Il DNSSEC è una funzione del sistema dei nomi di dominio (DNS) che autentica le risposte alle ricerche di nomi di dominio. Impedisce agli aggressori di manipolare o compromettere le risposte alle richieste DNS. La tecnologia DNS non è stata progettata pensando alla sicurezza. Un esempio di attacco all'infrastruttura DNS è lo DNS spoofing. In questo caso, un aggressore dirotta la cache di un resolver DNS, facendo sì che gli utenti che visitano un sito web ricevano un indirizzo IP errato e visualizzino il sito dannoso dell'aggressore anziché quello desiderato.
When you activate DNSSEC, we'll generate a public-private key pair for your zone. The public key, provided as DS or DNSKEY records, should be configured with your domain provider. Our network will use the private key to sign your records during zone deployment. The end-user resolver checks these signatures against the public keys to authenticate record integrity during transfer.
DNSSEC aims to enhance user safety by verifying digital signatures after a user enters a domain name. Information can only reach the user's device when digital signatures match between the data and the Primary DNS server, ensuring connection to a legitimate website. It utilizes digital signatures and public keys to validate information, adding new records to existing DNS entries like A, CNAME, and MX. DNSKEY and RRSIG digitally sign DNS data using public-key cryptography. Each DNS zone's name server holds public and private keys. When a user queries, the server provides information signed with its private key, which the recipient opens with the public key. If information is modified, it won't open correctly, triggering an error message.
I servizi di gestione DNSSEC fanno parte dei nostri piani di hosting DNS - Premium DNS, DDoS Protected DNS e GeoDNS. Nessun costo aggiuntivo per una maggiore sicurezza.
|
Premium S $2.95/mese |
Premium M $4.95/mese |
Premium L $14.95/mese |
|
|---|---|---|---|
| ? Anycast DNS gestito con DNSSEC: | |||
| ? Zone DNS: | 5 | 50 | 400 |
| ? Record DNS: | 200 | 2,000 | 20,000 |
| ? Query DNS al mese: | i 5M | i 200M | Illimitato |
| ? Forward email: | 10 | 100 | 1,000 |
| ? Controlli DNS failover: | 1 | 2 | 3 |
| Prova completamente gratuita. Non è richiesta la carta di credito. Nessun trucco. |
Basta cliccare sul pulsante di attivazione nel pannello di controllo e il nostro sistema provvederà a proteggere la zona. Devi solo aggiungere i record DS al provider per completare la configurazione.
Utilizziamo l'algoritmo a curva ellittica (ECDSA P-256) per tutte le firme, che è più forte e più piccolo delle chiavi RSA standard.
Mantenere le risposte DNS il più piccole possibile significa maggiore velocità. Inoltre, la nostra rete Anycast DNS fornisce risposte più rapide dalla posizione più vicina al resolver.
Non importa in quale giorno, non importa l'ora, forniamo monitoraggio e supporto continuo e ininterrotto della rete. Il nostro team di assistenza tecnica è a tua disposizione 24 ore su 24, 7 giorni su 7, tramite chat o apertura di una richiesta di supporto. Siamo in grado di migrare le tue zone gratuitamente, ulteriori informazioni qui.
Per attivare la firma DNSSEC e ottenere i record DS e i record DNSKEY del dominio, occorre seguire i seguenti passaggi:
Opzionale: per ulteriori dettagli e guide sull'implementazione del protocollo DNSSEC, fai riferimento alla pagina wiki DNSSEC di ClouDNS.
Quando vuoi collegarti a un determinato sito web, il browser deve ottenere l'indirizzo IP corrispondente. Purtroppo, esiste la possibilità che un utente malintenzionato intercetti le query DNS e inserisca informazioni false. Di conseguenza, il tuo browser potrebbe invece connettersi a un sito web contraffatto ne quale potresti inserire importanti informazioni personali, come i tuoi dati bancari.
Grazie al DNSSEC, è presente un ulteriore livello di sicurezza e il browser è in grado di verificare se i dati DNS sono corretti e non sono stati modificati. Il DNSSEC non viene utilizzato solo per il web, ma anche per qualsiasi altro servizio o protocollo Internet, ad esempio SMTP e Voice-over-IP (VoIP).
La convalida DNSSEC è un processo semplice che comprende le seguenti fasi: