Il sistema dei nomi di dominio (Domain Name System, DNS) è una componente essenziale di Internet: grazie ai nomi di dominio consente ai suoi utenti di accedere ai servizi su Internet. Per questa ragione .ch rappresenta un'infrastruttura critica della Svizzera che SWITCH protegge in modo particolare.
SWITCH
Per gli utenti di Internet è imprescindibile che i servizi web o di posta elettronica siano sempre raggiungibili. A tal fine servono due componenti essenziali del DNS: la prima è il DNS autorevole, in cui sono pubblicati gli indirizzi Internet appartenenti a un nome di dominio. La seconda è un resolver o DNS ricorsivo, che traduce per gli utenti tutti i nomi di dominio in Internet, rendendoli così disponibili. Entrambe le componenti non sono gestite da un’autorità centralizzata, bensì organizzate in un sistema gerarchico e distribuito.
Server di nomi autorevoli
Dal 2002 SWITCH è incaricata dall’UFCOM di gestire la componente autorevole per i nomi di dominio appartenenti al dominio di primo livello.ch. Tale componente assegna a un nome di dominio .ch un server di nomi autorevole, gestito nella maggior parte dei casi da un fornitore di hosting. A livello globale si stima esistano più di dieci milioni di tali server, che nell’insieme rispondono per oltre 366 milioni di nomi di dominio. Un po’ più di due milioni di questi nomi di dominio sono raggiungibili sotto .ch.
I compiti di SWITCH nel settore autorevole del DNS comprendono l’esercizio sicuro e stabile dell’infrastruttura per la registrazione dei nomi di dominio .ch, la gestione del server di nomi ricorsivo globale per .ch, ma anche la lotta alla criminalità informatica nell’ambito dei nomi di dominio .ch.
DNS Security Extension (DNSSEC)
Una trentina d’anni fa sono state gettate le basi del DNS senza particolare attenzione alla sicurezza. Gli standard che ne assicurano l’integrità e la confidenzialità sono stati sviluppati soltanto in seguito. Uno standard importante, mirato a garantire la correttezza delle risposte del DNS è il DNSSEC. SWITCH ha introdotto il DNSSEC per .ch nel 2010. Siccome il DNSSEC attualmente è utilizzato solo per il 6 per cento di tutti i nomi di dominio .ch, l’UFCOM ha incaricato SWITCH di allestire un programma di resilienza DNS con l’obiettivo di estendere la sicurezza del DNSSEC al 60 per cento di tutti i nomi di dominio .ch entro la fine del 2026 promuovendo al contempo altri standard di sicurezza.
Lotta al crimine informatico
Fenomeno di scala mondiale, la criminalità informatica è una minaccia da prendere sul serio, cui neanche i nomi di dominio .ch possono purtroppo sfuggire. SWITCH lotta contro gli abusi perpetrati su siti web .ch su mandato dell’UFCOM. Da oltre dieci anni, in caso di attacchi di phishing o malware da parte di pirati informatici, i detentori di nomi di dominio .ch vengono informati da SWITCH, che li supporta nel respingere l’attacco. Un fenomeno osservato ormai da alcuni anni è anche il rilevante numero di nomi di dominio .ch registrato a fini esclusivamente abusivi. La registrazione di un nome di dominio .ch può ancora essere richiesta senza che il titolare debba comprovare la propria identità. Tuttavia, d’ora in poi il centro di registrazione avrà la possibilità, in caso di sospetta registrazione abusiva, di posporre l’attivazione del nome di dominio (deferred delegation), fintanto che la verifica dell’identità del suo detentore non sia completata.
Server di nomi ricorsivo
Affinché il DNS funzioni in modo affidabile a livello di sistema, parallelamente ai server di nomi autorevoli sono necessari anche resolver ricorsivi, i quali assolvono il compito di cercare l’informazione ripartita sui server di nomi autorevoli in tutto il mondo e di fornire agli utenti l’indirizzo Internet per un nome di dominio. I server ricorsivi in passato erano gestiti principalmente dai fornitori di accesso a Internet o nell’ambito di reti aziendali.
Le crescenti esigenze imposte ai resolver ricorsivi, come gli standard di sicurezza DNSSEC, DoH, DoT e Qname Minimization, così come l’identificazione di phishing e attacchi malware, ne rendono la gestione più onerosa e complessa. Per queste ragioni, a livello globale si osserva una tendenza all’abbandono della gestione di tali server da parte dei fornitori di servizi Internet (Internet service provider ISP), cui subentrano grandi fornitori di cloud (cloud provider) che operano a livello globale ma con sede prevalentemente negli Stati Uniti. Ora SWITCH ha quindi anche il compito di promuovere resolver sicuri e affidabili in Svizzera. Al raggiungimento di tale obiettivo lavora in primo luogo la fondazione Quad9 che, coadiuvata da SWITCH, si è trasferita a inizio anno in Svizzera. Quad9 è un’alternativa ai resolver cloud basati negli Stati Uniti e assicura la conformità in materia di protezione dei dati. In secondo luogo, SWITCH promuove l’altrettanto fondamentale ripartizione nell’esercizio dei resolver presso i fornitori di accesso a Internet svizzeri, tramite il trasferimento delle competenze in merito alla libera disponibilità della zona CH e per mezzo di un incontro tra i principali attori del DNS (DNS-Heads Meetup).
A fronte delle crescenti minacce sono aumentate anche le aspettative nei confronti di SWITCH nel garantire la sicurezza e la stabilità di Internet in Svizzera. La squadra d’emergenza di SWITCH (Computer Emergency Response Team) è divenuta nell’arco degli scorsi 25 anni un centro di competenza per la sicurezza dell’informazione di calibro nazionale, un organo indipendente capace di assolvere tali compiti di responsabilità con la massima competenza.
Ultima modifica 25.06.2021
