Che cos'è un server DNS?

Esse costituiscono la base del Domain Name System (DNS), spesso chiamato "elenco telefonico di internet", che consente agli utenti di accedere ai siti inserendo nomi di dominio in un browser web invece di ricordare e inserire indirizzi IP numerici.

Il DNS comprende due tipi di server DNS: i server DNS ricorsivi, chiamati anche resolver ricorsivi, i resolver DNS o ricorsivi DNS, e i nameserver autorevoli, che includono i root nameserver, i nameserver di dominio di primo livello (TLD) e i nameserver dei nomi di dominio di secondo livello.

I server DNS ricorsivi si occupano di "chiedere", individuando i record DNS contenenti le informazioni necessarie per connettere un client a un sito web o a una risorsa, mentre i server autorevoli conservano questi record e forniscono le "risposte". Insieme, questi server sono responsabili del processo di risoluzione DNS, traducendo i nomi di dominio leggibili dall'uomo in indirizzi digitali di Internet Protocol (IP) numerici e adatti al computer.

Ad esempio, quando un utente inserisce un nome host (come www.esempio.com) in un browser web, avvia una query DNS, chiamata anche richiesta DNS, e avvia il processo di ricerca DNS. Il browser invia la query al risolutore ricorsivo configurato, che interroga progressivamente i server Authoritative DNS per localizzare i record di risorse appropriati per soddisfare la richiesta dell'utente.

Questo processo continua finché il resolver non trova il nameserver autorevole associato a quel dominio, insieme al record A (o AAAA, per gli indirizzi IPv6) che contiene l'indirizzo IP corretto per il dominio. Il resolver restituisce l'indirizzo IP al browser e l'utente si collega alla risorsa che sta cercando.

I server DNS sono l'infrastruttura essenziale che consente al DNS e a Internet di funzionare come gli utenti sono abituati.

I server DNS individuano e memorizzano i record DNS e gestiscono la risoluzione delle query DNS man mano che queste si spostano attraverso la struttura gerarchica del DNS. Il livello più alto comprende i root nameserver DNS, che indirizzano le query ai server di dominio di primo livello appropriati e poi ai server di nomi di dominio di secondo livello, che detengono i record autorevoli per un determinato dominio.

Esistono molti tipi di record DNS, che fungono da sorta di database di istruzioni su dove si trovano le risorse, oltre ad altre informazioni DNS critiche. L'esempio più familiare potrebbero essere i record A (per gli indirizzi IP IPv4, o i record AAAA, per gli indirizzi IPv6) che contengono gli indirizzi IP necessari ai browser per aiutare gli utenti a raggiungere i siti web che stanno cercando.

Ma sono presenti anche record MX che indirizzano al server di posta di un dominio, record CNAME, che indirizzano domini alias a domini canonici, record DNAME usati per reindirizzare più sottodomini con un record e indirizzarli a un altro dominio, e altro ancora.

Questi record sono ospitati su server Authoritative DNS e, affinché il DNS funzioni, devono rimanere integri e sicuri. Senza server DNS funzionanti, non esiste un DNS.

Fin dall'inizio, il DNS è stato progettato con una struttura di database gerarchica e distribuita per facilitare un approccio più dinamico alla risoluzione dei nomi di dominio, in grado di tenere il passo con una rete di computer in rapida espansione. La gerarchia inizia con il livello radice, indicato da un punto (.) e si dirama in domini di primo livello (TLD), come ".com", ".org", ".net" o TLD con codice paese (ccTLDs) come ".uk" e ".jp" e domini di secondo livello.

Le architetture DNS sono costituite da due tipi di server DNS: server ricorsivi e server autorevoli. I server DNS ricorsivi sono quelli che "richiedono" le informazioni, cercando quelle che collegano un utente a una pagina web o a una risorsa. I server autorevoli forniscono le "risposte".

I server ricorsivi, noti anche come resolver ricorsivi o resolver DNS, sono generalmente gestiti da internet service provider (ISP) o provider di DNS Services di terze parti. Un'organizzazione può anche ospitare e gestire il proprio resolver.

