Strumento gratuito per il controllo del DNSSEC

Verifica immediatamente se il protocollo DNSSEC è configurato correttamente per qualsiasi dominio. Il nostro validatore DNSSEC gratuito verifica i record DS presso il tuo registrar, i record DNSKEY sul tuo server dei nomi autoritativo, la validità della firma RRSIG e l'intera catena di fiducia dal tuo dominio alla radice del DNS.

Inserisci un nome di dominio valido, senza prefisso http://

0+

Organizzazioni in tutto il mondo

0+

Le aziende della Fortune 100 e le amministrazioni pubbliche

0+

paesi in cui operiamo

Cosa verifica questo strumento di controllo DNSSEC?

Il nostro strumento di verifica DNSSEC esegue sei controlli di convalida fondamentali sul tuo dominio:

1

Documento DS presso l'ufficio del Registro

Conferma che il record “Delegation Signer” sia presente nella zona principale (presso il proprio registrar). Si tratta del collegamento fondamentale che collega la zona firmata alla catena di fiducia globale.

2

Record DNSKEY nella zona

Verifica che il record della chiave pubblica sia pubblicato sul proprio server dei nomi autoritativo. Una zona dispone in genere di due chiavi: una chiave di firma della zona (ZSK) per l'uso quotidiano e una chiave di firma della chiave (KSK) per la firma della ZSK.

3

Validità della firma RRSIG

Verifica che i record DNS contengano firme crittografiche e che queste non siano scadute. Gli RRSIG scaduti compromettono immediatamente la convalida DNSSEC.

4

Corrispondenza DS-DNSKEY

Verifica che il record DS presso il proprio registrar faccia correttamente riferimento al DNSKEY presente nella propria zona. Un'incongruenza (spesso dovuta a un rollover della chiave incompleto) causa il fallimento della convalida.

5

Sicurezza degli algoritmi

Individua gli algoritmi di firma obsoleti o poco sicuri. Gli algoritmi poco sicuri possono compromettere i vantaggi in termini di sicurezza offerti dal protocollo DNSSEC.

6

Integrità della catena di fiducia

Verifica che l'intera catena, dalla radice DNS attraverso il TLD fino al proprio dominio, sia intatta. Un collegamento interrotto in qualsiasi punto di questa catena comporta il fallimento dell'intera convalida.

Il programma di verifica restituisce uno dei quattro stati seguenti:

Abilitato

Tutti i controlli sui tuoi record hanno dato esito positivo.

Parziale

Il record DNSKEY è presente, ma manca il record DS presso il tuo registrar di dominio.

Configurazione errata

Il record DS esiste, ma manca il DNSKEY corrispondente.

Non abilitato

Non è stato possibile individuare né i record DS né quelli DNSKEY.

Che cos'è il DNSSEC?

Il DNSSEC (Domain Name System Security Extensions) è un insieme di estensioni crittografiche del DNS che consente ai resolver di verificare che le risposte DNS siano autentiche e non siano state manomesse durante il trasferimento. Il DNSSEC aggiunge firme digitali ai record DNS e crea una catena di fiducia che parte dalla zona radice del DNS e si estende fino ai singoli domini. Ciò garantisce protezione contro gli attacchi di “cache poisoning” e di “spoofing” del DNS, che potrebbero reindirizzare gli utenti verso server dannosi.

Il protocollo DNSSEC non crittografa le query DNS. Questo aspetto è gestito dai protocolli DNS-over-HTTPS o DNS-over-TLS. Inoltre, non protegge il contenuto delle e-mail né sostituisce gli standard DMARC/DKIM/SPF. Piuttosto, garantisce la sicurezza del processo di risoluzione DNS da cui dipendono tali standard di autenticazione delle e-mail.

Per approfondire i meccanismi del DNSSEC, consulta il nostro:

Comprendere la catena di fiducia

La convalida DNSSEC avviene dall'alto verso il basso attraverso una catena gerarchica di fiducia:

Radice del DNS
TLD (.com, .org, ecc.)
Il tuo dominio

Ogni livello è firmato e autenticato dal livello superiore tramite un record DS. Se questa catena si interrompe a qualsiasi livello, anche se la zona è configurata correttamente, la convalida fallisce.

L'errore più comune: il record DS non è stato inviato al tuo registrar. La tua zona è firmata (il file DNSKEY esiste), ma non è collegata alla zona padre. Lo strumento di verifica restituisce il messaggio "Parziale".

Per risolvere il problema: invia il tuo record DS (dal tuo host DNS) al tuo registrar. Affinché la catena funzioni, entrambi gli elementi devono essere presenti.

Spiegazione dei tipi di record DNSSEC

Il protocollo DNSSEC utilizza quattro tipi principali di record DNS, tutti verificati dal nostro strumento.

