DNSSEC per società di registrazione

Le società di registrazione svolgono un ruolo fondamentale per il successo del protocollo DNSSEC. Alcuni fornitori di servizi Internet (ISP - Internet service providers) e società di registrazione .net/.com stanno già distribuendo il protocollo DNSSEC. L'implementazione DNSSEC è un processo complesso, pertanto Verisign adotta un approccio attento e metodico. Le società di registrazione devono, quindi, iniziare presto per avere tempo sufficiente per pianificare, distribuire, testare e rifinire l'implementazione DNSSEC.

Agendo ora, potete affermarvi come società di registrazione leader e consapevole della sicurezza, distinguervi dalla concorrenza e beneficiare di nuove opportunità di guadagno. Potete inoltre esercitare una notevole influenza sullo sviluppo di prodotti, servizi e altre iniziative di settore che supportino e favoriscano il vostro business.

Vantaggi per società di registrazione proattive

Aggiungendo in modo proattivo questo importante ulteriore livello di sicurezza è possibile:

• Tutelare il marchio dei registranti e i clienti.
• Assicurarsi la fiducia e la fedeltà dei registranti.
• Attrarre e fidelizzare registranti attenti alla sicurezza.
• Creare nuovi servizi da offrire, come la firma delle zone per le società di registrazione.
• Promuovere l'utilizzo di DNS per nuovi tipi di transazioni dei dati sicure (es. pubblicazione di altri tipi di chiavi pubbliche e autenticazione dell'origine delle e-mail).
• Proteggere il proprio business principale allargando la fiducia in Internet.
• Consolidare la propria leadership e influenza per il futuro del protocollo DNSSEC.

Il protocollo DNSSEC introduce modifiche complesse che influenzano tutte le parti coinvolte nella catena di query e risoluzione DNS, in particolare le società di registrazione e altre entità di hosting che gestiscono i server dei nomi autoritativi e forniscono servizi di gestione della chiave per i registranti. Abbiamo fornito diversi strumenti e collaboreremo con voi per garantire la corretta distribuzione del protocollo DNSSEC.

Per sviluppare i nuovi servizi richiesti dai registranti quando il protocollo DNSSEC sarà distribuito, dovrete firmare i nomi di dominio dei registranti. L'abilitazione di un protocollo DNSSEC per un registrante comporta quanto segue:

• Creazione di coppie di chiavi private/pubbliche per il nome di dominio.
• Creazione e firma della zona.
• Gestione delle coppie di chiavi.

Tali processi garantiscono che i resolver con abilitazione DNSSEC nell'ecosistema di Internet possano verificare l'autenticità delle risposte ricevute dalla zona.

Sarà inoltre necessario modificare l'interfaccia per indurre i clienti ad accettare i dati chiave DNSSEC e modificare l'interfaccia Extensible Provisioning Protocol (EPP) per trasferire i dati chiave DNSSEC ai registri con i quali si interagisce.

Firma della zona
Le seguenti operazioni sono associate alla predisposizione e alla firma di una zona:

• Scelta delle chiavi ZSK, che firmano i record della zona
• Scelta delle chiavi KSK, che firmano i record della zona e consentono di formare la gerarchia di affidabilità
• Generazione di una zona non firmata
• Firma della zona
• Test del sistema di firma in un ambiente di test offline
• Suddivisione in fasi del processo di firma, utilizzandolo, ad esempio, prima per le reti interne, garantendo così il funzionamento corretto dell'intero processo

Gestione continua della chiave
DNSSEC richiede una modifica a intervalli regolari delle chiavi private per minimizzare i rischi associati all'estrapolazione della chiave stessa da parte di pirati informatici. Il rinnovo di una chiave implica la modifica della coppia di chiavi di una zona e la rinnovata esecuzione della firma della zona con la nuova chiave privata. Se una chiave KSK viene rinnovata, sarà necessario aggiornare il registro con le informazioni relative alla nuova chiave pubblica (record DS).

Le seguenti operazioni sono associate con la gestione della chiave:

• Gestione del rinnovo di una chiave (pianificato e d'emergenza) per chiavi ZSK e KSK
• Esecuzione di una nuova firma pianificata dei record di risorse relative alla sicurezza
• Aggiornamento della zona madre con record DS (delegation signer) basati sulle chiavi KSK

Ulteriori considerazioni
L'hosting di una zona firmata richiede l'implementazione di server dei nomi compatibili con il protocollo DNSSEC. La gestione delle chiavi richiede hardware e software DNSSEC specializzati. L'implementazione e la gestione di questi componenti è un processo complesso e dispendioso dal punto di vista del tempo. Sono disponibili diverse opzioni: sviluppare una soluzione DNSSEC in-house, acquistare direttamente prodotti DNS abilitati per DNSSEC o collaborare con un fornitore di servizi gestiti qualificato in grado di eseguire firme DNSSEC e gestione della chiave.