I risolutori ricorsivi agiscono per conto dell'utente finale per risolvere il nome di dominio in un indirizzo IP. I resolver ricorsivi memorizzano anche nella cache (memorizzano temporaneamente i risultati delle recenti ricerche DNS) le risposte a una richiesta per un periodo di tempo specifico (definito dal valore time-to-live, o TTL) per migliorare l'efficienza del sistema per le query future sullo stesso dominio.

Quando un utente digita un indirizzo web in un browser, il browser si connette a un server DNS ricorsivo per risolvere la richiesta. Se il server ricorsivo ha la risposta memorizzata nella cache, può connettere l'utente e completare la richiesta. Altrimenti, il resolver ricorsivo interroga la gerarchia DNS fino a trovare i record A (o AAAA) contenenti l'indirizzo IP di un determinato dominio.

I nameserver autorevoli conservano i record definitivi per un dominio e rispondono alle richieste relative ai nomi di dominio memorizzati all'interno delle rispettive zone (in genere, con risposte  configurate dal proprietario del dominio). Esistono diversi server autorevoli, ciascuno responsabile di una parte distinta del namespace.

I nameserver Authoritative DNS includono:

Root nameserver

I root nameserver si trovano in cima alla gerarchia DNS e sono responsabili del servizio alla zona root (il database centrale del DNS). Esistono 13 "identità" o "autorità" del root name server (raggruppamenti logici di root server) identificate dalle lettere da A a M. Rispondono alle query per i record memorizzati nella zona root e indirizzano le richieste al name server TLD appropriato.

Nameserver di dominio di primo livello (TLD)

I server TLD sono responsabili della gestione del livello successivo della gerarchia, inclusi i domini di primo livello generici (gTLD). I nameserver TLD indirizzano le query ai nameserver autoritativi per i domini specifici all'interno del loro TLD. Quindi, il name server TLD per ".com" indirizzerebbe i domini che terminano in ".com", il name server TLD per ".gov" indirizzerebbe i domini che terminano in ".gov" e così via.

Altri server di nomi di dominio

I server dei nomi di dominio di secondo livello, la maggior parte dei server dei nomi di dominio, contengono file di zona con l'indirizzo IP del nome di dominio completo ("ibm.com", ad esempio).

I server DNS sono l'infrastruttura su cui il sistema DNS è costruito e i componenti che ne supportano la funzione principale: collegare gli utenti alle risorse di internet. I server Authoritative DNS memorizzano i record DNS e i server ricorsivi li interrogano per trovare i record necessari a completare una richiesta DNS.

La risoluzione delle query DNS coinvolge diversi processi e componenti chiave:

Un utente immette un nome di dominio, ad esempio "ibm.com", in un browser o un'app. Se l'indirizzo IP del sito in questione non è nella cache del browser, la richiesta viene inviata a un risolutore DNS ricorsivo. Tipicamente, il dispositivo dell'utente dispone di impostazioni DNS predefinite, fornite dall'ISP, che determinano quale resolver ricorsivo riceve la richiesta.

Questo processo è in continua evoluzione, poiché molti browser moderni supportano il DNS over HTTPS (DoH), che consente la risoluzione DNS tramite HTTPS, e molti provider dispongono di server configurati per questo tipo di ricerca. Ad esempio, se si utilizza Firefox negli Stati Uniti, per impostazione predefinita la query verrà inviata a un server DoH Cloudflare anziché al resolver del provider di servizi Internet locale. Il DoH sta diventando sempre più diffuso perché offre maggiore privacy, migliori prestazioni e altri benefici.

Il risolver ricorsivo controlla la propria cache per l'indirizzo IP corrispondente del dominio. Se il resolver ricorsivo non ha i record necessari nella sua cache, avvia il processo di ricerca, partendo dal server principale.

Il resolver ricorsivo interroga un root nameserver, che risponde con un rinvio al server TLD appropriato per il dominio in questione (il TLD name server responsabile, in questo caso, per i domini ".com").

Il resolver interroga il nameserver TLD ".com", che risponde con l'indirizzo del nameserver autorevole per "ibm.com".

Il resolver interroga il nameserver del dominio, che cerca il file di zona DNS e risponde con il record corretto per il nome di dominio fornito.

