Questa guida di seguito mostra come abilitare DNSSEC in cPanel e presso il tuo registrar di domini per evitare attacchi man-in-the-middle, attacchi cache poison e altri tipi di falsi DNS.
Dato il modo in cui Internet definisce attualmente ogni aspetto della nostra vita, è spesso facile dimenticare che il Domain Name System (DNS) che ne costituisce il nucleo centrale è tenuto insieme da condotti e nastri.
Quando il DNS è stato progettato negli anni '80, Internet era molto più piccolo e la sicurezza non è mai stata presa in considerazione poiché le persone all'interno della rete si fidavano a vicenda.
Il mondo è cambiato.
I progressi tecnologici hanno consentito a Internet di diventare parte del tessuto della nostra esistenza quotidiana.
Ciò ha creato opportunità per exploit DNS che includono spoofing/cache poisoning DNS, tunneling DNS, dirottamento DNS, attacco NXDOMAIN, attacco a dominio fantasma, attacco CPE basato su botnet e altri.
Prendi una situazione in cui un risolutore ricorsivo invia una query a un server dei nomi autorevole.
Come è ora, il risolutore non ha modo di verificare l'autenticità della risposta.
Può solo verificare che la risposta sembra provenire dallo stesso indirizzo IP, a cui il risolutore ha inviato la query originale, ma non è in grado di rilevare facilmente una risposta contraffatta a una delle sue query, se presente.
Un utente malintenzionato può facilmente mascherarsi da server autorevole, dirottare la ricerca DNS per inviare un utente a un sito Web fraudolento che distribuisce malware o raccogliere informazioni personali senza che l'utente se ne accorga.
Gli ingegneri dell'Internet Engineering Task Force (IETF) (l'organizzazione responsabile degli standard del protocollo DNS ) conosceva questa debolezza e stava cercando una soluzione.
Questo sforzo ha portato a quelle che oggi conosciamo come le estensioni di sicurezza DNSSEC (DNSSEC ).
DNSSEC (progettato per essere compatibile con le versioni precedenti) è un insieme di estensioni che aggiungono ulteriore sicurezza al protocollo DNS implementando una politica di firma digitale gerarchica su tutti i livelli del DNS.
Una delle sue funzioni principali è quella di fungere da protezione efficace contro gli attacchi di spoofing DNS... se implementato correttamente.
L'autenticazione dell'origine dei dati della convalida delle richieste DNS consente a un resolver di verificare crittograficamente che i dati ricevuti provengano effettivamente dalla zona in cui si ritiene siano originati i dati.
E la protezione dell'integrità dei dati consente al risolutore di sapere che i dati non sono stati modificati in transito poiché originariamente erano stati firmati dal proprietario della zona con la chiave privata della zona.
In linea con la nostra promessa che i nostri clienti avranno sempre accesso alle funzionalità migliori e più recenti offerte da cPanel , siamo lieti di annunciare che ora puoi abilitare DNSSEC per il tuo dominio su tutti i nostri server di produzione cPanel.
Abbiamo creato una guida dettagliata su come farlo su https://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC
Quando lo abiliti, DNSSEC aggiunge un livello di autenticazione sopra il tuo DNS, dandoti così un modo per evitare tutti quei problemi che abbiamo menzionato sopra.
Al momento, DNSSEC non è automatico.
Dopo aver creato la chiave in cPanel, deve essere specificamente abilitata da te proprietario del nome di dominio presso i server autorevoli della tua zona.
Il processo è diverso da ogni registrar, ma proprio come puoi apportare altre modifiche a una zona (come i server dei nomi autorevoli di una zona ), puoi anche aggiornare il materiale della chiave pubblica della zona per completare l'implementazione di DNSSEC.
In questa pagina abbiamo elencato alcuni dei registrar di domini più comuni utilizzati da alcuni dei nostri clienti che ospitano i propri DNS al di fuori dei nostri sistemi.
Se il tuo non è elencato, contatta il team di supporto del registrar di domini per assistenza.
GRANDE AVVISO:NON IGNORARE QUESTO AVVISO
La prima domanda da porsi è:dovrei abilitare DNSSEC ?
Il motivo per cui devi rispondere a questa domanda è che l'abilitazione di DNSSEC altera fondamentalmente il modo in cui metti in relazione o gestisci il tuo dominio e i record DNS.
Ad esempio, una volta abilitato DNSSEC per il tuo dominio, non puoi modificare i server dei nomi volenti o nolenti.
Prima di modificare i server dei nomi, devi disabilitare DNSSEC e attendere almeno 72 ore prima di apportare tali modifiche.
In caso contrario, il tuo dominio potrebbe non risolversi.
Un altro esempio è quando devi trasferire un nome di dominio a un altro registrar o provider di servizi di hosting web.
Devi prima rimuovere i record del Domain Server (DS), attendere che le modifiche si propaghino prima di inizializzare il trasferimento.
Se non rimuovi i vecchi record DS dal registrar, i domini potrebbero produrre problemi di risoluzione DNS a causa di risposte DNSSEC non valide.
