Cosa sono le DNSSEC (estensioni di sicurezza DNS)?

In parole povere, il DNSSEC aiuta a garantire che gli utenti vengano indirizzati al sito Web effettivo che stanno cercando e non a uno falso. Sebbene non mantenga private le ricerche (Transport Layer Security, o TLS, è un protocollo di sicurezza progettato per garantire la privacy su Internet), impedisce a entità dannose di inserire risposte DNS manipolate nelle richieste DNS.

Il DNSSEC (abbreviazione delle estensioni di sicurezza del Domain Name System) viene utilizzato per estendere il protocollo DNS e affrontare le vulnerabilità nel DNS che lasciano il sistema suscettibile a vari attacchi informatici, come spoofing DNS, cache poisoning DNS, attacchi man-in-the-middle e altre modifiche non autorizzate ai dati DNS. L'implementazione del DNSSEC aiuta a rafforzare il DNS contro questi potenziali rischi, fornendo un'infrastruttura più sicura e affidabile per Internet. Quando un resolver DNS richiede informazioni, le risposte di ricerca DNS vengono convalidate tramite la verifica delle firme digitali, confermando l'autenticità e l'integrità dei dati ricevuti.

Man mano che le minacce alla cybersecurity continuano a evolversi, è probabile che cresca la domanda di misure di sicurezza solide, tra cui il DNSSEC. Organizzazioni come l'Internet Corporation for Assigned Names and Numbers (ICANN) ne promuovono attivamente l'adozione globale, riflettendo un crescente riconoscimento del suo ruolo cruciale nella sicurezza DNS.

Per proteggere il DNS, le estensioni di sicurezza DNS aggiungono firme crittografiche ai record DNS esistenti. Queste firme sono memorizzate nei server di nomi DNS con altri tipi di record DNS, come i record A (che creano una connessione diretta tra un indirizzo IPv4 e un nome di dominio), i record AAAA (che connettono i nomi di dominio agli indirizzi IPv6), i record MX (che indirizzano le e-mail a un server di posta di dominio) e i record CNAME (che mappano gli alias ai nomi di dominio veri o "canonici").

Altri record e termini correlati utili per comprendere il funzionamento di DNSSEC includono:

I record DS vengono utilizzati per stabilire una catena di attendibilità sicura tra una zona principale e una zona secondaria. Contengono l'hash crittografico di un record DNSKEY.

I record DNS (noti anche come chiavi DNSSEC) memorizzano le chiavi pubbliche associate a una particolare zona DNS. Queste chiavi vengono utilizzate per la verifica delle firme digitali e per garantire l'autenticità e l'integrità dei dati DNS all'interno di tale zona.

I record RRSIG contengono una firma crittografica associata a un set di record di risorse DNS.

Questa è una raccolta di tutti i record di risorse di un tipo specifico associati a un nome particolare nel DNS. Ad esempio, se si dispone di due indirizzi IP associati a "example.com", i record A per questi indirizzi verranno raggruppati per formare un RRset.

Questo è un record che elenca i tipi di record esistenti per un dominio e viene utilizzato per indicare la negazione autenticata dell'esistenza di un nome di dominio specifico. Funziona restituendo il record "prossimo sicuro". Ad esempio, se un resolver ricorsivo interroga un server dei nomi per un record che non esiste, il server dei nomi restituisce un altro record, il "prossimo record sicuro" definito sul server, indicando che il record richiesto non esiste.

Si tratta di un miglioramento di NSEC. Migliora la sicurezza rendendo più difficile per gli aggressori prevedere o indovinare i nomi dei domini esistenti in una zona. Funziona in modo simile a NSEC, ma utilizza nomi di record crittografati con hash per evitare di elencare i nomi in una zona particolare.

