Configurare la sicurezza DNSSEC e DNS

DNS (Domain Name System) traduce nomi di dominio leggibili da umani come google.com in indirizzi IP leggibili dalle macchine per un sito web come 172.217.3.206. Per evitare minacce al dominio, ad esempio attacchi di tipo DNS cache poisoning e DNS spoofing, configura DNSSEC (DNS Security Extensions).

Attivare DNSSEC per il tuo dominio

Importante:

  • Alcuni domini di primo livello (TLD) accettano record DNSKEY (chiave pubblica DNS) anziché record DS (Delegation Signer).
  • Se originariamente hai acquistato il tuo nome di dominio da Google Domains, DNSSEC potrebbe essere già stato configurato.

Per configurare DNSSEC per il tuo dominio, devi aggiungere record di risorse specifici al DNS o alla zona di firma e pubblicarli per il tuo dominio. Se utilizzi la configurazione DNSSEC automatica di Google Domains, gestiamo entrambi i passaggi per te. L'aggiornamento delle modifiche su internet può richiedere fino a 24 ore prima che DNSSEC sia attivo.

  1. Accedi a Google Domains.
  2. Seleziona il tuo dominio.
  3. In alto a sinistra, seleziona Menu "" e poi DNS.
  4. Seleziona Server dei nomi predefiniti o Server dei nomi personalizzati.
  5. Scorri fino alla scheda o alla casella "DNSSEC".
    • Per i server dei nomi predefiniti: fai clic su Attiva. Se DNSSEC è già attivo, viene visualizzato "DNSSEC abilitate".
    • Per i server dei nomi personalizzati: fai clic su Gestisci i record DS e inserisci le informazioni del tuo provider DNS.
      1. Inserisci i valori forniti dal provider DNS di terze parti per DNSSEC o DNSKEY per i server dei nomi personalizzati.
      2. Per aggiungere più record contemporaneamente, fai clic su Crea nuovo record.
      3. Fai clic su Salva.

Suggerimenti:

  • Se scegli di non attendere la pubblicazione dei record DNSKEY, in "DNSSEC", espandi la scheda DNSSEC e fai clic su Pubblica i record ora.
  • Quando attivi DNSSEC, Google Domains firma automaticamente la tua zona DNS e pubblica i tuoi record DS (Delegation Signer) entro due ore.
Valori necessari per DNSSEC per i server dei nomi personalizzati

Se utilizzi i server dei nomi personalizzati, devi collaborare con il tuo provider DNS di terze parti per firmare la zona DNS per il tuo dominio. Per ogni DNSKEY, ottieni i seguenti valori dal tuo provider DNS:

  • Tag chiave: valore numerico che fa riferimento a un record DNSKEY esistente.
  • Algoritmo: algoritmo di crittografia che crea il token di sicurezza nel record DNSKEY. Di solito è abbinato a una funzione hash come RSA/SHA1.
  • Tipo di digest: algoritmo che crea il digest di un record DNSKEY, detto anche algoritmo digest, hash digest o funzione hash digest.
  • Digest: valore con hash del record DNSKEY che lo identifica in modo univoco e non espone il valore della chiave. In base al tipo di digest, la lunghezza può essere una delle seguenti:
    • SHA1: 40 cifre esadecimali
    • SHA256: 64 cifre esadecimali
    • SHA384: 96 cifre esadecimali
Valori necessari per DNSKEY per i server dei nomi personalizzati

Se utilizzi server dei nomi personalizzati, devi contattare il provider DNS di terze parti per accedere alle zone DNS per il tuo dominio. Per ogni DNSKEY, ottieni i seguenti valori dal tuo provider DNS:

  • Flag: informazioni che dicono a DNS e resolver come interpretare il record DNSKEY. Per impostazione predefinita, questo valore è 256 o 257.
  • Protocollo: indica la versione di DNSSEC utilizzata. Questo valore è sempre impostato su 3.
  • Algoritmo: indica il tipo di algoritmo crittografico utilizzato per la coppia di chiavi pubblica/privata.
  • Chiave pubblica: la chiave che i resolver DNS utilizzano per convalidare che i record DNS non sono stati manomessi.

