- Dettagli
- Visite: 751
Un certificato digitale è un documento elettronico che utilizza una firma digitale per vincolare una chiave pubblica a un'identità. Questo documento viene emesso da un'autorità di certificazione (CA) e serve a garantire l'autenticità, l'integrità e la non ripudiabilità delle comunicazioni e delle transazioni elettroniche.
Componenti di un certificato digitale
- Chiave pubblica: La chiave pubblica dell'entità a cui il certificato è emesso. Viene utilizzata per la crittografia delle informazioni e per la verifica delle firme digitali.
- Informazioni sull'identità: Dati che identificano il titolare del certificato, come il nome, l'organizzazione, l'unità organizzativa, il paese, e l'indirizzo e-mail.
- Informazioni sull'emittente: Dati che identificano l'autorità di certificazione che ha emesso il certificato.
- Periodo di validità: La data di inizio e di fine della validità del certificato. Dopo questa data, il certificato non è più considerato valido.
- Numero di serie: Un numero unico assegnato dall'autorità di certificazione per identificare univocamente il certificato.
- Algoritmo di firma e Firma digitale: L'algoritmo utilizzato per creare la firma digitale e la firma stessa, che è generata dalla chiave privata dell'autorità di certificazione.
Funzioni di un certificato digitale
- Autenticazione: Conferma l'identità del titolare del certificato. Ad esempio, un certificato SSL/TLS conferma l'identità di un sito web.
- Crittografia: Abilita la crittografia delle comunicazioni per proteggere la privacy e l'integrità dei dati trasmessi.
- Firma digitale: Consente di firmare digitalmente documenti e transazioni, garantendo che non siano stati alterati e che provengano dall'entità dichiarata.
Tipi di certificati digitali
- Certificati SSL/TLS: Utilizzati per garantire connessioni sicure su Internet, come nei siti web HTTPS.
- Certificati di firma del codice: Utilizzati per firmare software e garantire che il codice non sia stato alterato dopo essere stato firmato.
- Certificati di firma digitale: Utilizzati per firmare documenti elettronici, garantendo la loro integrità e autenticità.
- Certificati di e-mail (S/MIME): Utilizzati per firmare e cifrare e-mail, garantendo la sicurezza delle comunicazioni e-mail.
Figura 1: Trusted Root Certification Authorities presenti in Windows
Processo di emissione di un certificato digitale
L'emissione di un certificato digitale è un processo che coinvolge vari passaggi chiave per garantire l'identità e la sicurezza del titolare del certificato. L’intero processo può essere riassunto in queste fasi:
1. Richiesta del certificato (Certificate Signing Request - CSR)
- Generazione della coppia di chiavi: Il richiedente genera una coppia di chiavi (pubblica e privata) utilizzando un software di crittografia.
- Creazione della CSR: Il richiedente crea una CSR, un file che contiene la chiave pubblica e informazioni identificative (nome del dominio, organizzazione, paese, ecc.).
2. Invio della CSR
- La CSR viene inviata a una Autorità di Certificazione (Certification Authority - CA).
3. Verifica dell'identità
- La CA verifica le informazioni fornite nella CSR. Questo può includere la verifica del dominio, l'identità dell'organizzazione e altre informazioni necessarie.
- Verifica del dominio: Solitamente la CA invia un’e-mail a un indirizzo associato al dominio (ad es.
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ) o richiede di aggiungere un record DNS specifico per dimostrare il controllo del dominio.
4. Emissione del certificato
- Una volta completata la verifica, la CA firma la chiave pubblica del richiedente con la propria chiave privata, creando così il certificato digitale.
- Il certificato digitale include la chiave pubblica del richiedente (la chiave privata non abbandona mai il computer su cui è stata generata inizialmente la coppia di chiavi), informazioni identificative e la firma della CA.
5. Installazione del certificato
- Il certificato digitale emesso viene inviato al richiedente.
- Il richiedente installa il certificato sul server o dispositivo che utilizzerà il certificato per stabilire connessioni sicure.
6. Configurazione e test
- Il richiedente configura il server o dispositivo per utilizzare il certificato digitale nelle comunicazioni sicure (es. HTTPS per siti web).
