Parte 4 della serie "Sicurezza web UE: 10 passi verso un rating migliore"
Le fondamenta invisibili
Prima che il browser possa caricare un sito, deve risolvere il nome di dominio in un indirizzo IP. Questo è ciò che fa il Domain Name System (DNS) — e ha un problema fondamentale: è stato progettato nel 1983 senza autenticazione. Chiunque riesca a manipolare le risposte DNS può reindirizzare gli utenti verso server arbitrari.
Un attaccante sulla stessa rete può falsificare le risposte DNS e reindirizzare i vostri clienti verso una copia perfetta del vostro sito — completa di certificato Let's Encrypt valido, se nessun record CAA limita l'emissione.
Adozione di DNSSEC nell'UE: 15,8%. Solo un dominio su sei è protetto.
I numeri
- DNSSEC: 15,8% validato
- CAA (Certification Authority Authorization): 3,0%
- DANE/TLSA: sotto l'1%
Il 97% dei domini europei non ha un record CAA. Ciò significa che qualsiasi autorità di certificazione al mondo può emettere un certificato valido per il vostro dominio — incluso un attaccante con accesso a una CA compromessa.
Cos'è DNSSEC?
DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) firma crittograficamente le risposte DNS. Il nameserver risolutore può verificare che la risposta provenga genuinamente dal nameserver autoritativo e non sia stata alterata.
Senza DNSSEC: vostro-dominio.com -> 93.184.216.34 (non verificabile)
Con DNSSEC: vostro-dominio.com -> 93.184.216.34 + RRSIG (firmato crittograficamente)
Come attivare DNSSEC
DNSSEC si attiva presso il provider DNS, non sul vostro server.
Passaggio 1: verificare il provider DNS
La maggior parte dei principali provider supporta DNSSEC:
| Provider | Supporto DNSSEC | Attivazione |
|---|---|---|
| Cloudflare | Sì | Un clic nella dashboard |
| AWS Route 53 | Sì | Via CLI o Console |
| Google Cloud DNS | Sì | Via CLI o Console |
| Azure DNS | Sì | Via Portale o CLI |
| OVH | Sì | Zona DNS > Attiva DNSSEC |
| Hetzner | Sì | Console DNS > Attiva DNSSEC |
| GoDaddy | Sì | Impostazioni dominio > DNSSEC |
Passaggio 2: attivare DNSSEC
Con la maggior parte dei provider è un semplice interruttore nel pannello di gestione DNS. Il provider genera le chiavi DNSSEC e firma la zona automaticamente.
Passaggio 3: aggiungere il record DS presso il registrar
Se il vostro provider DNS e il registrar sono diversi (es. dominio su GoDaddy, DNS su Cloudflare), dovete aggiungere manualmente il record DS presso il registrar. Il record DS è l'ancora di fiducia — collega il vostro dominio alla firma DNSSEC.
Cloudflare mostra il record DS da inserire presso il registrar.
Passaggio 4: verificare la validazione
dig +dnssec vostro-dominio.com
Se la risposta contiene il flag ad (Authenticated Data), DNSSEC è attivo e validato.
CAA: chi può emettere certificati?
Un record CAA (RFC 8659) definisce quali autorità di certificazione possono emettere certificati TLS per il vostro dominio:
vostro-dominio.com. IN CAA 0 issue "letsencrypt.org"
vostro-dominio.com. IN CAA 0 issuewild ";"
issue "letsencrypt.org"— solo Let's Encrypt può emettere certificatiissuewild ";"— nessun certificato wildcard da nessuno
Il 3% dei domini UE ha un record CAA. L'altro 97% si fida ciecamente di ogni CA al mondo.
Errori comuni
1. Attivare DNSSEC senza monitoraggio. Se le firme DNSSEC scadono (errore nella rotazione delle chiavi), il dominio diventa irraggiungibile per tutti i resolver che validano DNSSEC. Assicuratevi che il provider ruoti le chiavi automaticamente.
2. Impostare CAA in modo troppo restrittivo. Se cambiate provider CA e dimenticate di aggiornare il record CAA, il rinnovo del certificato fallirà.
3. DANE senza DNSSEC. I record DANE/TLSA funzionano solo con DNSSEC — senza la firma, un attaccante può falsificare anche il record TLSA.
Contesto normativo
- NIS2 Art. 21(2) — l'infrastruttura DNS fa parte delle misure di cybersicurezza per i sistemi di rete e informativi
- NIS2 Art. 28 — obblighi specifici per i fornitori di servizi DNS e i registri TLD
- GDPR Art. 32 — lo spoofing DNS può portare a phishing e, di conseguenza, a violazioni dei dati
Verifica la sicurezza del tuo DNS
SiteGuardian controlla la validazione DNSSEC, i record CAA, DANE/TLSA e l'igiene DNS (zone transfer aperte, record orfani):
La prossima settimana nella Parte 5: security.txt — lo standard RFC 9116 che l'ENISA raccomanda e che il 97,2% dei siti UE non ha.