Disattivare DNSSEC per il tuo dominio

  1. Accedi a Google Domains.
  2. Seleziona il tuo dominio.
  3. Seleziona Menu "" e poi DNS.
  4. Scorri fino alla scheda o alla casella "DNSSEC".
    • Per i server dei nomi predefiniti: seleziona Disattiva.
    • Per i server dei nomi personalizzati: fai clic su Elimina accanto a ogni record.
  5. Seleziona Salva.

Suggerimenti:

  • Per i server dei nomi personalizzati, per rimuovere i record di risorse relativi a DNSSEC dalla tua zona puoi collaborare con il tuo provider DNS.
  • Quando disattivi DNSSEC, Google Domains annulla immediatamente la pubblicazione dei record DS del tuo dominio. Quando questa modifica verrà aggiornata su internet, il tuo dominio non sarà più protetto da DNSSEC. L'aggiornamento può richiedere fino a 48 ore. Per completare la disattivazione di DNSSEC, Google Domains potrebbe annullare la firma della zona DNS.

Utilizzare il DNS dinamico

Importante: il DNS dinamico funziona con gli indirizzi IPv4 e IPv6, ma non contemporaneamente.

Il DNS dinamico ti consente di indirizzare il dominio o un sottodominio a una risorsa che si trova dietro un gateway con un indirizzo IP assegnato in modo dinamico. Per utilizzare il DNS dinamico, devi usare i server dei nomi predefiniti di Google Domains.

Se hai configurato il DNS dinamico con Google Domains, puoi:

  • Creare un record A o AAAA per il dominio o sottodominio, in modo che i server dei nomi Google si aspettino un IP dinamico.
  • Generare un nome utente e una password che l'host o il server può utilizzare per comunicare il nuovo indirizzo IP ai server dei nomi Google.

Dopo aver configurato il DNS dinamico, devi configurare un programma client nell'host, nel server o nel gateway in grado di:

  • Rilevare le modifiche dell'indirizzo IP
  • Utilizzare il nome utente e la password generati
  • Comunicare il nuovo indirizzo ai server dei nomi Google

Configurare il DNS dinamico

  1. Sul tuo computer, accedi a Google Domains.
  2. Seleziona il tuo dominio.
  3. Fai clic su Menu "" e poi DNS.
  4. Seleziona Server dei nomi predefiniti Google Domains (Attiva).
  • Se hai selezionato "Server dei nomi personalizzati (Attiva)", hai già i server dei nomi personalizzati e non puoi utilizzare il servizio DNS dinamico di Google Domains.
  1. Fai clic su Mostra impostazioni avanzate.
  2. Fai clic su Gestisci DNS dinamico e poi Crea nuovo record.
  3. Per assegnare un IP dinamico, inserisci il nome del sottodominio o del dominio principale.
  4. Fai clic su Salva.

Di seguito sono riportate alcune opzioni per la gestione del tuo DNS dinamico:

  • Per visualizzare i valori del record, fai clic sul triangolo accanto al record.
  • Per visualizzare il nome utente e la password creati per questo record: fai clic su Visualizza credenziali.
  • Per configurare il gateway o il software client in modo che contatti i server dei nomi Google: utilizza il nome utente e la password creati per il record.
  • Per eliminare un record:
    1. Vai a "Record di risorse".
    2. Fai clic sul triangolo accanto a "DNS dinamico".
    3. Seleziona Elimina.

Configurare un programma client nel gateway, nell'host o nel server

Attualmente vengono utilizzati diversi client DNS dinamici, ad esempio DDclient e INADYN. La maggior parte dei router è dotata di software integrato per il rilevamento delle modifiche IP e la comunicazione con i server dei nomi.

Configura il client DNS dinamico con i seguenti valori:

  • Provider o DNS o servizio: nome del provider DNS.
  • Nome utente o credenziale: il nome utente generato nel record DNS dinamico.
  • Password o credenziale: la password generata nel record DNS dinamico.