- Vengono eseguiti test per assicurarsi che il certificato sia installato correttamente e che le connessioni siano sicure.
7. Rinnovo e revoca
- I certificati digitali hanno una data di scadenza e devono essere rinnovati periodicamente.
- Se il certificato o la chiave privata viene compromesso, il certificato deve essere revocato e ne deve essere emesso uno nuovo.
Maggiori informazioni sono disponibili alla pagina Certificato digitale - Wikipedia
Figura 2: Come viene realizzato un certificato digitale. Fonte: Wikipedia
I certificati digitali possono essere emessi in diversi formati. Ecco i più comuni:
- DER (Distinguished Encoding Rules): Alcuni dispositivi hardware di sicurezza, come smart card e token crittografici, utilizzano il formato DER per memorizzare certificati e chiavi. In ambienti con risorse limitate, dove l'efficienza dello spazio è cruciale, il formato binario DER può essere preferito rispetto al formato base64 PEM, poiché non introduce l'overhead di codifica. Talvolta, i certificati radice e quelli delle autorità di certificazione (CA) sono distribuiti in formato DER per garantire una rappresentazione compatta e compatibile con vari sistemi operativi e software. Alcuni sistemi operativi, come Windows, possono utilizzare il formato DER per l'importazione e l'esportazione dei certificati all'interno del loro archivio certificati.
- Formato binario
- Estensione del file: .der, .cer
- Può essere utilizzato sia in ambienti Windows che Unix/Linux
- PEM (Privacy-Enhanced Mail): Il formato PEM permette di gestire certificati, chiavi private e catene di certificati in file separati, facilitando la configurazione e la manutenzione. È possibile concatenare più certificati in un singolo file PEM. Ad esempio, un certificato intermedio e un certificato radice possono essere combinati insieme.
Il formato PEM è ampiamente utilizzato grazie alla sua leggibilità, flessibilità e compatibilità con molte applicazioni e sistemi operativi, specialmente in ambienti Unix/Linux. È particolarmente adatto per la gestione di certificati SSL/TLS, chiavi private e catene di certificati, rendendolo una scelta preferita in molte implementazioni di sicurezza e comunicazioni sicure.
- Formato base64 codificato, comune nei sistemi Unix/Linux e nei server web (Apache, Nginx, ecc.).
- Estensione del file: .pem, .crt, .cer, .key
- È facile da leggere e modificare con un editor di testo, poiché è codificato in base64 e contiene delimitatori chiari (-----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----)
- PFX/PKCS#12 (Personal Information Exchange): È utilizzato principalmente per l'archiviazione e il trasferimento sicuro di certificati e chiavi private. È ampiamente utilizzato in ambienti Windows e in contesti dove è necessario trasferire in modo sicuro certificati e chiavi private. La sua capacità di contenere sia il certificato che la chiave privata, insieme alla protezione tramite password, lo rende ideale per molte applicazioni aziendali e di sicurezza.
- Formato binario che può contenere sia il certificato pubblico che la chiave privata e opzionalmente una catena di certificati.
- Usato principalmente su piattaforme Windows. Il server web di Microsoft (IIS) utilizza il formato PFX per l'importazione di certificati SSL/TLS e delle chiavi private associate.
- Estensione del file: .pfx, .p12
- Utilizzato per importare ed esportare certificati e chiavi private in modo sicuro.
- È ideale per il backup sicuro di certificati e chiavi private, poiché può essere protetto con una password.
- PKCS#7 (Cryptographic Message Syntax Standard): È utilizzato in vari contesti dove è necessario firmare e/o crittografare i dati.
- Formato usato per firmare e crittografare i messaggi e per la firma digitale.
- Contiene solo certificati o catene di certificati, ma non le chiavi private.
- È utilizzato sia in ambienti Windows che Unix/Linux. In Windows è più integrato nelle console di gestione dei certificati.
- Estensione del file: .p7b, .p7c
- Le autorità di certificazione (CA) possono utilizzare il formato PKCS#7 per distribuire certificati in un formato sicuro e standardizzato.
