Servizio DNSSEC

Proteggere il tuo dominio dal Cache Poisoning.



Comprendere DNSSEC


Un server DNS serve ad ottenere l'indirizzo IP corrispondente ad un dominio (URL nel caso di un sito Web), può essere visto come una directory. L'indirizzo IP è necessario al tuo browser per poter contattare il server web responsabile del sito che vuoi visitare, perché l'indirizzo IP identifica univocamente ogni macchina connessa ad internet, esattamente come un numero di telefono. Si tratta di un legame discreto ma cruciale per la sicurezza di internet.


In questi ultimi anni, degli hacker hanno messo a punto dei metodi di poisoning dei server DNS che permettono di ruotare il traffico verso i loro server (phishing, etc...) e falsificare le risposte date dalla rubrica DNS ufficiale.

Attiva DNSSEC in 1 click per il tuo hosting condiviso e controllane l'attivazione tramite il tuo browser, controllando questa guida.


Per sapere come configurare una zona DNSSEC sul tuo server dedicato, consulta questa guida.







A cosa serve un DNS?



L'utente inserisce l'indirizzo www.ovh.it nel suo browser. Una richiesta è inviata al server DNS che risponde con l'indirizzo IP corrispondente: 213.186.33.34.





Il browser conosce ora l'indirizzo IP del server che contiene la pagina www.ovh.it. Esso invia una richiesta a questo indirizzo IP che risponde con il contenuto della pagina.











Il pericolo: la Cache Poisoning



Un hacker ha individuato un bug in un server DNS. Lui riesce ad introdursi nel server ed a modificare l'indirizzo corrispondente a www.ovh.it per l'IP di un server di sua proprietà: 203.0.113.78.










Quando l'utente inserisce l'indirizzo www.ovh.it, il suo browser si dirige verso il server DNS per recuperare l'indirizzo IP corrispondente. Il DNS infetto invia l'indirizzo introdotto dall'hacker: 203.0.113.78.













Il browser utilizza questo indirizzo IP per ottenere il contenuto del sito. Il server pirata lo reindirizza ad una pagina identica a www.ovh.it, per esempio per ottenere i suoi dati personali (phishing).









A cosa serve il DNSSEC?



DNSSEC permette di garantire l'autenticità della risposta DNS. Quando il browser invia una richiesta, DNSSEC restituisce una chiave di autenticazione, che attesta che l'IP restituito è corretto.










L'utente è allora sicuro di accedere ad un sito autentico quando riceve un IP convalidato da DNSSEC











Se un hacker tenta di modificare la zona DNS protetta con DNSSEC, quest'ultimo rifiuta le sue richieste, l'informazione inviata non viene salvata.








Per saperne di più


Ritrovare l'intervista di Stéphane Lesimple, responsabile dei domini in OVH.