .edu
Dicembre 2010: firmato .net
Febbraio 2011: passaggio del registro .gov con abilitazione DNSSEC a Verisign
Marzo 2011: firmato .com
Marzo 2011: il servizio Managed DNS di Verisign è ottimizzato con il supporto completo per la conformità DNSSEC
Gennaio 2012: Comcast annuncia che i propri clienti stanno utilizzando resolver con convalida DNSSEC
Marzo 2012: il numero di TLD firmati sale a 90