- È utilizzato per la crittografia e la firma digitale delle e-mail in S/MIME. Consente di garantire la riservatezza e l'integrità dei messaggi e-mail.
- PKCS#7 è compatibile con altri standard di sicurezza e può essere utilizzato insieme a PKCS#12 per la gestione e la distribuzione di certificati.
- SPC (Software Publisher Certificate): È specificamente utilizzato per la firma digitale di software e driver in ambienti Windows ed è utilizzato per garantire l'autenticità del software, assicurando agli utenti che il software proviene da una fonte affidabile e non è stato alterato.
Gli sviluppatori utilizzano certificati SPC per firmare il loro software prima di distribuirlo, in modo che gli utenti possano verificare che il software non sia stato manomesso.
- Formato utilizzato specificamente per la firma di software in ambienti Windows.
- Estensione del file: .spc
- Contiene certificati che attestano l'identità del publisher del software.
Questi formati servono diversi scopi e sono scelti in base alle esigenze specifiche di sicurezza, compatibilità e usabilità nel contesto di utilizzo. Ecco una tabella che confronta i formati di certificati digitali utilizzati in ambienti Windows e Unix/Linux:
Formato |
Utilizzo in Windows |
Utilizzo in Unix/Linux |
DER |
Sì |
Sì |
PEM |
Parzialmente |
Sì (molto comune) |
PFX/PKCS#12 |
Sì (molto comune) |
Sì |
PKCS#7 |
Sì |
Sì |
SPC |
Sì (per la firma del software) |
No (specifico per Windows) |
I formati .CER, .KEY e .PFX, comunemente usati nei certificati SSL
Questi file sono essenziali per la gestione della sicurezza e della crittografia nelle comunicazioni SSL/TLS, garantendo che le informazioni trasmesse tra client e server rimangano sicure e protette da intercettazioni.
Un file con estensione .CER, noto anche come .CRT, contiene il certificato pubblico di un'entità. Questo certificato include la chiave pubblica e informazioni identificative dell'entità, come il nome del dominio o l'organizzazione. Il formato del file può essere PEM (Base64 ASCII) o DER (binario). I certificati .CER sono utilizzati dai browser e dai server per verificare l'identità dell'entità e stabilire una connessione sicura.
Il file .KEY contiene la chiave privata associata a un certificato SSL. Questa chiave privata è fondamentale per la decrittazione dei messaggi ricevuti che sono stati crittografati con la chiave pubblica. È solitamente in formato PEM e include delimitatori come "-----BEGIN PRIVATE KEY-----" e "-----END PRIVATE KEY-----". La chiave privata deve essere mantenuta segreta e protetta per garantire la sicurezza delle comunicazioni.
Il file .PFX, conosciuto anche come .P12, è un formato binario che combina il certificato del server, i certificati intermedi e la chiave privata in un unico file. Questo formato è utile per trasferire certificati e chiavi private tra diverse piattaforme, soprattutto su sistemi Windows. I file .PFX sono spesso protetti da una password per garantire la sicurezza durante l'importazione e l'esportazione.
Questi file lavorano insieme per garantire la crittografia e la sicurezza delle comunicazioni tra client e server, proteggendo i dati trasmessi da intercettazioni e attacchi.
Figura 3: Contenuto di un file .CER in formato PEM (Base64 ASCII)
Figura 4: File .KEY che contiene la chiave privata associata a un certificato SSL
- .CER: Contiene solo il certificato pubblico. Utilizzato per stabilire connessioni sicure.
- .KEY: Contiene solo la chiave privata. Utilizzato dal server per decrittografare i dati crittografati.
- .PFX: Contiene sia certificati pubblici che chiavi private in un unico file. Utilizzato per facilitare il trasferimento di certificati e chiavi tra diverse piattaforme.
Figura 5: Formati.CER, .KEY e .PFX, comunemente usati nei certificati SSL
Conversione dei certificati tra diversi formati
È possibile convertire i diversi formati di certificati digitali tra di loro utilizzando vari strumenti, con OpenSSL che è uno dei più comuni. OpenSSL è un toolkit robusto e completo per la crittografia e la gestione dei certificati digitali. È un progetto open source che implementa i protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security) per fornire sicurezza e privacy nelle comunicazioni su Internet.
