DNS (Domain Name System) traduce nomi di dominio leggibili da umani come google.com in indirizzi IP leggibili dalle macchine per un sito web come 172.217.3.206. Per evitare minacce al dominio, ad esempio attacchi di tipo DNS cache poisoning e DNS spoofing, configura DNSSEC (DNS Security Extensions).
Attivare le DNSSEC per il tuo dominio
Importante:
- Alcuni domini di primo livello (TLD) accettano record DNSKEY (chiave pubblica DNS) anziché record DS (Delegation Signer).
- Se originariamente hai acquistato il tuo nome di dominio da Google Domains, le DNSSEC potrebbero essere già state configurate.
- Se il tuo dominio ha un record ALIAS, non puoi abilitare le DNSSEC. Scopri di più sui record ALIAS
Per configurare le DNSSEC per il tuo dominio, devi aggiungere record di risorse specifici al DNS o alla zona di firma e pubblicarli per il tuo dominio. Se utilizzi la configurazione DNSSEC automatica di Google Domains, gestiamo entrambi i passaggi per te. L'aggiornamento delle modifiche su internet può richiedere fino a 24 ore prima che DNSSEC sia attivo.
- Accedi a Google Domains.
- Seleziona il tuo dominio.
- In alto a sinistra, seleziona Menu DNS.
- Seleziona Server dei nomi predefiniti o Server dei nomi personalizzati.
- Scorri fino alla scheda o alla casella "DNSSEC".
- Per i server dei nomi predefiniti: fai clic su Attiva. Se DNSSEC è già attivo, viene visualizzato "DNSSEC abilitate".
- Per i server dei nomi personalizzati: fai clic su Gestisci i record DS e inserisci le informazioni del tuo provider DNS.
- Inserisci i valori forniti dal provider DNS di terze parti per DNSSEC o DNSKEY per i server dei nomi personalizzati.
- Per aggiungere più record contemporaneamente, fai clic su Crea nuovo record.
- Fai clic su Salva.
Suggerimenti:
- Se scegli di non attendere la pubblicazione dei record DNSKEY, in "DNSSEC", espandi la scheda DNSSEC e fai clic su Pubblica i record ora.
- Quando attivi le DNSSEC, Google Domains firma automaticamente la tua zona DNS e pubblica i tuoi record DS entro due ore.
Se utilizzi i server dei nomi personalizzati, devi collaborare con il tuo provider DNS di terze parti per firmare la zona DNS per il tuo dominio. Per ogni DNSKEY, ottieni i seguenti valori dal tuo provider DNS:
- Tag chiave: valore numerico che fa riferimento a un record DNSKEY esistente.
- Algoritmo: algoritmo di crittografia che crea il token di sicurezza nel record DNSKEY. Di solito è abbinato a una funzione hash come RSA/SHA1.
- Tipo di digest: algoritmo che crea il digest di un record DNSKEY, detto anche algoritmo digest, hash digest o funzione hash digest.
- Digest: valore con hash del record DNSKEY che lo identifica in modo univoco e non espone il valore della chiave. In base al tipo di digest, la lunghezza può essere una delle seguenti:
- SHA1: 40 cifre esadecimali
- SHA256: 64 cifre esadecimali
- SHA384: 96 cifre esadecimali
Se utilizzi server dei nomi personalizzati, devi contattare il provider DNS di terze parti per accedere alle zone DNS per il tuo dominio. Per ogni DNSKEY, ottieni i seguenti valori dal tuo provider DNS:
- Flag: informazioni che dicono a DNS e resolver come interpretare il record DNSKEY. Per impostazione predefinita, questo valore è 256 o 257.
- Protocollo: indica la versione di DNSSEC utilizzata. Questo valore è sempre impostato su 3.
- Algoritmo: indica il tipo di algoritmo crittografico utilizzato per la coppia di chiavi pubblica/privata.
- Chiave pubblica: la chiave che i resolver DNS utilizzano per convalidare che i record DNS non sono stati manomessi.
Disattivare DNSSEC per il tuo dominio
- Accedi a Google Domains.
- Seleziona il tuo dominio.
- Seleziona Menu DNS.
- Scorri fino alla scheda o alla casella "DNSSEC".
- Per i server dei nomi predefiniti: seleziona Disattiva.
- Per i server dei nomi personalizzati: fai clic su Elimina accanto a ogni record.
- Seleziona Salva.
Suggerimenti:
- Per i server dei nomi personalizzati, per rimuovere i record di risorse relativi a DNSSEC dalla tua zona puoi collaborare con il tuo provider DNS.
- Quando disattivi DNSSEC, Google Domains annulla immediatamente la pubblicazione dei record DS del tuo dominio. Quando questa modifica verrà aggiornata su internet, il tuo dominio non sarà più protetto da DNSSEC. L'aggiornamento può richiedere fino a 48 ore. Per completare la disattivazione di DNSSEC, Google Domains potrebbe annullare la firma della zona DNS.
Utilizzare il DNS dinamico
Importante: il DNS dinamico funziona con gli indirizzi IPv4 e IPv6, ma non contemporaneamente.
Il DNS dinamico ti consente di indirizzare il dominio o un sottodominio a una risorsa che si trova dietro un gateway con un indirizzo IP assegnato in modo dinamico. Per utilizzare il DNS dinamico, devi usare i server dei nomi predefiniti di Google Domains.
