Dall'Asia, passando per l'Europa, a Washington una delle città più belle degli Stati Uniti. Il nostro dominio MYETV. tv è ora parcheggiata lì, a https://donuts.domains/ e dopo 10 anni siamo orgogliosi di meritare uno dei migliori registrar al mondo con un DNSSEC moderno ed esteso per tutte le estensioni di dominio là fuori. Negli ultimi anni i domini .tv in generale hanno subito una penalità ingiusta e non tutti i registrar possono offrire una buona infrastruttura DNSSEC a questo punto; ICANN con il post “Che cosa è DNSSEC e perché è così importante? ” ha dichiarato nel 2013 che il DNSSEC dovrebbe essere utilizzato per impostazione predefinita da ogni registrar/provider, senza differenza, ma in realtà non è così e la maggior parte dei provider, tuttavia, non offrirà il DNSSEC per ogni nome di dominio (come .tv o qualsiasi nome di dominio premium- [Special Accounts: an account with elevated privileges and/or access to special sections] - ).
Protezione da DNSSEC
DNSSEC è stato sviluppato per migliorare il set di sicurezza di base del DNS e fornire alcuni degli strati di sicurezza necessari, ma inizialmente trascurati. L'estensione autentica la risoluzione degli indirizzi IP con una firma crittografica, per assicurarsi che le risposte fornite dal server DNS siano valide e autentiche.
Come funziona DNSSEC per rafforzare la sicurezza?
Quando un client abilitato DNSSEC invia una richiesta a un server DNS che supporta DNSSEC, il client include nella richiesta una chiave di firma crittografica. Una tale chiave esiste nel risolutore client, mentre l'altra esiste nel server DNS autorevole del dominio. Il risolutore corrisponde quindi alla sua firma a quella del server DNS autorevole. Se il risolutore è in grado di abbinare le firme, è assicurato che la risposta ricevuta dall'Autorità non è stata manomessa e restituisce il record DNS verificato al client.
Il processo di verifica DNSSEC fornisce agli utenti tre vantaggi principali:
– Autenticazione di origine dei dati: Questa funzione convalida ulteriormente le fonti di autorità, rendendo più difficile per i terzi dannosi per implementare gli attacchi uomo-in-the-middle.
– Dati Integrità: In questo processo, i record sono firmati crittograficamente. Se sono stati modificati durante la zona master/secondaria, si presenterà quando risolverà un record.
– Autenticata negazione dell'esistenza: se una query non ha dati, i server autorevoli possono fornire una risposta, che dimostra che non esistono dati.
Quando implementato, questo meccanismo mitiga alcune vulnerabilità chiave di sicurezza DNS come l'avvelenamento della cache e alcuni metodi di attacchi uomo-in-the-middle.
Attuazione: nell'articolo http://www.cloudflare.com/dns/dnssec/how-dnssec-works/ ci sono più informazioni su come funziona il DNSSEC nella nostra infrastruttura.
Per verificare se il DNSSEC sta lavorando sulla piattaforma MYETV.tv: https://dnssec-analyzer.verisignlabs.com/MYETV.tv
Attualmente la protezione DNSSEC è attivo.