- Funzionalità principali di OpenSSL: includono la gestione dei certificati digitali, la crittografia, l'uso dei protocolli SSL/TLS, il calcolo di hash e la firma e verifica digitale.
- Gestione dei certificati digitali: OpenSSL permette la creazione di richieste di certificati (CSR), certificati autofirmati e certificati firmati da una CA, la conversione tra vari formati di certificati digitali (PEM, DER, PKCS#12, PKCS#7) e la firma di certificati e la verifica delle firme.
- Crittografia: OpenSSL consente la cifratura e decifratura di dati utilizzando algoritmi di crittografia simmetrici e asimmetrici, e la generazione di chiavi private, pubbliche e di sessione.
- Protocolli SSL/TLS: OpenSSL permette la creazione e gestione di connessioni sicure utilizzando SSL/TLS e il debugging di connessioni SSL/TLS per risolvere problemi di sicurezza e configurazione.
- Hashing: OpenSSL supporta la generazione di hash (digest) usando vari algoritmi come MD5, SHA-1, SHA-256.
- Firma e verifica digitale: OpenSSL può firmare documenti e verificare firme digitali.
I comandi OpenSSL sono generalmente gli stessi su entrambe le piattaforme, Windows e Unix/Linux. OpenSSL è progettato per essere un toolkit portabile, quindi i comandi funzionano in modo simile indipendentemente dal sistema operativo. Ecco alcuni esempi di come si possono effettuare queste conversioni:
- Da DER a PEM openssl x509 -inform der -in certificato.der -out certificato.pem
- Da PEM a DER openssl x509 -outform der -in certificato.pem -out certificato.der
- Da PFX/PKCS#12 a PEM Questo comando estrae sia il certificato che la chiave privata: openssl pkcs12 -in certificato.pfx -out certificato.pem -nodes
- Da PEM a PFX/PKCS#12 openssl pkcs12 -export -out certificato.pfx -inkey chiaveprivata.pem -in certificato.pem -certfile catena.pem
- Da PKCS#7 a PEM Questo comando converte un file PKCS#7 contenente certificati in formato PEM: openssl pkcs7 -print_certs -in certificato.p7b -out certificato.pem
- Da PEM a PKCS#7 openssl crl2pkcs7 -nocrl -certfile certificato.pem -out certificato.p7b
- Conversioni specifiche per certificati SPC Il formato SPC è utilizzato specificamente per la firma del codice in Windows; quindi, le conversioni standard con OpenSSL potrebbero non essere applicabili. Tuttavia, gli strumenti di Windows SDK come SignTool sono utilizzati per firmare software con certificati SPC.
- Firma di software con SPC signtool sign /f mycertfile.spc /p mypassword /t http://timestampurl /v mysoftware.exe
Considerazioni sulle Conversioni
- Sicurezza: Durante la conversione, specialmente quando si estraggono chiavi private, è importante mantenere la sicurezza dei file, utilizzando password e permessi appropriati.
- Compatibilità: Non tutti i formati contengono le stesse informazioni. Ad esempio, PKCS#7 non contiene chiavi private, mentre PFX/PKCS#12 sì. Pertanto, le conversioni devono tener conto delle informazioni necessarie per l'uso previsto.
Queste conversioni permettono di utilizzare i certificati in diversi ambienti e con vari software, garantendo flessibilità e compatibilità tra sistemi operativi e applicazioni.
Convertitori di certificati SSL online
Esistono diversi siti, molti a cura di Certification Authority pubbliche, che offrono la possibilità di convertire i certificati tra i diversi formati. Ad esempio, potete dare un’occhiata a questi siti:
- GlobalTrust - Certificati SSL - S/MIME - Certificati Digitali
- Convert SSL Certificate • Trustico®
- Free SSL Certificates and SSL Tools - ZeroSSL
- SSL Converter (ssltools.eu)
- SSL Converter - Convert SSL Certificates to different formats (sslshopper.com)
- SSL Certificate Converter Online for Free (certificatetool.com)
- Dettagli
- Visite: 746
Microsoft sta facendo grandi progressi verso un futuro senza password, introducendo passkey come un metodo più sicuro e semplice per accedere agli account e ai servizi. Dal 2015, con l'introduzione di Windows Hello, Microsoft ha lavorato per ridurre la dipendenza dalle password, che sono spesso soggette a attacchi. È proprio di ieri l'annuncio ufficiale di introduzione delle passkey per l'autenticazione dei Microsoft Account New passkey support for Microsoft consumer accounts | Microsoft Security Blog
Le passkey offrono un notevole miglioramento della sicurezza rispetto alle tradizionali password. La resistenza al phishing è una delle loro caratteristiche principali: le passkey utilizzano una coppia di chiavi crittografiche, una conservata sul dispositivo e l'altra mantenuta dal servizio. Questo metodo assicura che, anche se un sito di phishing inganna l'utente facendogli tentare un'autenticazione, non può replicare la chiave del server e quindi non può ottenere l'accesso. Inoltre, ogni passkey è specifica per il dispositivo e protetto da misure di sicurezza come il PIN, l'impronta digitale o il riconoscimento facciale. Ciò significa che l'accesso alla passkey richiede una verifica biometrica o un PIN, anche se qualcuno dovesse impossessarsi del dispositivo.
Un altro vantaggio importante è che le passkey sono univoche per ogni servizio per cui sono create e non possono essere riutilizzate su altri siti, a differenza delle password. Infine, durante il processo di autenticazione non vengono trasmessi segreti riutilizzabili, come nel caso delle password; quindi, non ci sono credenziali che possono essere intercettate.
Queste caratteristiche rendono le passkey una soluzione molto più sicura per proteggere gli accessi agli account, riducendo i rischi di violazioni dovute ad attacchi comuni come il phishing e il furto di credenziali.
Dispositivi supportati
Le passkey sono supportate sui seguenti sistemi e dispositivi:
- Windows 10 e versioni successive.
- macOS Ventura e versioni successive.
- ChromeOS 109 e versioni successive.
- iOS 16 e versioni successive.
- Android 9 e versioni successive.
- Chiavi di sicurezza hardware che supportano il protocollo FIDO2.
Browser supportati
I browser supportati per l'utilizzo delle passkey sono:
- Microsoft Edge versione 109 o successive.
- Safari versione 16 o successive.
- Chrome versione 109 o successive.
NOTA: Questa guida è pensata per abilitare passkey con i Microsoft Account (consumer). Se siete interessati ad utilizzare Passkey con il vostro account di lavoro o scolastico (Microsoft 365) vi invito a leggere la mia guida Abilitare Passkey in Microsoft Authenticator (preview) per accedere a Microsoft Entra ID - ICT Power
Creazione della passkey per il Microsoft Account (versione consumer)
Collegatevi alla pagina https://go.microsoft.com/fwlink/?linkid=2250685 e autenticatevi con il vostro Microsoft Account personale.
Figura 1: Connessione al Microsoft Account personale
Seguite la procedura mostrata nelle schermate sotto per attivare la passkey.
Figura 2: Aggiunta del metodo di verifica per l'accesso al Microsoft Account
Figura 3: Creazione della Passkey
Figura 4: Scansione del QR code per la creazione della Passkey nello smartphone
Figura 5: Connessione allo smartphone
Figura 6: Salvataggio della Passkey creata
Figura 7: Passkey creata
Nelle opzioni di sicurezza aggiuntive del vostro Microsoft Account sarà visibile la Passkey creata.
Figura 8: Passkey creata, visibile nelle opzioni di sicurezza avanzata del Microsoft Account
Riceverete anche una mail che vi avviserà che è stata aggiunta una informazione relativa alla sicurezza del vostro Microsoft Account.
Figura 9: Una mail avvisa che è stata aggiunta una informazione relativa alla sicurezza del Microsoft Account
Test di funzionamento
D’ora in poi potrete utilizzare la Passkey per accedere al vostro Microsoft Account. Nelle schermate sono mostrati tutti i passaggi necessari.