Il resolver ricorsivo restituisce l'indirizzo IP al dispositivo dell'utente. Il browser o l'app possono quindi avviare una connessione al server host a quell'indirizzo IP e accedere al sito web o al servizio richiesto. Il browser e il resolver memorizzano nella cache i record in base alle rispettive configurazioni e ai TTL.

Il DNS è fondamentalmente un protocollo pubblico. Sebbene i termini "DNS pubblico" e "DNS privato" vengano utilizzati in modi diversi, in assenza di una definizione standard universale per nessuno dei due, sono spesso usati per riferirsi a configurazioni e processi infrastrutturali distinti. La differenza più grande sta nell'uso previsto e nel destinatario.

Il DNS pubblico viene spesso utilizzato per riferirsi al processo di risoluzione DNS "standard", o resolver DNS pubblici, in cui un resolver ricorsivo interroga una serie di server autorevoli che contengono record DNS pubblicamente disponibili per individuare un indirizzo IP e, infine, connettere un utente al sito web che stanno cercando. Spesso si tratta di un resolver fornito dal provider di servizi Internet (ISP) dell'utente o da un servizio DNS Services come il DNS pubblico "quad 8" di Google. I risolutori privati possono anche essere configurati per interrogare il DNS pubblico, ma sono più comunemente utilizzati per reti limitate o aziendali.

Questa ricerca DNS standard viene probabilmente definita DNS pubblico a causa dei resolver disponibili pubblicamente e del fatto che i record DNS su questi server autorevoli sono accessibili a chiunque abbia accesso a Internet.

Il termine "DNS privato" viene talvolta utilizzato per descrivere l'uso di protocolli di crittografia come DNS over TLS (DoT) o DNS over HTTPS (DoH). Tuttavia, queste sono descritte più accuratamente come "caratteristiche di privacy" o "protocolli di privacy" piuttosto che come "DNS privato". Il processo di risoluzione rimane lo stesso, in quanto un risolver utilizza il DNS pubblico per trovare ciò di cui ha bisogno. In questo caso, viene eseguito solo con un trasferimento crittografato.

Il DNS privato viene utilizzato anche per riferirsi alla ricerca all'interno di una rete interna chiusa, come reti aziendali o cloud private virtuali, con accesso limitato agli utenti autorizzati. In un sistema del genere, i resolver privati configurati localmente interrogano i server privati per localizzare risorse e siti all'interno di una rete interna. Questi server sono configurati per servire solo zone private e indirizzi IP interni e la rete mantiene gli URL e gli indirizzi IP interni nascosti al resto di Internet. Questo tipo di DNS privato offre alle organizzazioni maggiore controllo e sicurezza.

Esistono molti modi per configurare questo tipo di rete. Un modo è attraverso un dominio per uso speciale come ".local" che viene utilizzato per la risoluzione sulle reti locali. Un altro è avere sottodomini privati di domini pubblicamente disponibili su internet. Questo sottodominio privato sarebbe disponibile solo per individui o agenti che utilizzano dei risolutori all'interno della rete interna.

Una configurazione aziendale comune che combina DNS "pubblico" e "privato" è chiamata "split-horizon DNS" o "split brain DNS". In questa configurazione, un recursore locale interroga server locali e privati autorevoli per le richieste interne e si affida al DNS standard per le query esterne. Il DNS split-horizon in genere include un elenco di nomi di dominio (una sorta di "lista di autorizzazione") che indica al server quali richieste devono essere indirizzate ai server interni e quali inoltrate a Internet.

Oltre al routing anycast, al bilanciamento del carico, alla gestione del traffico DNS e alle capacità di monitoraggio e risoluzione dei problemi in tempo reale, molti provider DNS gestiti offrono protezioni di sicurezza avanzate come parte integrante del loro servizio. Che un'organizzazione utilizzi un provider DNS gestito o gestisca in autonomia la propria infrastruttura DNS, mettere in sicurezza i server DNS è una parte importante per mantenere al sicuro le reti e le risorse di rete.

Le pratiche e i protocolli di sicurezza DNS che contribuiscono a mantenere i server DNS protetti e disponibili includono: