Perché si usa il DNSSEC?
Quando l’infrastruttura per i DNS (Domain Name System, quello che assegna al vostro server col sito internet fisico ad un indirizzo su internet) era stata originariamente progettata, non includeva alcuna protezione di sicurezza. Se hai cercato un sito Web, il server DNS non ha sicuramente verificato le credenziali prima di accettare la risposta e di inviarti i dati per visualizzare il sito Web. Poiché le credenziali non sono state verificate, un utente malintenzionato potrebbe dirottare / falsificare il DNS e controllarlo per i propri interessi. Il cosiddetto Man in the Middle, l’uomo in mezzo. Si fa prevenzione aggiungendo sicurezza al DNS.
In poche parole, DNSSEC firma digitalmente i dati in modo da poter essere sicuri che siano validi e provengano dalla fonte originale giusta.
Cosa fornisce DNSSEC ai client DNS (chiamati resolver)?
Un resolver DNS è responsabile della traduzione di un nome di dominio in un indirizzo IP. DNSSEC fornisce ai client DNS (resolver) questi strumenti:
- Autenticazione di origine dei dati DNS
- Negazione di esistenza autenticata
- Integrità dei dati
Può proteggere in modo specifico dati DNS molto importanti:
- record di testo (TXT)
- record mail exchange (MX)
Quando ci si trova dietro delle CDN, come CloudFlare per esempio, questo evita l’esposizione dell’IP originario del server ed anche informazioni usate unicamente tra origine server e server CDN.
Cosa non può fare DNSSEC
- Riservatezza: non garantisce la riservatezza dei dati. Tutte le risposte DNSSEC sono autenticate, ma non sono crittografate.
- Protezione DDoS: non protegge direttamente dagli attacchi DDoS.
- Crittografia: DNSSEC non crittografa alcun dato.
- Spoofing: non impedisce lo spoofing o il phishing.