Figura 10: Accesso ad un servizio utilizzandole credenziali del Microsoft Account
Figura 11: Scelta delle opzioni per il Sign-in
Figura 12: Scelta dell'utilizzo della Passkey
Figura 13: Scelta dell'utilizzo della Passkey
Figura 14: QR code da scansionare con il dispositivo in cui è stata memorizzata la Passkey
Figura 15: Autenticazione in corso sul dispositivo
Figura 16: Accesso utilizzando il Microsoft Account eseguito con successo
Qui di seguito vi lascio anche un video che vi spiega i vantaggi delle passkey:
Conclusioni
L'adozione delle passkey rappresenta un avanzamento significativo nella sicurezza degli account online. Con le passkey, Microsoft sta spingendo verso un futuro senza password, offrendo un metodo di autenticazione più sicuro e resistente agli attacchi di phishing. Questa tecnologia non solo protegge meglio le informazioni personali delle utenti ma semplifica anche il processo di accesso, eliminando la necessità di ricordare e gestire numerose password. Con la crescente implementazione delle passkey, le utenti possono aspettarsi un'esperienza digitale più sicura e senza interruzioni.
Se siete interessati ad utilizzare Passkey con il vostro account di lavoro (Microsoft 365) vi invito a leggere la mia guida Abilitare Passkey in Microsoft Authenticator (preview) per accedere a Microsoft Entra ID - ICT Power
- Dettagli
- Visite: 476
Il servizio DNS (Domain Name System) è un sistema essenziale di Internet che traduce i nomi di dominio umanamente leggibili, come "www.nicolaferrini.it", in indirizzi IP numerici, come "89.46.108.6”, che i computer usano per identificare ogni altro sulla rete. Funziona come una sorta di rubrica telefonica per Internet, consentendo agli utenti di inserire indirizzi web facili da ricordare invece di lunghi numeri IP.
Importanza del DNS
- Facilitazione dell'accesso a Internet: Senza il DNS, gli utenti dovrebbero ricordare indirizzi IP numerici complessi per ogni sito web che vogliono visitare, il che sarebbe impraticabile. Il DNS rende l'uso di Internet molto più semplice e accessibile per tutti.
- Gestione del traffico Internet: DNS consente il controllo efficace del traffico Internet tramite la gestione dei server di nome, che possono indirizzare il traffico in modo intelligente per bilanciare il carico e ridurre la congestione, migliorando così la velocità e l'affidabilità delle connessioni.
- Sicurezza: Il DNS supporta varie misure di sicurezza come DNSSEC (DNS Security Extensions) che proteggono gli utenti da attacchi come l'impersonificazione e l'avvelenamento della cache DNS. Questi attacchi possono deviare gli utenti da siti legittimi a siti malevoli, che potrebbero tentare di rubare informazioni personali o distribuire malware.
- Flessibilità e scalabilità di Internet: DNS è estremamente scalabile, il che permette di aggiungere nuovi domini e gestire cambiamenti nei domini esistenti con relativa facilità. Questa scalabilità è vitale per l'espansione continua di Internet.
- Supporto per i servizi distribuiti: Attraverso il DNS, le aziende possono gestire diversi servizi distribuiti geograficamente (come server web, di posta e applicativi) in modo più efficiente, assegnando a ciascun servizio un record DNS specifico che aiuta a dirigere gli utenti verso la posizione più ottimale.
Cosa sono i record DNS?
I record DNS (Domain Name System) sono essenziali per la gestione della mappatura tra i nomi dei domini e i loro indirizzi IP, oltre a molte altre configurazioni di rete. Ecco alcuni dei tipi più comuni di record DNS:
- A (Address Record): Mappa un nome a un indirizzo IPv4.
- AAAA (IPv6 Address Record): Mappa un nome a un indirizzo IPv6.
- CNAME (Canonical Name Record): Utilizzato per alias di domini, redirige un dominio verso un altro dominio.
- MX (Mail Exchange Record): Specifica i server di posta elettronica per la ricezione di e-mail per un dominio.
- PTR (Pointer Record): Utilizzato principalmente per le query di reverse DNS, mappa un indirizzo IP a un nome di dominio.
- NS (Name Server Record): Indica quali server DNS sono autoritativi per un dominio.