Record DNSKEY

Memorizza la chiave pubblica utilizzata per verificare le firme DNSSEC. Include la ZSK (che firma i record) e la KSK (che firma la ZSK).

1
Record DS (firmatario della delega)

Contiene un hash della chiave DNSKEY presente nella zona padre, che collega il tuo dominio alla catena di fiducia DNSSEC.

2
RRSIG (Firma del record di risorsa)

Firma crittografica per ogni insieme di record DNS. Deve essere rinnovata prima della scadenza per mantenere la convalida DNSSEC.

3
Record NSEC / NSEC3

Dimostra che i record DNS non esistono (negazione autenticata dell'esistenza). NSEC3 è la variante che garantisce la tutela della privacy. Impedisce agli aggressori di enumerare tutti i nomi presenti nella zona.

4

Come abilitare il protocollo DNSSEC per il proprio dominio

L'attivazione del DNSSEC prevede due fasi. Per ottenere una convalida completa, è necessario completare entrambe le fasi:

Passo 1

Abilita la firma DNSSEC presso il tuo provider di hosting DNS

Accedi al tuo provider DNS, abilita la firma DNSSEC per il tuo dominio e copia il record DS generato. In questo modo verranno creati i record DNSKEY e inizierà automaticamente la firma della tua zona DNS.

Passo 2

Invia il DS Record al tuo Registrar

Accedi al tuo registrar di domini, apri le impostazioni DNSSEC e aggiungi il record DS generato nel Passo 1. Salva le modifiche per completare la catena di fiducia DNSSEC.

Tempi: la propagazione del DNS richiede 24-48 ore.

Errore comune: molti utenti abilitano la firma DNSSEC ma dimenticano di pubblicare il record DS, lasciando così incompleta la catena di fiducia.

Errori comuni relativi al protocollo DNSSEC e come risolverli

Ecco i cinque errori di configurazione DNSSEC più comuni e come risolverli:

Stato: Parziale o configurazione errata

Record DS mancante o configurato in modo errato

Causa: il record DNSKEY è presente nella tua zona (quindi la tua zona è firmata), ma il record DS non è stato inviato al tuo registrar oppure non è corretto. La catena di fiducia è interrotta a livello di registrar.

Soluzioni consigliate:

  • Accedi al tuo registrar di domini (GoDaddy, Namecheap, ecc.)
  • Accedi alle impostazioni DNS del tuo dominio
  • Individua la sezione relativa ai record DNSSEC o DS
  • Recupera il record DS dal pannello di controllo del tuo provider di hosting DNS
  • Incolla il valore del record DS nel campo “Record DS” del tuo registrar
  • Salva e attendi 24–48 ore affinché il DNS si propaghi
  • Eseguire nuovamente il controllo per verificare che lo stato sia "Abilitato"
Stato: Non abilitato

DNSSEC non abilitato presso il registrar o il server dei nomi

Causa: la firma DNSSEC non è abilitata da nessuna parte. Non sono presenti né record DNSKEY né record DS.

Soluzioni consigliate:

  • Accedi al pannello di controllo del tuo servizio di hosting DNS (Cloudflare, Route 53, ecc.)
  • Cerca la sezione "DNSSEC" o "Sicurezza DNS"
  • Abilita la firma DNSSEC per il tuo dominio
  • Copia il record DS o i dati DNSKEY forniti
  • Accedi al tuo registrar e aggiungi il record DS (come indicato nei passaggi precedenti)
  • Attendere 24-48 ore e rieseguire il controllo
Stato: Configurazione errata

Firma RRSIG scaduta

Causa: le firme dei record DNS hanno superato la data di scadenza. Ciò è solitamente dovuto a un errore nel rinnovo automatico delle chiavi o a un’interruzione del servizio da parte del provider di hosting DNS.

Soluzioni consigliate:

  • Accedi al pannello di controllo del tuo servizio di hosting DNS
  • Individua la sezione DNSSEC ed esegui l'azione "rifirma zona" o "aggiorna le firme"
  • Se tale azione non è presente, disattivare e riattivare la firma DNSSEC
  • Attendere qualche minuto affinché le firme vengano rigenerate
  • Eseguire nuovamente il controllo
Stato: Configurazione errata

Discrepanza DS-DNSKEY

Causa: il record DS presso il tuo registrar non corrisponde più al DNSKEY presente nella tua zona. Ciò accade in genere dopo un rollover della chiave, quando il record DS non è stato aggiornato.

Soluzioni consigliate:

  • Accedi al pannello di controllo del tuo servizio di hosting DNS e recupera il record DS attuale (potrebbe essere cambiato durante il rollover)
  • Accedi al tuo registrar
  • Aggiorna il record DS con il nuovo valore fornito dal tuo provider DNS
  • Attendere 24–48 ore e rieseguire il controllo
Stato: Parziale

DNSSEC abilitato sul server dei nomi ma non presso il registrar

Causa: la tua zona è firmata (sono presenti record DNSKEY), ma il record DS non è presente presso il tuo registrar. Questo è il caso più comune di configurazione errata del protocollo DNSSEC.