Se hai configurato il DNS dinamico con Google Domains, puoi:
- Creare un record A o AAAA per il dominio o sottodominio, in modo che i server dei nomi Google si aspettino un IP dinamico.
- Generare un nome utente e una password che l'host o il server può utilizzare per comunicare il nuovo indirizzo IP ai server dei nomi Google.
Dopo aver configurato il DNS dinamico, devi configurare un programma client nell'host, nel server o nel gateway in grado di:
- Rilevare le modifiche dell'indirizzo IP
- Utilizzare il nome utente e la password generati
- Comunicare il nuovo indirizzo ai server dei nomi Google
Configurare il DNS dinamico
- Sul tuo computer, accedi a Google Domains.
- Seleziona il tuo dominio.
- Fai clic su Menu DNS.
- Seleziona Server dei nomi predefiniti Google Domains (Attiva).
- Se hai selezionato "Server dei nomi personalizzati (Attiva)", hai già i server dei nomi personalizzati e non puoi utilizzare il servizio DNS dinamico di Google Domains.
- Fai clic su Mostra impostazioni avanzate.
- Fai clic su Gestisci DNS dinamico Crea nuovo record.
- Per assegnare un IP dinamico, inserisci il nome del sottodominio o del dominio principale.
- Fai clic su Salva.
Di seguito sono riportate alcune opzioni per la gestione del tuo DNS dinamico:
- Per visualizzare i valori del record, fai clic sul triangolo accanto al record.
- Per visualizzare il nome utente e la password creati per questo record: fai clic su Visualizza credenziali.
- Per configurare il gateway o il software client in modo che contatti i server dei nomi Google: utilizza il nome utente e la password creati per il record.
- Per eliminare un record:
- Vai a "Record di risorse".
- Fai clic sul triangolo accanto a "DNS dinamico".
- Seleziona Elimina.
Configurare un programma client nel gateway, nell'host o nel server
Attualmente vengono utilizzati diversi client DNS dinamici, ad esempio DDclient e INADYN. La maggior parte dei router è dotata di software integrato per il rilevamento delle modifiche IP e la comunicazione con i server dei nomi.
Configura il client DNS dinamico con i seguenti valori:
- Provider o DNS o servizio: nome del provider DNS.
- Nome utente o credenziale: il nome utente generato nel record DNS dinamico.
- Password o credenziale: la password generata nel record DNS dinamico.
Dopo aver creato il record e configurato il tuo software client, esegui un test. Inserisci il sottodominio e il dominio in un browser, o client appropriato, e assicurati che si connettano alla risorsa corretta.
Suggerimento: Google Domains utilizza il protocollo dyndns2.
Esempi
DDclient adesso supporta Google Domains.
DDclient con supporto Google Domains |
voci ddclient.conf:
|
Esempi di configurazione client generici:
DDclient senza supporto Google Domains |
INADYN |
Voci ddclient.conf di esempio:
|
Aggiungi i seguenti valori a inadyn.conf
|
Aggiorna il record DNS dinamico con l'API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Imposta uno user agent
Importante: nella richiesta devi impostare anche uno user agent.
Durante un test con l'URL direttamente indicato sopra, domains.google.com/nic/update
, i browser web solitamente aggiungono uno user agent per te. La query HTTP finale inviata ai nostri server dovrebbe essere simile a questa:
Query HTTP di esempio:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Parametri di richiesta:
Parametro | Obbligatorio o facoltativo | Descrizione |
username:password |
Obbligatorio | Il nome utente e la password generati associati all'host da aggiornare. |
hostname |
Obbligatorio | Il nome host da aggiornare. |
myip |
|
L'indirizzo IP su cui è impostato l'host. Se non viene specificato, verrà utilizzato l'IP dell'agente che ha inviato la richiesta.
Importante: se l'agente utilizza un indirizzo IPv6, il parametro |
offline |
Facoltativo | Imposta l'host corrente su offline. Se viene eseguita una richiesta di aggiornamento su un host offline, l'host non risulterà più offline. I valori consentiti sono:
|
In seguito all'elaborazione della richiesta, verrà restituita una delle seguenti risposte.
Importante: assicurati di interpretare la risposta correttamente. In caso contrario, il client potrebbe essere bloccato dal sistema.
Risposta | Stato | Descrizione |
good {user’s IP address} |
Operazione riuscita | Aggiornamento riuscito. Non tentare di eseguire un altro aggiornamento finché l'indirizzo IP non verrà modificato. |
nochg {user’s IP address} |
Operazione riuscita | L'indirizzo IP fornito è già impostato per questo host. Non tentare di eseguire un altro aggiornamento finché l'indirizzo IP non verrà modificato. |
nohost |
Errore | Il nome host non esiste o il DNS dinamico non è abilitato. |
badauth |
Errore | La combinazione di nome utente e password non è valida per l'host specificato. |
notfqdn |
Errore | Il nome host fornito non è un nome di dominio completo valido. |
badagent |
Errore | Il client DNS dinamico invia richieste errate. Assicurati di aver impostato l'agente utente nella richiesta. |
abuse |
Errore | L'accesso DNS dinamico per il nome host è stato bloccato per via di un errore di interpretazione delle risposte precedenti. |
911 |
Errore | Si è verificato un errore da parte nostra. Attendi 5 minuti e riprova. |
conflict A |
Errore | Un record di risorsa A o AAAA personalizzato è in conflitto con l'aggiornamento. Elimina il record di risorse indicato nella pagina delle impostazioni DNS e prova di nuovo l'aggiornamento. |