- TXT (Text Record): Consente agli amministratori di inserire testo arbitrario nel DNS, spesso usato per verificare la proprietà del dominio o per implementare politiche di sicurezza come SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
- SRV (Service Record): Specifica informazioni sulla disponibilità di servizi specifici in un dominio, come VoIP o messaggistica istantanea.
- SOA (Start of Authority Record): Fornisce informazioni essenziali su un dominio, compreso il server DNS primario, l’e-mail dell'amministratore, il numero di serie del dominio e altri dettagli.
- CAA (Certificate Authority Authorization): Specifica quali autorità di certificazione possono emettere certificati per un dominio.
Oltre ai tipi di record DNS più comuni che ho elencato in precedenza, esistono vari altri tipi di record utilizzati per scopi specifici. Questi tipi di record rappresentano funzionalità avanzate del DNS che permettono una migliore gestione della sicurezza, dell'indirizzamento e della distribuzione delle risorse in rete. Ecco alcuni dei tipi di record meno comuni:
- NAPTR (Naming Authority Pointer Record): Utilizzato in applicazioni come la telefonia su IP (VoIP) per la mappatura di servizi e protocolli esterni a un dominio.
- DNAME (Delegation Name Record): Simile a CNAME, ma redirige l'intero sotto-dominio verso un altro dominio.
- SSHFP (SSH Public Key Fingerprint Record): Contiene un'impronta digitale della chiave pubblica SSH per un host, utilizzato per validare l'autenticità di un host in connessioni SSH.
- RP (Responsible Person Record): Specifica un indirizzo email per la persona responsabile di un dominio.
- HINFO (Host Information Record): Fornisce informazioni hardware e software su un host, ma è raramente usato per motivi di sicurezza.
- LOC (Location Record): Indica la posizione geografica fisica di un dispositivo o risorsa in Internet.
- TLSA (Transport Layer Security Authentication): Utilizzato con DNS-based Authentication of Named Entities (DANE) per fornire informazioni TLS (SSL certificate) per il servizio in un dominio.
- DNSKEY (DNS Key Record): Fa parte del sistema DNSSEC e contiene la chiave pubblica che un server DNS utilizza per firmare digitalmente i record per un dominio, al fine di garantire l'integrità e l'autenticità dei record DNS.
- DS (Delegation Signer Record): Anch'esso parte di DNSSEC, è utilizzato per collegare una zona DNS autoritativa a una zona figlia, aiutando a garantire la catena di trust.
- RRSIG (DNSSEC Signature Record): Contiene le firme digitali usate per validare i record in un contesto DNSSEC.
- SVCB (Service Binding Record): Introdotti recentemente, i record SVCB sono progettati per migliorare il modo in cui i clienti interagiscono con i servizi ospitati. Offrono una configurazione flessibile che permette di specificare parametri di connessione per i servizi, come HTTPS. Questo tipo di record può essere usato per indicare supporto a particolari funzionalità del server o per fare load balancing intelligente tra più server.
- SMIMEA (S/MIME Certificate Association Record): Simile ai record TLSA, i record SMIMEA sono utilizzati per associare un certificato specifico S/MIME a un indirizzo e-mail o a un dominio. Questo consente ai client di e-mail di verificare l'autenticità dei certificati S/MIME usati nei messaggi di posta elettronica, migliorando la sicurezza delle comunicazioni cifrate.
- URI (Uniform Resource Identifier Record): I record URI possono essere usati per associare un URI a un nome DNS specifico. Sono utili per indirizzare le risorse web o i servizi in modi non coperti da altri record, come CNAME o A.
- CERT (Certificate Record): Questo tipo di record è utilizzato per archiviare certificati pubblici o la loro impronta associata. I record CERT possono essere usati per certificati PGP, X.509 e altri. Forniscono un metodo per distribuire i certificati di sicurezza attraverso il DNS, che può essere utilizzato per la verifica dell'identità o la chiave pubblica di una entità.
Quali strumenti si usano per verificare i record DNS?
