Controllo DNSSEC:
Convalida della sicurezza del tuo dominio

Controllate lo stato DNSSEC dei vostri domini in pochi secondi!

Controllo dei record DNSSEC

Utilizzare questo strumento per cercare e convalidare il proprio record DNSSEC.

Inserisci un nome di dominio valido, senza prefisso http://

Stato del DNSSEC

Disabile

DNSSEC presso la società di registrazione

Disabile

DNSSEC sui server dei nomi

Disabile
Dettagli sul risultato
Stato di registrazione:

Analizzare il DNSSEC nel modo giusto con PowerDMARC

Comprendere il protocollo DNSSEC

Il DNSSEC (Domain Name System Security Extensions) è un'estensione di sicurezza che funziona come un sigillo di autenticità per i siti web. Assicura che ogni volta che si digita un indirizzo web nel browser (ad esempio www.adomainname.com) si venga reindirizzati al sito web corretto invece che a uno fraudolento.

Non si tratta di un singolo tipo di record, ma piuttosto di una suite di estensioni che aggiungono firme crittografiche ai record DNS esistenti. Ciò contribuisce a garantire l'autenticità e l'integrità dei dati DNS, proteggendo da vari attacchi come il DNS poisoning e lo spoofing.

Ecco i principali tipi di record DNSSEC:

DNSKEY: contiene la chiave pubblica utilizzata per verificare le firme digitali di altri record DNSSEC della zona.   

RRSIG: contiene la firma digitale per uno specifico record set (ad esempio, A, MX, ecc.).   

DS: contiene una versione con hash del record DNSKEY, utilizzato per la delega e l'ancoraggio della fiducia.   

Aggiungendo questi tipi di record a una zona DNS, il DNSSEC consente ai resolver di verificare l'autenticità delle risposte DNS, fornendo un livello di sicurezza superiore per la risoluzione dei nomi di dominio.

L'importanza di impostare il protocollo DNSSEC

I rischi del mancato utilizzo del protocollo DNSSEC

Rischio di impersonificazione

I domini con DNSSEC disattivato sono facili bersagli di impersonificazione per gli hacker.

Rischio di attacchi informatici

I domini con DNSSEC disattivato sono molto più vulnerabili agli attacchi informatici come lo spoofing DNS e il Man-in-the-middle.

Rischio di danni alla reputazione

Senza DNSSEC, i domini sono soggetti a danni alla reputazione e alla sfiducia degli utenti.

Come controllare lo stato del DNSSEC: Passo dopo passo

Utilizzo del nostro strumento di verifica DNSSEC

Potete verificare facilmente se il DNSSEC è abilitato per il vostro dominio utilizzando il nostro strumento di analisi DNSSEC. Questo processo di ricerca del DNSSEC è istantaneo, privo di errori e il più conveniente con il nostro strumento, che fornisce risultati accurati ogni volta! 

  1. Inserite il vostro nome di dominio (ad es. azienda.com)
  2. Premete il pulsante "Cerca". 
  3. Analizzare i risultati della convalida DNSSEC

Verifica del DNSSEC con gli strumenti della riga di comando

È possibile utilizzare uno strumento a riga di comando come Dig per verificare lo stato del DNSSEC, tuttavia questo processo di ricerca del DNSSEC è un po' più complicato rispetto all'uso di uno strumento automatico.

  1. Installare Dig se non è preinstallato sul sistema operativo in uso
  2. Aprire il prompt dei comandi di dig 
  3. Eseguite il seguente comando:
    dig +dnssec +multi
  4. Analizzare i risultati

Assicurarsi che il DNSSEC funzioni correttamente

Interpretare i risultati della convalida DNSSEC

Risultato: Valido

  • Stato DNSSEC: Abilitato

  • DNSSEC presso la società di registrazione: Abilitato (completamente firmato)

  • DNSSEC sui server dei nomi: Abilitato

Spiegazione: Tutto sembra funzionare con la configurazione DNSSEC per questo dominio. Il protocollo DNSSEC è attivato sia a livello di società di registrazione che di server dei nomi e il dominio è protetto da una firma DNSSEC. Ciò indica che tutte le richieste DNS per questo dominio vengono autenticate accuratamente per garantire che le risposte siano autentiche e affidabili.

Risultato: Non valido

  • Stato DNSSEC: Disabilitato

  • DNSSEC presso la società di registrazione: Disabilitato (non firmato)

  • DNSSEC sui server dei nomi: Disabilitato

Spiegazione: L'impostazione DNSSEC per il dominio non funziona correttamente poiché è disattivata sia a livello di società di registrazione che di server dei nomi. Il dominio non dispone di una firma DNSSEC per la convalida dell'autenticità delle query DNS. Si consiglia di abilitare il protocollo DNSSEC per aumentare la sicurezza del sistema DNS del dominio.

Errori di convalida del DNSSEC e soluzioni

1. Registri mancanti o errati

Verifica l'esistenza del proprio record SPF pubblicato

Emissione: Il record DS (Delegation Signer) o il record DNSKEY sono mancanti, mal configurati o contengono errori. Ciò comporta l'interruzione della catena di fiducia e di conseguenza il fallimento della convalida DNSSEC.

Soluzione: Assicurarsi di modificare e impostare i record DS e DNSKEY senza errori.

2. DNSSEC non impostato correttamente

Rileva i lookup multipli

Emissione: Il protocollo DNSSEC deve essere impostato correttamente sia nella società di registrazione che nei server dei nomi. Se non è impostato in nessuno dei due, la convalida del DNSSEC fallisce e può causare problemi di risoluzione DNS per il dominio.

Soluzione: Controllare e configurare il DNSSEC sia nella società di registrazione che nei server dei nomi.

3. Firme DNSSEC scadute

Notifica gli errori di sintassi

Emissione: La firma DNSSEC (RRSIG) ha superato la data di scadenza, con conseguente fallimento della convalida.

Soluzione: Utilizzare strumenti software automatizzati per firmare nuovamente i record DNS prima che venga superata la data di scadenza.

4. Record DS non corrispondenti

Aiuta a risolvere gli errori più velocemente

Problema: I record DS nella zona padre e nel DNSKEY della zona figlia non corrispondevano, causando un errore di convalida DNSSEC.

Soluzione: Assicurarsi che i record DS di entrambe le zone corrispondano e siano allineati.

Ulteriori suggerimenti per un'implementazione DNSSEC di successo

Per un'implementazione senza problemi, si possono prendere in considerazione i seguenti suggerimenti aggiuntivi:

  • Testate prima la configurazione del DNSSEC in un ambiente fittizio

  • Implementare il protocollo DNSSEC per i domini non critici nelle fasi iniziali.

  • Non utilizzare algoritmi DNSSEC deprecati

  • Automatizzare la rotazione delle chiavi con strumenti online

  • Testate periodicamente il protocollo DNSSEC per assicurarvi che funzioni correttamente.

Pronto a prevenire l'abuso del marchio, le truffe e ad avere una visione completa del tuo canale e-mail?