Ora che è fuori mano, di seguito sono riportati i collegamenti che potrebbero essere necessari per completare l'abilitazione DNSSEC presso il registrar di domini.
| Registro | Istruzioni |
| Registrazione 123 | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato su Web Hosting Magic cPanel. |
| DNSemplice | Utilizzo di Web Hosting Magic cPanel DNSSEC con DNSimple |
| domaindiscount24 | DNSSEC |
| gattolino | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato su Web Hosting Magic cPanel. |
| DreamHost | Panoramica DNSSEC In DreamHost, usa 2 come Tipo Digest invece di SHA256 . |
| dinadot | Come faccio a configurare DNSSEC? |
| Em | Al momento della stesura di questo documento, i server dei nomi predefiniti di Enon non supportano la creazione dei record di risorse appropriati per creare una catena DNSSEC corretta. Ulteriori informazioni su Aggiunta di un DNSSEC a un nome di dominio |
| gandi | DNSSEC In Gandi, assicurati di selezionare l'algoritmo 13 per il menu a discesa Algoritmo. |
| GoDaddy | Per configurare un record DS con GoDaddy, procedi nel seguente modo:
Aggiungi un record DS |
| zona divina | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato su Web Hosting Magic cPanel. Nel pannello di controllo web di godzone, potresti essere in grado di aggiungere un record DS sotto i Domini scheda. |
| Google Domains | Se utilizzi i server dei nomi di Google Domains, puoi attivare DNSSEC con un clic. Segui queste istruzioni:
Quando si attiva DNSSEC, sono necessarie circa 2 ore affinché DNSSEC si attivi completamente. Quando lo spegni, c'è un ritardo fino a 2 giorni prima della disattivazione. Se disponi di server dei nomi personalizzati, potresti aver bisogno di un provider DNS di terze parti per configurare DNSSEC per il tuo dominio. Inoltre, devi attivare DNSSEC su Google Domains. Segui le istruzioni seguenti:
Google Cloud DNS e DNSSECSe DNSSEC è stato abilitato durante la creazione della zona DNS, seleziona DNSSEC su On e fai clic su Salva. Google Cloud DNS creerà record DNSSEC per chiavi pubbliche (DNSKEY), firme (RRSIG) e non esistenza (NSEC o NSEC3 e NSEC3PARAM) per autenticare i contenuti della tua zona e gestirli automaticamente. Una volta eseguita questa azione, è il momento di occuparsi della parte Registrar. Fai clic sul nome della zona, quindi su Configurazione del registrar in alto a destra per visualizzare i record delle risorse DNSSEC da aggiornare nel tuo dominio. Otterrai questi valori di cui avrai bisogno per proteggere il nome di dominio presso il tuo registrar.
|
| passa con il mouse | Comprendere e gestire DNSSEC |
| internet.bs | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato su Web Hosting Magic cPanel. Potresti essere in grado di aggiungere un record DS:
|
| Joker.com | Supporto DNSSEC In Joker.com, usa 2 come Tipo Digest invece di SHA256 . |
| MarkMonitor | MarkMonitor supporta l'algoritmo di verifica 13 e implementa automaticamente l'Extensive Provisioning Protocol (EPP) per trasferire i record DS al registro per i seguenti TLD: .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Per aggiungere un record DS, inserisci i dati DS nei Dettagli DNSSEC pannello del portale di gestione MarkMonitor. |
| Monitore | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato su Web Hosting Magic cPanel. Potresti essere in grado di aggiungere un record DS:
|
| nome.com | Gestione DNSSEC |
| a buon mercato | Per configurare un record DS con NameCheap, procedi nel seguente modo:
Gestione di DNSSEC per i domini indirizzati a DNS personalizzato |
| OpenSRS | Per configurare un record DS con OpenSRS, procedi nel seguente modo:
|
| nomeISP | Come abilito DNSSEC per il mio dominio? L'abilitazione di DNSSEC in nameISP non richiede di copiare e incollare i dati del record DS dal tuo account Web Hosting Magic cPanel. |
| nomesilo | Record DS (DNSSEC) |
| OVH | OVH supporta DNSSEC con Algoritmo 13 tramite la sua API. Consulta la documentazione. OVH supporta anche l'aggiunta del record DS tramite il loro DNS Manager. |
| Registro di pubblico dominio | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato su Web Hosting Magic cPanel. Questo registrar potrebbe avere TLD limitati. Vedere Aggiunta di record del firmatario della delega (DS). |
| register.com | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato con Web Hosting Magic cPanel. |
| registro.br | DNS e DNSSEC Tutoriais (in portoghese) |
| Tsohost | Contatta l'assistenza clienti del tuo registrar e fornisci i dati del record DS che hai generato con Web Hosting Magic cPanel. |
Quando DNSSEC è stato applicato correttamente al tuo dominio, puoi confermare esaminando le informazioni WHOIS per il tuo dominio.
I domini con DNSSEC leggeranno "signedDelegation" nel campo DNSSEC.
Puoi anche utilizzare uno strumento online come http://dnsviz.net/ o https://dnssec-analyzer.verisignlabs.com/ per convalidare il tuo DNSSEC.