Oggi alcune cose sono solo a malapena immaginabili. Un tempo, quando si voleva raggiungere qualcuno di cui non si conosceva il numero di telefono, spesso non restava che chiedere informazioni al servizio telefonico o consultare l’elenco telefonico. Ciò che per lungo tempo, nell’ambito delle telecomunicazioni, sono stati il servizio di informazioni sull’elenco abbonati o le Pagine Gialle, da sempre in Internet è il Domain Name System, noto con la sigla DNS.
In Internet i computer comunicano attraverso indirizzi IP. Le persone però non sono dei computer e non riescono a memorizzare le complesse e talvolta molto lunghe combinazioni di numeri. Per questo motivo, già nei primi anni Ottanta, più precisamente nel 1984, è stato introdotto il DNS.
DNS è una banca dati decentralizzata, distribuita in tutto il mondo. Se l’utente immette nel browser un dominio, come ad esempio www.hostpoint.ch, attraverso un processo gerarchico di query il DNS assicura che nei server DNS competenti venga individuato l’indirizzo IP corretto.
Tali query si basano però sulla fiducia. Ci si deve affidare alle istanze che forniscono le informazioni e fidare che queste ultime (ad es. l’indirizzo IP o i server dei nomi competenti) siano corrette e che non siano state modificate altrove.
Le query DNS non sono esenti da abusi
Purtroppo capita spesso che si abusi di questa fiducia. Un esempio: un utente di Internet vorrebbe consultare la pagina di e-banking della sua banca, ma anziché finire sulla pagina web “corretta”, un malintenzionato introduce un indirizzo IP sbagliato nel processo di query DNS in maniera tale che l’utente venga reindirizzato a un sito web errato. Questo esempio mostra per quale motivo nel DNS sono necessari meccanismi che impediscano simili scenari o che perlomeno siano in grado di scoprire i tentativi di truffa. Ed è qui che entrano in gioco le DNSSEC.
DNSSEC sta per “Domain Name System Security Extensions” e funziona sulla base di firme crittografiche verificabili, il cui obiettivo è garantire l’autenticità e l’integrità dei dati interrogati nel DNS. Mediante tali estensioni di sicurezza è possibile verificare nella query DNS se i dati ricevuti sono corretti e invariati.
Riprendiamo l’esempio di prima: interrogando l’indirizzo IP del sito web di e-banking, si arriva al tentativo di dirottare l’utente su un indirizzo IP sbagliato. Poiché però la banca ha protetto il suo dominio con il protocollo DNSSEC, il tentativo illecito di informazione errata può essere scoperto e sventato.
Ci sono tuttavia anche cose auspicabili che purtroppo le DNSSEC non sanno fare. Così, le informazioni vengono protette contro le falsificazioni, ma non vengono crittografate. Le DNSSEC non offrono quindi una privacy ulteriore nei confronti di un DNS non protetto.
Rendere un po’ più sicuro Internet in qualità di titolari di un dominio
La maggior parte delle estensioni di dominio note (domini di primo livello) come ad esempio .ch ormai supportano le DNSSEC. Ora è giunto il momento di applicare questa tecnologia anche al livello gerarchico più basso del DNS: i domini acquistabili da tutti in tutto il mondo come hostpoint.ch o il-vostro-dominio.ch.
A questo proposito Hostpoint vuole prestare il proprio contributo e pertanto offre ai clienti la possibilità di attivare le DNSSEC per i loro domini. Hostpoint già rientrava tra i primi provider svizzeri ad aver supportato estensioni di sicurezza per server dei nomi esterni. Ora è possibile anche attivare le DNSSEC per domini sui server dei nomi di Hostpoint. Nello sviluppo e nell’implementazione di questa funzione, per Hostpoint era particolarmente importante che i complessi processi tecnici e le correlazioni si svolgessero in background in modo completamente automatizzato. Per questo motivo, per l’attivazione delle DNSSEC i clienti non devono essere in possesso di approfondite conoscenze tecniche né eseguire complesse configurazioni. L’attivazione può essere effettuata in tutta facilità premendo un tasto nel Pannello di controllo di Hostpoint, a condizione che il dominio corrispondente già esista sui server dei nomi di Hostpoint.
Non è finita qui:
Mediante il web tool DNSViz è possibile visualizzare lo stato della firma di qualsiasi dominio. Per quanto riguarda i domini protetti dalle DNSSEC si può così tracciare l’intera catena di fiducia del processo gerarchico di firma.
Per tutti i clienti Hostpoint che intendono attivare le DNSSEC per i loro domini, ecco come procedere:
Il miei domini
Registra ora domini in tutta facilità con Hostpoint:
Acquista dominio
Chi vuole trasferire i propri domini in Hostpoint può farlo qui:
Trasferimento dei domini