Per una soluzione in-house o già predisposta, sarà necessario pianificare attentamente l'integrazione dei nuovi dispositivi nel proprio sistema. Sarà inoltre necessario verificare l'implementazione di questi dispositivi al di fuori dell'ambiente produttivo per garantire il corretto funzionamento del dispositivo una volta abilitato il protocollo DNSSEC. A tale scopo è disponibile gratuitamente l'ambiente di test operativo di Verisign (Operational Test Environment - OTE) per le società di registrazione .net e .com.

È necessario inoltre scoprire se i propri dispositivi di rete obsoleti o attuali possono supportare il protocollo DNSSEC. È necessario, ad esempio, sapere se questi possono gestire i pacchetti DNSSEC, che possono avere dimensioni maggiori rispetto ai pacchetti tradizionali, e se supportano il protocollo TCP (Transmission Control Protocol) e i pacchetti di meccanismi EDNS (Extension mechanisms for DNS).

Le società di registrazione possono intraprendere azioni graduali per raggiungere il proprio obiettivo: un sistema abilitato per DNSSEC che consenta di mantenere la fiducia di registranti e utenti finali, di offrire nuove opportunità di guadagno e di acquisire un vantaggio competitivo. In base a quanto appreso durante incontri con esperti di settore e la distribuzione del protocollo DNSSEC nella zona radice di .edu, .net e .com, consigliamo di procedere come segue per iniziare.

Valutazione e formazione

• Comprendere come il protocollo DNSSEC si integra nella strategia di sicurezza informatica.
• Conoscere i vantaggi e le sfide dell'implementazione DNSSEC.
• Comprendere la crittografia a chiave pubblica, gli standard di crittografia e le modalità di interazione tra firme digitali e chiavi pubbliche/private.
• Garantire allo staff IT e del Supporto clienti una corretta formazione.
• Pianificare strategie per fornire informazioni alle società di registrazione sul protocollo di DNSSEC.

Pianificazione

• Fissare un calendario per l'adozione del protocollo DNSSEC.
• Stabilire come il protocollo DNSSEC si integrerà nell'architettura DNS esistente.
• Valutare le proprie opzioni di distribuzione: sviluppo in-house, prodotti DNS già abilitati per DNSSEC o servizi gestiti.

Valutazione e aggiornamento

• Determinare l'impatto del protocollo DNSSEC sulla larghezza di banda di rete. (il protocollo DNSSEC aumenta il traffico di rete).
• Considerare l'influenza del protocollo DNSSEC sulla gestione DNS.
• Rivedere e aggiornare le policy e la sicurezza relative alla gestione della chiave, per includere obiettivi per i rinnovi di chiavi, riflettere i nuovi ruoli e responsabilità introdotti dal protocollo DNSSEC e fornire un'archiviazione sicura delle chiavi.
• Assicurarsi che la propria rete sia configurata correttamente; assicurarsi che le definizioni delle zone siano accurate e complete.
• Richiedere ai produttori hardware la posizione occupata dal protocollo DNSSEC nella tabella di marcia e se sono disponibili aggiornamenti per le periferiche di rete esistenti.
• Aggiornare l'hardware DNS e il software del server dei nomi, se necessario, perché risultino compatibili con il protocollo DNSSEC.
• Valutare prodotti e servizi che supportino l'implementazione.

Partecipazione

• Iscriversi al forum delle società di registrazione di Verisign.
• Utilizzare l'ambiente di test operativo (Operational Test Environment - OTE) di Verisign, che consente di verificare la propria implementazione del protocollo DNSSEC.
• Lavorare in collaborazione con consorzi di settore, enti di standardizzazione e produttori di software e hardware per contribuire allo sviluppo di soluzioni e strategie in grado di soddisfare le esigenze dell'organizzazione.

Verisign si impegna per ridurre i vostri costi di implementazione del protocollo DNSSEC e per fornirvi assistenza nell'identificazione della strategia di distribuzione DNSSEC più adatta alla vostra particolare situazione. Abbiamo sviluppato i seguenti strumenti e servizi per favorire l'implementazione DNSSEC per la community delle società di registrazione:

• Tutelare il marchio dei registranti e i clienti.
• Assicurarsi la fiducia e la fedeltà dei registranti.
• Attrarre e fidelizzare registranti attenti alla sicurezza.
• Creare nuovi servizi da offrire, come la firma delle zone per le società di registrazione.
• Promuovere l'utilizzo di DNS per nuovi tipi di transazioni dei dati sicure (es. pubblicazione di altri tipi di chiavi pubbliche e autenticazione dell'origine delle e-mail).
• Proteggere il proprio business principale allargando la fiducia in Internet.
• Consolidare la propria leadership e influenza per il futuro del protocollo DNSSEC.

Verisign si impegna per ridurre i vostri costi di implementazione del protocollo DNSSEC e per fornirvi assistenza nell'identificazione della strategia di distribuzione DNSSEC più adatta alla vostra particolare situazione. Abbiamo sviluppato i seguenti strumenti e servizi per favorire l'implementazione DNSSEC per la community delle società di registrazione:

Find out if your website is DNSSEC enabled]]>