In che modo DNSSEC è diverso dalla crittografia?

È una domanda che ci sentiamo rivolgere spesso: "DNSSEC non è la stessa cosa del DNS crittografato?"

Non proprio. Sebbene DNSSEC protegga le reti dagli attacchi man-in-the-middle, lo fa tramite la crittografia a chiave pubblica, che è diversa dalla crittografia tradizionale. In altre parole, DNSSEC fornisce una forma di autenticazione, ma non una forma di riservatezza.

DNSSEC utilizza la crittografia a chiave pubblica per "firmare" digitalmente, o autenticare, le query DNS. Quando DNSSEC è abilitato su un record di zona, il dispositivo ricevente può confrontare le informazioni ricevute con le informazioni originali inviate dal server autorevole. Ciò è possibile grazie a una firma digitale che utilizza chiavi pubbliche per autenticare i dati.

In DNSSEC, le chiavi di autenticazione sono protette tramite crittografia, ma i dati stessi non sono protetti. È ancora possibile intercettare e leggere il traffico protetto da DNSSEC. Se i dati vengono manipolati da qualche parte lungo il percorso dei dati e inviati a destinazione, il server ricevente sarà in grado di capire che qualcosa non va, perché le chiavi pubbliche non corrisponderanno.

La crittografia tradizionale, invece, utilizza tecniche crittografiche per codificare direttamente i dati. La crittografia garantisce la riservatezza modificando ciò che un aggressore vedrebbe se intercettasse una query da qualche parte lungo il percorso dei dati. Rende quei dati incomprensibili a meno che l'aggressore non riesca a decifrare il segnale utilizzando una chiave di crittografia. Poiché tale chiave non è condivisa pubblicamente, la crittografia protegge i dati dalla manipolazione.

Il DNS è uno dei protocolli più vecchi di Internet. Quando è stato creato, Internet era un posto molto più piccolo dove praticamente tutti si conoscevano. La sicurezza è stata un ripensamento.

Quando la sicurezza di Internet divenne un problema, il DNS era così ampiamente utilizzato che qualsiasi modifica significativa avrebbe portato l'intero sistema a un brusco arresto. Piuttosto che cercare di sviluppare un protocollo completamente crittografato per sostituire il DNS, si è deciso di aggiungere un meccanismo di autenticazione al sistema esistente.

DNSSEC era un compromesso. Ha reso possibile l'autenticazione di query e dati, aumentando la sicurezza del protocollo. Ma lo ha fatto senza modificare il sistema sottostante, in modo che Internet potesse continuare a crescere senza la necessità di riprogettare nulla. La distribuzione di DNSSEC è stata resa opzionale in modo che le organizzazioni potessero effettuare la transizione se e quando volevano.

L'avvelenamento della cache DNS (noto anche come spoofing DNS) è un motivo importante per distribuire DNSSEC. In un attacco di spoofing DNS, una risposta non autenticata viene sostituita alla risposta legittima a una query DNS. La risposta rimane quindi bloccata nella cache, continuando a restituire la risposta sbagliata e indirizzando gli utenti verso siti dannosi finché non scade il "time to live".

DNSSEC protegge da questi tipi di attacchi autenticando le risposte DNS, garantendo che vengano restituite solo le risposte corrette. La crittografia può proteggere i dati sottostanti in una connessione DNS, ma non protegge da un attacco di spoofing DNS.

Sfortunatamente, solo il 20% circa del traffico Internet (link esterno a ibm.com) è convalidato tramite DNSSEC. Anche se si tratta di un aumento significativo rispetto a pochi anni fa, siamo ancora lontani dal punto in cui dovremmo essere. Una combinazione di problemi di usabilità, mancanza di informazioni e pura pigrizia spiega questo divario significativo.

NS1 incoraggia vivamente tutti i suoi clienti a distribuire DNSSEC e ne promuove l'uso attraverso un semplice processo di distribuzione. A differenza di altri provider, NS1 supporta anche DNSSEC come fornitore secondario o opzione DNS ridondante tramite la nostra offerta di DNS dedicato.