Soluzioni consigliate:

  • Accedi al tuo registrar di domini (GoDaddy, Namecheap, ecc.)
  • Accedi alle impostazioni DNS del tuo dominio
  • Individua la sezione relativa ai record DNSSEC o DS
  • Recupera il record DS dal pannello di controllo del tuo provider di hosting DNS
  • Inoltralo al tuo responsabile delle iscrizioni

DNSSEC e sicurezza della posta elettronica

Il protocollo DNSSEC e gli standard di autenticazione delle e-mail (DMARC, DKIM, SPF) sono livelli di sicurezza complementari ma distinti.

Come si collegano

Il protocollo DNSSEC garantisce la sicurezza delle ricerche DNS, mentre SPF, DKIM e DMARC garantiscono la sicurezza della posta elettronica. Assicura che i record DNS utilizzati per l'autenticazione della posta elettronica siano autentici e non siano stati manomessi.

Perché il DNSSEC è importante

Senza il protocollo DNSSEC, gli hacker possono falsificare le risposte DNS e sostituire la tua chiave DKIM con una falsa. Il protocollo DNSSEC impedisce che ciò accada, garantendo che i server di posta recuperino la chiave DKIM autentica dal tuo DNS.

Cosa non fa il DNSSEC

Il protocollo DNSSEC non sostituisce DMARC, DKIM o SPF. Tutti e tre rimangono necessari per l'autenticazione delle e-mail. Il protocollo DNSSEC si limita a rafforzare l'infrastruttura DNS su cui essi si basano.

Verifica se sul tuo dominio è abilitata l'autenticazione e-mail

Hai controllato il tuo record DMARC?

Verifica immediatamente se il tuo record DMARC è attivo, valido e privo di errori di sintassi utilizzando il nostro strumento di ricerca gratuito.

Verifica DMARC

Se p=nessuno? Passare alla fase di applicazione.

Il servizio DMARC in hosting di PowerDMARC ti accompagna in tutta sicurezza dal monitoraggio all'applicazione completa del parametro "p=reject", garantendoti una visibilità in tempo reale.

DMARC in hosting

Vuoi un monitoraggio continuo?

PowerDMARC analizza automaticamente i report aggregati e ti avvisa quando compaiono nuovi mittenti o si verificano problemi di autenticazione.

Inizia gratis

Cosa dicono di noi i nostri clienti e partner

Steve Smith
Steve Smith

Responsabile regionale di Auckland, Advantage

«La nostra attività si basa sulla fiducia, non solo tra noi e i clienti, ma anche con i nostri partner. L’ottima collaborazione che abbiamo instaurato con PowerDMARC ci permette di offrire servizi eccezionali ai nostri clienti.»

Domande frequenti

Che cos’è il DNSSEC e come funziona?
Il protocollo DNSSEC aggiunge firme crittografiche ai record DNS e crea una catena di fiducia che va dalla radice del DNS ai singoli domini. Quando un resolver effettua una query su un dominio firmato con DNSSEC, verifica le firme a ogni livello della gerarchia per confermare che la risposta sia autentica e non sia stata modificata. Per i dettagli tecnici, consulta la nostra guida completa sul protocollo DNSSEC.
Come posso verificare se il protocollo DNSSEC funziona?
Inserisci il tuo dominio nel tool di verifica qui sopra e clicca su "Verifica". Lo strumento verifica i record DS presso il registrar, i record DNSKEY sul tuo nameserver e l'intera catena di fiducia, restituendo uno stato tra "Abilitato", "Parziale", "Configurazione errata" o "Non abilitato". Puoi anche eseguire dig DS yourdomain.com @8.8.8.8 dalla riga di comando per eseguire manualmente una query sul record DS.
Il DNSSEC è ancora rilevante?
Sì. L'avvelenamento della cache DNS rimane un vettore di attacco attivo e il DNSSEC è l'unica difesa a livello di protocollo contro di esso. È inoltre un prerequisito per il DANE (DNS-based Authentication of Named Entities), che garantisce la verifica dei certificati indipendentemente dalle autorità di certificazione. Molti governi, autorità di regolamentazione e quadri normativi impongono ormai l'uso del DNSSEC per i domini critici.
Cosa viene convalidato con il protocollo DNSSEC?
Il protocollo DNSSEC verifica l'autenticità e l'integrità delle risposte DNS, confermando che gli indirizzi IP, i record MX e gli altri dati DNS restituiti per un dominio provengano da un server autorevole e non siano stati modificati durante il trasferimento. Non verifica i contenuti dei siti web né i messaggi e-mail e non crittografa le query DNS.

Pronto a prevenire l'abuso del marchio, le truffe e ad avere una visione completa del tuo canale e-mail?