DNSSEC aggiunge sicurezza fondamentale in un luogo in cui Internet non ne possiede davvero. Il DNS (Domain Name System) funziona bene, ma non c'è alcuna verifica in qualsiasi punto del processo, che lascia i buchi aperti agli aggressori.
Lo stato attuale degli affari
Abbiamo spiegato come funziona il DNS in passato. In poche parole, ogni volta che ti connetti a un nome di dominio come "google.com" o "howtogeek.com", il tuo computer contatta il suo server DNS e cerca l'indirizzo IP associato per quel nome di dominio. Il tuo computer quindi si connetterà a quell'indirizzo IP.
È importante sottolineare che non vi è alcun processo di verifica coinvolto in una ricerca DNS. Il tuo computer chiede al server DNS l'indirizzo associato a un sito Web, il server DNS risponde con un indirizzo IP e il tuo computer dice "okay!" E si collega felicemente a quel sito web. Il tuo computer non si ferma per verificare se questa è una risposta valida.
La crittografia HTTPS fornisce alcune verifiche. Ad esempio, supponiamo che provi a connetterti al sito web della tua banca e visualizzi HTTPS e l'icona a forma di lucchetto nella barra degli indirizzi. Sapete che un'autorità di certificazione ha verificato che il sito Web appartiene alla vostra banca.
La tua banca non ha modo di dire "Questi sono gli indirizzi IP legittimi per il nostro sito web".
Come aiuterà DNSSEC
Una ricerca DNS avviene in realtà in diverse fasi. Ad esempio, quando il computer richiede www.howtogeek.com, il computer esegue questa ricerca in diverse fasi:
- Prima chiede la "directory root zone" dove può trovare .com.
- Quindi chiede la directory.com dove può trovare howtogeek.com.
- Quindi chiede a howtogeek.com dove può trovare www.howtogeek.com.
DNSSEC implica la "firma della radice". Quando il computer va a chiedere alla zona radice dove può trovare.com, sarà in grado di controllare la chiave di firma della zona radice e confermare che si tratta della zona radice legittima con informazioni vere. La zona radice fornirà quindi informazioni sulla chiave di firma o su.com e sulla sua posizione, consentendo al computer di contattare la directory.com e assicurarsi che sia legittimo. La directory.com fornirà la chiave per la firma e le informazioni per howtogeek.com, permettendogli di contattare howtogeek.com e verificare di essere connesso al vero howtogeek.com, come confermato dalle zone sopra di esso.
Quando DNSSEC sarà completamente implementato, il tuo computer sarà in grado di confermare che le risposte DNS sono legittime e veritiere, mentre al momento non ha modo di sapere quali sono false e quali sono reali.
Che cosa avrebbe fatto SOPA
Quindi, come ha fatto lo Stop Online Piracy Act, meglio conosciuto come SOPA, giocare a tutto questo? Bene, se hai seguito SOPA, ti rendi conto che è stato scritto da persone che non hanno capito Internet, quindi "rompere Internet" in vari modi. Questo è uno di loro.
Ricorda che DNSSEC consente ai proprietari dei nomi di dominio di firmare i propri record DNS. Ad esempio, thepiratebay.se può utilizzare DNSSEC per specificare gli indirizzi IP a cui è associato. Quando il computer esegue una ricerca DNS, sia per google.com che per thepiratebay.se, DNSSEC consente al computer di determinare che sta ricevendo la risposta corretta come convalidato dai proprietari del nome del dominio. DNSSEC è solo un protocollo; non cerca di discriminare tra siti web "buoni" e "cattivi".
SOPA avrebbe richiesto ai provider di servizi Internet di reindirizzare le ricerche DNS per i siti Web "cattivi". Ad esempio, se gli abbonati di un provider di servizi Internet tentassero di accedere a thepiratebay.se, i server DNS dell'ISP restituirebbero l'indirizzo di un altro sito Web, il che li informerebbe che il Pirate Bay era stato bloccato.
Con DNSSEC, tale reindirizzamento sarebbe indistinguibile da un attacco man-in-the-middle, che DNSSEC è stato progettato per prevenire. Gli ISP che implementano DNSSEC dovrebbero rispondere con l'indirizzo effettivo di Pirate Bay e quindi violerebbero SOPA.Per ospitare SOPA, DNSSEC avrebbe dovuto scavare un grosso buco, uno che avrebbe permesso ai provider di servizi Internet e ai governi di reindirizzare le richieste DNS dei nomi di dominio senza il permesso dei proprietari del nome di dominio. Ciò sarebbe difficile (se non impossibile) da fare in modo sicuro, probabilmente aprendo nuove falle nella sicurezza per gli aggressori.
Fortunatamente, SOPA è morto e si spera che non ritorni. DNSSEC è attualmente in fase di distribuzione, fornendo una soluzione a lungo scaduta per questo problema.