DNSSEC

Da Wikipedia, l'enciclopedia libera.

Le Domain Name System Security Extensions (DNSSEC) sono una serie di specifiche dell'IETF per garantire la sicurezza e affidabilità delle informazioni fornite dai sistemi DNS, comunemente usati sulle reti funzionanti tramite Internet Protocol. Queste estensioni permettono ai client DNS (detti resolver) di autenticare:

  • L'effettiva origine dei dati DNS
  • Integrità dei dati ricevuti (ma non la riservatezza o la disponibilità)
  • Le asserzioni di non esistenza

Attualmente il problema della sicurezza dell'infrastruttura DNS è cruciale per l'intera sicurezza di Internet, ma l'adozione del sistema DNSSEC è stata rallentata da diverse problematiche tecniche e logistiche, tra cui la necessità di:

  1. Metter mano a un protocollo che si adatti alla dimensione dell'intera Internet, senza rompere la retrocompatibilità
  2. Prevenire enumerazioni di zona non desiderate
  3. Sviluppare l'infrastruttura DNSSEC su una vasta gamma di server e client DNS diversi
  4. Sfatare il mito della complessità intrinseca e d'adozione dell'infrastruttura DNSSEC
  5. Raggiungere un accordo su chi debba avere il controllo delle chiavi dei domini di primo livello (TLD)

Alcuni di questi aspetti sono ancora in fase di discussione, mentre in molti settori è già iniziata la procedura di attuazione.


Standard/RFC[modifica | modifica sorgente]

  • RFC 2535 Domain Name System Security Extensions
  • RFC 3833 A Threat Analysis of the Domain Name System
  • RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398 Storing Certificates in the Domain Name System (DNS)
  • RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 4641 DNSSEC Operational Practices
  • RFC 5155 DNSSEC Hashed Authenticated Denial of Existence

Collegamenti esterni[modifica | modifica sorgente]