DNSSEC

DNSSEC è un ampliamento del Domain Name System (DNS), che serve a garantire la genuinità (autenticità) e la completezza (integrità) dei dati delle risposte del DNS.

Attraverso firme crittografiche, DNSSEC garantisce che le risposte DNS non possano essere manipolate da terzi, permettendo in questo modo la pubblicazione sicura dei dati nel DNS. Praticamente ogni transazione in Internet inizia con una richiesta DNS, che si tratti della visualizzazione di un sito web, dell'invio di e-mail, di messaggeria istantanea o di online banking. DNSSEC impedisce che venga trasmessa una connessione tramite risposte DNS falsificate su un falso server.

DNSSEC offre inoltre la base per altri meccanismi di sicurezza. Ad esempio, attraverso il protocollo DANE è possibile inviare e-mail in forma codificata senza coinvolgere terzi (certificate authorities) e assicurare che vengano recapitate al server di destinazione corretto. In combinazione con tecnologie come TLS, le transazioni Internet vengono assicurate su più livelli.

La comunicazione in Internet utilizza ampiamente il DNS per ricercare informazioni. Ma poiché il protocollo DNS risale agli inizi di Internet stesso, non venne all'epoca prestata attenzione all'aspetto della sicurezza. DNSSEC rende più sicuro tale protocollo DNS, migliorando in questo modo la sicurezza dell'intera comunicazione in Internet.

Come utenti di Internet non dovete fare nulla. Se il vostro provider supporta DNSSEC, tutte le verifiche delle firme vengono effettuate sui suoi server DNS.

Se come detentore volete proteggere il vostro nome a dominio con DNSSEC, il gestore dei name server deve configurare DNSSEC per voi. Contattate il gestore del vostro sito web (web hoster) o la divisione IT della vostra ditta.

Il grafico mostra il numero di nomi a dominio firmati con DNSSEC il primo giorno di ogni mese dall'introduzione di DNSSEC a SWITCH nell'anno 2010.

Numero di nomi a dominio .ch con DNSSEC

Pubblichiamo qui per i gestori di name server le attuali chiavi dei Top Level Domain .ch e .li.

Importante: le chiavi dei Top Level Domain .ch e .li non dovrebbero essere configurate direttamente come Trust Anchor nei vostri name server. Utilizzate invece esclusivamente le chiavi della Root-Zone. Le nostre chiavi sono elencate qui unicamente per verifica.

Chiavi DNSSEC attuali

CH: Chiave 11896, validità presuntiva fino al 16 dicembre 2019

DS 11896 13 2 24EE6537B1C452D3AEBF439DCF74024717054152DA7F206D5FCBA1A90F70711F

LI: Chiave 43587, validità presuntiva fino al 16 dicembre 2019

DS 43587 13 2 B14D4CF3551DB52CF024E85CECA6AC7D0D78356E95C67AA6CD75257D1CAB268F

Il documento "Key Management Practice Statement" descrive come SWITCH gestisce il materiale key crittografico in relazione a DNSSEC. Esso spiega come vengono generate e memorizzate le chiavi e quando esse perdono la loro validità.

Key Management Practice Statement (in inglese)