Configurare DNSSEC per un dominio

Guarda il video tutorial

DNSSEC è l'estensione del protocollo DNS che consente di firmare dati DNS al fine di proteggere il processo di risoluzione dei nomi di dominio. Per informazioni generali su DNSSEC e sul suo utilizzo, visita il sito web di ICANN e l'indirizzo https://tools.ietf.org/html/rfc6781.

Nota: il supporto di DNSSEC è disponibile in Plesk per Linux. L'estensione Plesk DNSSEC deve essere installata in Plesk dal provider di hosting.

Per proteggere i dati DNS dei domini tramite DNSSEC è possibile effettuare quanto segue:

  • Firmare e rimuovere la firma da zone di dominio in base alle specifiche DNSSEC
  • (Facoltativo) Specificare impostazioni personalizzate da utilizzare per la generazione di chiavi
  • Ricevere notifiche
  • Visualizzare e copiare record di risorse DS
  • Visualizzare e copiare set di record di risorse DNSKEY.

Firmare una zona di dominio

Per iniziare a utilizzare la protezione DNSSEC della tua zona DNS, firma la zona. Plesk firma la zona utilizzando firme generate automaticamente tramite due coppie di chiavi asimmetriche: la chiave KSK (Key Signing Key) e la chiave ZSK (Zone Signing Key).

Per firmare una zona di dominio:

  1. Seleziona il dominio in Siti web e domini.
  2. Vai a DNSSEC e fai clic su Firma la zona DNS.
  3. Se la zona di dominio non è mai stata firmata, Plesk richiede di generare le chiavi da utilizzare per creare una firma.

    Puoi utilizzare i valori predefiniti o specificare valori personalizzati. Vedi Valori consigliati, di seguito.

    2016-09-09_181447

  4. Se hai già firmato la zona DNS, puoi scegliere se utilizzare chiavi generate in precedenza o crearne di nuove. Se decidi di creare nuove chiavi, puoi utilizzare valori predefiniti o specificare valori personalizzati. Vedi Valori consigliati, di seguito.

    Valori consigliati per le impostazioni di generazione KSK e ZSK:

    • Una chiave lunga e un lungo periodo di rollover per KSK.

      Ogni volta che la chiave KSK viene aggiornata, è necessario aggiornare i record DS nella zona principale. I valori consigliati riducono al minimo la frequenza degli aggiornamenti necessari dei record DS, senza compromettere la sicurezza.

    • Una chiave più breve e un più breve periodo di rollover per ZSK.

      La chiave ZSK viene aggiornata automaticamente. I valori consigliati contribuiscono a ridurre il consumo di risorse del sistema, senza compromettere la sicurezza.

      DNSSEC_ask

  5. Al termine della procedura di firma, Plesk visualizza i record DS, che contengono gli hash delle chiavi KSK utilizzate per firmare la zona.

    Copia i record delle risorse DS negli Appunti, quindi aggiungili alla zona di dominio principale. Vedi Aggiornare i record DS nella zona principale, di seguito.

    DNSSEC_copy_records

  

Aggiornare i record DS nella zona principale

Se la zona principale contiene record DS obsoleti, il nome di dominio non viene più risolto dal servizio DNS.

È necessario aggiungere o aggiornare manualmente i record DS nella zona di dominio principale in tutti i casi in cui le chiavi DNSSEC sono state aggiornate, e in particolare se:

  • Hai firmato una zona di dominio utilizzando chiavi appena generate.
  • Si è verificato un evento di rollover KSK (Key Signing Key).

Plesk ti invia notifiche e ti lascia il tempo per aggiornare i record DS - questo periodo di tempo equivale al periodo di rollover KSK. Durante questo periodo, i record DS precedenti sono ancora validi.

Se hai annullato la firma della zona di dominio, devi eliminare manualmente i record DS nella zona di dominio principale.

Per aggiornare record DS nella zona principale:

Per un dominio di Plesk in cui la zona principale è all'esterno di Plesk, aggiorna i record DS nel registrar del dominio.

Per un sottodominio di un dominio ospitato in Plesk e con la zona DNS in Plesk:

  1. Accedi alle impostazioni DNS del dominio principale (Siti web e domini > accedi al dominio principale > Impostazioni DNS).
  2. Aggiungi nuovi record di tipo DS (Aggiungi record) e incolla nelle impostazioni DNSSEC di sottodominio i valori visualizzati da Plesk nella casella Record delle risorse DS.

Annullare la firma di una zona di dominio

Annullando la firma di una zona di dominio si disattiva la protezione DNSSEC per tale zona. Può essere necessario annullare la firma di una zona se le chiavi sono state compromesse, per poi firmare nuovamente tale zona utilizzando nuove chiavi.

Per annullare la firma di una zona di dominio:

  1. Vai a Siti web e domini > seleziona un dominio > DNSSEC e fai clic su Annulla firma.
  2. Elimina i record delle risorse DS dalla zona principale. In caso contrario, il dominio non potrà risolversi.

Nota: quando si annulla una firma di una zona, le chiavi non vengono eliminate da Plesk. È quindi possibile firmare la zona nuovamente utilizzando le stesse chiavi.

Visualizzare i record delle risorse DNSKEY

Potrebbe essere necessario recuperare i record delle risorse DNSKEY che contengono parti delle chiavi KSK utilizzate da un dominio.

Per visualizzare i record DNSKEY:

  1. Vai a Siti web e domini > seleziona un dominio > DNSSEC.
  2. Fai clic su Visualizza record DNSKEY.