Uno degli elementi di base per la sicurezza dei nomi di dominio Internet deve essere aggiornato a livello mondiale. Secondo lo scadenzario pubblicato il 1° febbraio 2018, le chiavi per la creazione della firma DNSSEC (Domain Name System Security Extensions) della zona root (root zone) del sistema dei nomi di dominio (DNS, Domain Name System) devono essere rinnovate entro l'11 ottobre 2018. Queste chiavi servono ad autenticare le informazioni inviate dal DNS e contribuiscono quindi a renderlo sicuro. Gli operatori delle reti Internet sono particolarmente toccati da questo aggiornamento e sono perciò tenuti ad informarsi. In Svizzera il protocollo DNSSEC è attualmente utilizzato soltanto dal 2 per cento circa dei nomi di dominio .ch e dall'1,3 per cento di quelli .swiss. Questo tasso di utilizzazione dovrebbe tuttavia aumentare rapidamente perché certi centri di registrazione includono questa opzione ormai automaticamente nelle loro offerte di registrazione di nomi di dominio.
Olivier Girard, Servizi di telecomunicazione e posta
Il nuovo progetto relativo al piano di rinnovamento delle chiavi per la creazione della firma DNSSEC della zona root del DNS (DNS root zone) è stato pubblicato dall'ICANN, l'Internet Corporation for Assigned Names and Numbers e fa seguito a un primo tentativo, interrotto all'ultimo minuto, occorso a fine settembre 2017. Allora l'ICANN aveva constatato che troppi sistemi non erano ancora stati aggiornati.
Gli operatori delle reti (in particolare gli ISP, ossia i fornitori di servizi Internet, gli operatori di reti per imprese e i fornitori di servizi legati al DNS) hanno tempo fino all'11 ottobre 2018 per effettuare gli adeguamenti necessari. Entro questo periodo di tempo sono invitati a informarsi sulle prossime scadenze relative al processo di rinnovamento delle chiavi per la creazione della firma DNSSEC della zona root e soprattutto su eventuali misure da adottare in seno alla propria infrastruttura. Infatti, un anello difettoso nella catena di fiducia instaurata via DNSSEC potrebbe avere gravi conseguenze su alcuni sistemi e processi critici basati su Internet. Tutte le informazioni utili a questo riguardo sono accessibili sul sito web dell'ICANN.
DNSSEC, un elemento di garanzia dell'identità di un sito Internet
Le chiavi per la creazione della firma DNSSEC permettono di garantire che un sito Internet identificato da un nome di dominio (ad es. www.admin.ch) sia effettivamente quello che pretende di essere. Il protocollo DNSSEC (Domain Name System Security Extensions) non è molto conosciuto dal grande pubblico. Crea una catena di fiducia il cui primo anello è situato nella zona root del sistema dei nomi di dominio Internet. Agisce così al punto di partenza della conversione di un indirizzo web (ad es. www.google.com) in indirizzo IP (ad es. 172.217.13.78). Questa conversione, o risoluzione in gergo informatico, avviene ogni volta che un utente immette un indirizzo web nel browser di propria scelta.
In questo processo, la prima richiesta è indirizzata alla zona root del DNS che risponde fornendo informazioni sulla zona del primo livello (la zona "com" se si riprende l'esempio precedente). La seconda richiesta è rivolta alla zona 'com' del DNS, che dà informazioni sul livello successivo, ossia la zona "google.com". Alla fine una terza richiesta indirizzata alla zona "google.com" del DNS fornirà informazioni sull'indirizzo Internet "www.google.com", segnatamente il suo indirizzo IP, permettendo al browser di accedere alla pagina Internet prescelta. DNSSEC permette di autenticare le risposte che sono inviate tramite il DNS a ogni richiesta del processo di risoluzione. Senza questo controllo, una persona malintenzionata potrebbe sostituirsi a uno dei livelli per indirizzare l'utente Internet verso un indirizzo IP errato di cui detiene il controllo. Questo tipo di attacco è denominato attacco "uomo nel mezzo" (man-in-the-middle attack, MITM).
Il sistema di autenticazione delle informazioni DNSSEC è basato sui principi di un'infrastruttura a chiavi pubbliche (Public Key Infrastructure, PKI). Per schematizzare, il server DNS che fornisce le informazioni al livello direttamente inferiore al DNS firma queste informazioni tramite un sistema di chiavi crittografiche private. Il resolver che riceve le informazioni può autenticare l'origine e verificare l'integrità dei dati tramite un sistema di chiavi crittografiche pubbliche del server DNS. Uno degli elementi di questo sistema di chiavi crittografiche utilizzate all'inizio della catena di fiducia, a livello della zona root del DNS, è stato generato nel 2010 al momento dell'introduzione di DNSSEC e non è mai stato rinnovato da allora. Proprio questo elemento, identificato come chiave per la creazione della firma della chiave (Key Signing Key, KSK), dovrà essere sostituito nell'attuale processo di rinnovamento condotto dall'ICANN.
In un primo tentativo avviato nel 2015, l'ICANN aveva previsto di generare un nuovo elemento KSK nel 2016. Avrebbe poi dovuto essere introdotto nella zona root del DNS a luglio 2017 (parallelamente al vecchio elemento KSK) e si prevedeva di convertire la risoluzione del nome di dominio Internet unicamente tramite questo nuovo elemento KSK a partire dall'11 ottobre 2017. Solo qualche settimana prima della scadenza, un'analisi delle informazioni sullo stato dei resolver (i server che effettuano la risoluzione dei nomi di dominio e che convalidano l'autenticazione degli scambi DNS per mezzo di DNSSEC) indicava che un numero troppo elevato di questi sistemi non era stato aggiornato con i parametri del nuovo elemento KSK e non sarebbero quindi stati in grado di autenticare l'origine né di verificare l'integrità delle risposte date alle richieste del DNS via DNSSEC. Il 27 settembre 2017, l'ICANN ha quindi preso la decisione di interrompere il processo e rimandare il rinnovo dell'elemento KSK.
L'UFCOM seguirà attentamente gli sviluppi del processo dell'ICANN e terrà informati gli ISP che sono registrati come fornitori di servizi di telecomunicazione ai sensi della legge sulle telecomunicazioni.
Ultima modifica 18.03.2024