Le coppie di zone-signing key (una chiave pubblica e una chiave privata) sono chiavi di autenticazione utilizzate per firmare e verificare un RRset. In DNSSEC, ogni zona ha una coppia ZSK. La chiave privata viene utilizzata per creare firme digitali per il RRset. Queste firme sono memorizzate come record RRSIG nel server dei nomi. La chiave pubblica associata, memorizzata in un record DNSKEY, verifica le firme, confermando l'autenticità del RRset. Tuttavia, per convalidare lo ZSK pubblico sono necessarie ulteriori misure. Per questo viene utilizzata una key-signing key.

Una key-signing key è un'altra coppia di chiavi pubblica/privata e viene utilizzata per verificare che la public zone signing key non sia compromessa. 

Le estensioni di sicurezza DNS forniscono un framework protetto tramite crittografia progettato per migliorare la sicurezza e l'affidabilità del DNS. Al suo interno, DNSSEC impiega un sistema di coppie di chiavi, pubblica e privata. Per abilitare la convalida DNSSEC, un amministratore di zona genera firme digitali (archiviate come record RRSIG) utilizzando la zone-signing key privata e una chiave pubblica corrispondente distribuita come record DNSKEY. Una zone-signing key viene utilizzata per firmare e autenticare lo ZSK, fornendo un ulteriore livello di sicurezza.

I resolver DNS, quando vengono interrogati, recuperano l'RRset richiesto e il record RRSIG associato, che contiene la private zone-signing key. Il resolver richiede quindi il record DNSKEY che contiene la chiave ZSK pubblica. Questi tre asset insieme convalidano la risposta ricevuta dal resolver. Tuttavia, l'autenticità dello ZSK pubblico deve ancora essere verificata. È qui che entrano in gioco le key-signing key.

La chiave di firma della chiave viene utilizzata per firmare la ZSK pubblica e creare un RRSIG per il DNSKEY. Il nameserver pubblica una KSK pubblica in un record DNSKEY, come per la ZSK pubblica. Questo crea un RRset contenente entrambi i record DNSKEY, firmati dalla KSK privata e convalidati dalla KSK pubblica. Questa autenticazione convalida la ZSK pubblica, lo scopo della KSK, e convalida l'autenticità del RRset richiesto.

Il DNSSEC opera con il principio di stabilire una "catena di fiducia" nella gerarchia DNS e la firma dei dati DNS a ogni livello per creare un percorso verificabile che garantisca l'integrità e l'autenticità dei dati. Ciascun collegamento nella catena è protetto da firme digitali, creando un ancoraggio di fiducia che inizia dai server della zona principale e si estende attraverso i server di dominio di livello superiore (TLD) ai server DNS autorevoli per i singoli domini.

I record Delegation Signer (DS) vengono utilizzati per consentire il trasferimento dell'attendibilità da una zona principale a una zona secondaria. Quando un resolver fa riferimento a una zona secondaria, la zona principale fornisce un record DS contenente un hash del record DNSKEY della zona principale, che viene confrontato con la KSK pubblica con hash della zona secondaria. Una corrispondenza indica l'autenticità della KSK pubblica e consente al resolver di sapere che i record nel sottodominio (zona secondaria) possono essere considerati attendibili. Questo processo funziona da zona a zona, stabilendo una catena di fiducia.

Il DNSSEC e la sicurezza DNS sono concetti correlati nell'ambito della sicurezza di Internet, ciascuno con un obiettivo e un ambito distinti. Nello specifico, il DNSSEC si riferisce a un insieme di estensioni DNS progettate per rafforzare la sicurezza del Domain Name System. Il suo obiettivo principale è garantire l'integrità e l'autenticità dei record DNS attraverso la crittografia privata e pubblica delle chiavi.

La sicurezza DNS è un concetto più ampio che racchiude un approccio completo alla protezione dell'intero ambiente DNS. Sebbene il DNSSEC sia un componente cruciale della sicurezza DNS, l'ambito di quest'ultima si estende oltre i protocolli specifici di DNSSEC. La sicurezza DNS affronta un'ampia gamma di minacce, tra cui attacchi distributed denial of service (DDoS) e furti di dominio, fornendo una strategia olistica per proteggere dalle attività nocive che potrebbero compromettere l'infrastruttura DNS.