Dopo aver creato il record e configurato il tuo software client, esegui un test. Inserisci il sottodominio e il dominio in un browser, o client appropriato, e assicurati che si connettano alla risorsa corretta.

Suggerimento: Google Domains utilizza il protocollo dyndns2.

Esempi

DDclient adesso supporta Google Domains.

DDclient con supporto Google Domains

voci ddclient.conf:

ssl=yes

protocol=googledomains

login=nomeutente_generato

password=password_generata

risorsa.dominio.tld

Esempi di configurazione client generici:

DDclient
senza supporto Google Domains
INADYN

Voci ddclient.conf di esempio:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=nomeutente_generato

password=password_generata

risorsa.dominio.tld

Aggiungi i seguenti valori a inadyn.conf

system default@domains.google.com

nome utente nomeutente_generato

password password_generata

alias sub.domain.tld

Aggiorna il record DNS dinamico con l'API

Il software client DNS dinamico aggiorna automaticamente il record DNS dinamico. Puoi eseguire aggiornamenti manuali con l'API effettuando una richiesta POST o GET al seguente URL:
domains.google.com/nic/update
L'API richiede HTTPS. Ecco una richiesta di esempio:
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Imposta uno user agent

Importante: nella richiesta devi impostare anche uno user agent.

Durante un test con l'URL direttamente indicato sopra, domains.google.com/nic/update, i browser web solitamente aggiungono uno user agent per te. La query HTTP finale inviata ai nostri server dovrebbe essere simile a questa:

Query HTTP di esempio:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com

Parametri di richiesta:

Parametro Obbligatorio o facoltativo Descrizione
username:password Obbligatorio Il nome utente e la password generati associati all'host da aggiornare.
hostname Obbligatorio Il nome host da aggiornare.
myip
  • Facoltativo per IPv4.
  • Obbligatorio se disponi di un indirizzo IPv6.
L'indirizzo IP su cui è impostato l'host. Se non viene specificato, verrà utilizzato l'IP dell'agente che ha inviato la richiesta.

Importante: se l'agente utilizza un indirizzo IPv6, il parametro myip è obbligatorio. Puoi controllare l'indirizzo IP del tuo agente all'indirizzo: https://domains.google.com/checkip.

offline Facoltativo Imposta l'host corrente su offline. Se viene eseguita una richiesta di aggiornamento su un host offline, l'host non risulterà più offline.
I valori consentiti sono:
  • yes
  • no

In seguito all'elaborazione della richiesta, verrà restituita una delle seguenti risposte.

Importante: assicurati di interpretare la risposta correttamente. In caso contrario, il client potrebbe essere bloccato dal sistema.

Risposta Stato Descrizione
good {user’s IP address} Operazione riuscita Aggiornamento riuscito. Non tentare di eseguire un altro aggiornamento finché l'indirizzo IP non verrà modificato.
nochg {user’s IP address} Operazione riuscita L'indirizzo IP fornito è già impostato per questo host. Non tentare di eseguire un altro aggiornamento finché l'indirizzo IP non verrà modificato.
nohost Errore Il nome host non esiste o il DNS dinamico non è abilitato.
badauth Errore La combinazione di nome utente e password non è valida per l'host specificato.
notfqdn Errore Il nome host fornito non è un nome di dominio completo valido.
badagent Errore Il client DNS dinamico invia richieste errate. Assicurati di aver impostato l'agente utente nella richiesta.
abuse Errore L'accesso DNS dinamico per il nome host è stato bloccato per via di un errore di interpretazione delle risposte precedenti.
911 Errore Si è verificato un errore da parte nostra. Attendi 5 minuti e riprova.
conflict A
conflict AAAA
Errore Un record di risorsa A o AAAA personalizzato è in conflitto con l'aggiornamento. Elimina il record di risorse indicato nella pagina delle impostazioni DNS e prova di nuovo l'aggiornamento.
È stato utile?
Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
Cerca nel Centro assistenza
true
true
true
true
93020
false
false