DNSSEC

DNSSEC è un ampliamento del Domain Name System (DNS) che serve a garantire la genuinità (autenticità) e la completezza (integrità) dei dati delle risposte del DNS.

Pertanto, il computer richiedente (p.es. un browser Internet) può riconoscere mediante misure tecniche se la risposta a un indirizzo Internet nel DNS proviene effettivamente dal server registrato da noi come pertinente. Al tempo stesso si garantisce che questa risposta non sia stata modificata durante il trasporto in Internet. Detto in termini semplici: DNSSEC è una sorta di assicurazione che garantisce all'utente di Internet che venga visualizzato unicamente il sito web che egli intende richiamare.

Leggete il nostro opuscolo per una descrizione dettagliata di DNSSEC.

Nell'Internet browser esiste già di per sé una tecnologia per la trasmissione sicura dei dati che garantisce all'utente il sito web "corretto": la codifica SSL. I siti web vengono codificati mediante i cosiddetti Secure Socket Layer (SSL). Ciò è contrassegnato nel browser con il simbolo di una chiave. DNSSEC non è stato progettato per sostituire la codifica SSL. Al contrario, DNSSEC dovrebbe completare SSL e impedire che si arrivi su un server sbagliato prima che la connessione a Internet sia assicurata da SSL.

Come utenti di Internet non dovete fare nulla. Se il vostro fornitore d'accesso a Internet supporta DNSSEC, tutte le verifiche delle firme vengono effettuate sui suoi server DNS.

In quanto detentori di un nome a dominio, il vostro gestore del sito web responsabile deve impostare DNSSEC per voi. Poiché DNSSEC non sarà molto diffuso proprio nella fase iniziale, è probabile che all'inizio i gestori di siti web meritevoli di protezione (p.es. le banche) saranno i primi a proteggere i loro siti web con DNSSEC.

Pubblichiamo qui per i gestori di name server le attuali chiavi dei Top Level Domain .ch e .li.

Importante: le chiavi dei Top Level Domain .ch e .li non dovrebbero essere configurate direttamente come Trust Anchor nei vostri name server. Utilizzate invece esclusivamente le chiavi della Root-Zone. Le nostre chiavi sono elencate qui unicamente per verifica.

Chiavi DNSSEC attuali

CH: Chiave 30010, validità presuntiva fino al 31 dicembre 2016
DS 30010 8 1 6C987A562D76215ADA6FA9D8B21E5EF5F7D2BA49
DS 30010 8 2 53EC0B45A417CBA93884BD1D2D22249274A6424BDD2CF9CAE55A0B09F73DEE54

LI: Chiave 10600, validità presuntiva fino al 31 dicembre 2016
DS 10600 8 1 8862B0256FB199991A445D5C02664D188AFF4A66
DS 10600 8 2 517A05281B5B392207920DB42D9AE352B6498C09B4494381C006C3727F6A4081

Il documento "Key Management Practice Statement" descrive come SWITCH gestisce il materiale key crittografico in relazione a DNSSEC. Esso spiega come vengono generate e memorizzate le chiavi e quando esse perdono la loro validità.

Key Management Practice Statement (in inglese)