Il problema DNS che passa inosservato

Quando si parla di sicurezza DNS si pensa subito a DNSSEC o alle query criptate verso i resolver ricorsivi. Ma c'è un passaggio che resta spesso fuori dal radar: quello che succede tra il resolver e i nameserver autorevoli. È lì che le richieste viaggiano ancora in chiaro.

Nelle ultime riunioni di OARC sono emersi i limiti di questa architettura. Le query che partono dal resolver per recuperare i dati autorevoli non sono protette. Anche se l'utente finale usa DoH o DoT, il tratto successivo resta esposto.

Perché è un problema concreto

Un malintenzionato con accesso alla rete può intercettare queste richieste e iniettare risposte false. Le conseguenze non sono teoriche:

• Spoofing DNS che reindirizza il traffico prima ancora che arrivi al resolver
• Perdita di informazioni su struttura e pattern di query del dominio
• Cache poisoning che colpisce più utenti a valle
• Ricognizione per DDoS basata sull'osservazione del traffico DNS

Per chi ha domini su NameOcean, il DNS è l'indirizzo della propria attività. Se qualcuno riesce a manipolarlo, può dirottare gli utenti o mettere offline i servizi.

Le soluzioni in arrivo

Il settore sta testando diversi approcci per criptare anche questa parte della comunicazione.

DoT verso i server autorevoli è una delle strade più dirette. Si tratta di TLS applicato al flusso resolver-authoritative, con ottimizzazioni per il volume e la natura di queste query.

DoH per la risoluzione autorevole sfrutta invece HTTP/2 o HTTP/3, con vantaggi in termini di performance e compatibilità con le infrastrutture esistenti.

Il nodo centrale resta il compromesso tra sicurezza e latenza. Per resolver che gestiscono milioni di query al secondo, anche un piccolo overhead può pesare.

La vera difficoltà: la coordinazione

A differenza della crittografia lato client, che browser e sistemi operativi hanno già adottato, qui serve l'allineamento di più attori: gestori di nameserver autorevoli, operatori di resolver ricorsivi, registrar e provider di hosting.

Non è una scelta che si può fare in autonomia. Serve che i nameserver del registrar supportino il protocollo, che l'infrastruttura DNS del provider sia pronta, e che i resolver principali siano in grado di usarlo.

Cosa fare ora con i propri domini

Se gestisci domini su NameOcean, questi sono i passi più utili:

1. Seguire gli sviluppi sui trasporti DNS criptati: diventeranno presto uno standard
2. Controllare i log DNS per individuare pattern anomali, usando gli strumenti di analytics disponibili
3. Attivare DNSSEC come misura intermedia in attesa che i nuovi protocolli maturino
4. Abilitare il logging delle query per rilevare comportamenti insoliti

Come evolverà la situazione

Le discussioni in OARC mostrano che la comunità DNS ha capito il rischio e sta lavorando a soluzioni concrete. Non è più una questione di "se", ma di "quando" e "come" avverrà l'adozione.

Il percorso più probabile prevede un'implementazione graduale, con i grandi provider che aprono la strada e il resto dell'ecosistema che segue una volta risolti i problemi di performance.

Per una piattaforma come NameOcean, orientata a sviluppatori e startup, seguire queste evoluzioni fa parte del servizio. Il nostro approccio Vibe Hosting con AI è pensato proprio per anticipare questi cambiamenti, così che l'infrastruttura lavori al posto tuo.

In sintesi

La crittografia del tratto tra resolver e server autorevoli è il prossimo passo per la sicurezza DNS. Non è visibile all'utente finale, ma protegge l'integrità dell'intera infrastruttura di dominio. Quando queste tecnologie diventeranno mature, avere un registrar e un provider di hosting che le supportano sarà importante quanto qualsiasi altra misura di sicurezza.

Le conversazioni di oggi in OARC definiranno l'infrastruttura DNS di domani. Vale la pena tenerle d'occhio.