Che cos’è il DNS?
Per comprendere cos’è il DNSSEC (Domain Name System Security Extension), è necessario prima capire come funziona il sistema DNS (Domain Name System).
Il DNS traduce il nome di dominio dei siti web in un codice numerico che viene successivamente letto ed elaborato dai computer. (Ad esempio: 104.16.99.56) Questo è praticamente l’indirizzo IP del sito web. Ogni indirizzo IP è associato a un nome di dominio, motivo per cui il sistema DNS è spesso chiamato “l’elenco telefonico di Internet.” Questi dati sono archiviati nei server dei nomi di dominio, dove il nome di dominio viene tradotto in un indirizzo IP (e viceversa).
Quando il DNS è stato introdotto per la prima volta, non era privo di difetti, e le sue vulnerabilità sono emerse rapidamente. È qui che entra in gioco il DNSSEC: un’estensione di sicurezza sviluppata per correggere queste problematiche e integrarsi con i sistemi DNS.
Come funziona il DNSSEC?
Lo scopo principale del DNSSEC è garantire l’integrità e l’autenticità dei dati nel DNS. In questo modo, protegge i client Internet da dati DNS falsi verificando e confermando una firma digitale incorporata nel DNS.
Il DNSSEC assicura che l’utente si connetta realmente al sito web desiderato.
Per fare ciò, il DNSSEC utilizza un sistema di chiavi pubbliche per verificare i dati, aggiungendo record supplementari ai record DNS esistenti. Questi record forniscono una firma digitale per il dominio.
Un name server firmato in questo modo dispone sia di chiavi pubbliche sia di chiavi private. Quando qualcuno desidera accedere, il server invia le informazioni tramite una chiave privata, che il destinatario potrà decifrare utilizzando la chiave pubblica. Se i dati provengono da una terza parte e non corrispondono alla chiave pubblica, il destinatario non li considererà validi.
Chiavi utilizzate dal DNSSEC
Nel DNSSEC, le chiavi vengono utilizzate per due scopi principali:
- Key Signing Key (KSK – chiave per firmare chiavi): serve a firmare le chiavi di firma della zona.
- Zone Signing Key (ZSK – chiave per firmare zone): viene utilizzata per firmare i record DNS.
Panoramica di record DS (Delegation Signer)
Il record DS contiene un frammento univoco della chiave pubblica e i relativi metadati, come gli algoritmi utilizzati.
Ecco un esempio:
qualcosa.com 4200 IN 2472 13 2 16e637262zt822dafs828737sjjd2671jsym6172…
Ora scomponiamo il record DS in componenti separati per capire cosa rappresenta ogni parte:
- qualcosa.com – Questo è il nome di dominio.
- 4200 – (TTL: Time To Live) La durata di validità del record.
- IN – Si riferisce a Internet.
- 2472 – Key Tag (etichetta chiave), ovvero l’identificatore della chiave.
- 13 – Il tipo di algoritmo utilizzato.
- 2 – Il tipo di estratto.
- La lunga stringa finale – È l’estratto della chiave pubblica.