Per verificare i record DNS di un dominio, si possono utilizzare diversi strumenti, sia basati su interfaccia grafica (GUI) che su linea di comando (CLI). Questi strumenti forniscono vari livelli di informazione e possono essere utilizzati in base alle specifiche esigenze di diagnostica, manutenzione o semplice verifica dei record DNS. Ecco alcuni degli strumenti più comunemente usati:
- nslookup: Uno strumento da linea di comando disponibile su sistemi Windows, Linux e macOS che permette di interrogare i server DNS per ottenere record DNS specifici come A, MX, TXT, ecc. È molto utile per il troubleshooting di problemi DNS.
- dig (Domain Information Groper): Molto popolare tra gli utenti Linux e macOS, questo strumento da linea di comando è utilizzato per interrogare i server DNS. Fornisce informazioni dettagliate sui record DNS e include opzioni per specificare esattamente quale tipo di record recuperare, rendendolo estremamente versatile per il debugging.
- Ping: Anche se non è specificamente uno strumento DNS, ping può essere usato per verificare se il DNS è in grado di risolvere un nome di dominio in un indirizzo IP, il che è un primo passo utile nella diagnostica DNS.
- Whois: Questo strumento può essere utilizzato per ottenere informazioni di registrazione del dominio, inclusi i server DNS associati. Non fornisce direttamente record DNS, ma è utile per ottenere informazioni contestuali su un dominio.
- DNSstuff: Un sito web che offre una varietà di strumenti per analizzare e risolvere problemi legati al DNS, includendo la verifica di record DNS, analisi di blacklist, ricerca whois e altro.
- MXToolBox: Un sito web che fornisce una suite di strumenti DNS online, inclusi la verifica di record MX, verifica di blacklist, diagnostica DNS, e verifica di SMTP.
- Google Admin Toolbox: Fornisce un set di strumenti di diagnostica DNS che possono essere utilizzati per eseguire vari test sui record DNS di un dominio.
- DNSViz: Uno strumento grafico online per visualizzare e analizzare la catena di autorità dei record DNS di un dominio, particolarmente utile per verificare configurazioni DNSSEC.
Quali tipi di attacchi possono essere perpretati a danno del DNS?
Il sistema DNS è fondamentale per il funzionamento di Internet, ma può anche essere un punto debole per la sicurezza. Ecco alcuni dei tipi più comuni di attacchi mirati al DNS:
- DNS spoofing (o Cache Poisoning): In questo tipo di attacco, un malintenzionato inserisce dati falsi nella cache DNS di un server. Questo può indirizzare gli utenti a siti web malevoli anziché a quelli legittimi. Gli utenti potrebbero non accorgersi di essere stati reindirizzati a un sito falso che può rubare informazioni sensibili.
- DNS hijacking: In questo caso, l'attaccante prende il controllo del traffico DNS di una vittima, reindirizzandolo attraverso un server DNS compromesso. Questo può essere fatto modificando le impostazioni DNS sul router della vittima o sul suo dispositivo, o compromettendo un server DNS a un livello più alto.
- DNS Amplification Attacks: Si tratta di un tipo di attacco DDoS (Distributed Denial of Service) in cui l'attaccante sfrutta la natura stateless del protocollo DNS per inviare piccole query con l'indirizzo spoofato della vittima, che poi riceve risposte molto più grandi, saturando la banda passante.
- Distributed Reflection Denial of Service (DRDoS): Simile all'amplification, questo attacco utilizza server DNS legittimi per sovraccaricare una rete o un server con risposte DNS. L'attaccante fa richieste a diversi server DNS con l'indirizzo IP della vittima, causando un afflusso di traffico verso la vittima.
- Pharming: Questo attacco reindirizza uno o più utenti a un sito fraudolento mascherato da sito legittimo, modificando il file hosts di un computer o compromettendo un server DNS. Questo può essere fatto a livello locale o più ampio, influenzando più utenti.
- Subdomain takeover: Questo si verifica quando un attaccante prende il controllo di un sottodominio di un sito web che non è più in uso, ma che è ancora gestito nei record DNS. Questo può permettere all'attaccante di ospitare contenuti malevoli sotto un dominio altrimenti affidabile.
- NXDOMAIN attack: L'attaccante invia una grande quantità di richieste per risolvere nomi di dominio inesistenti, sovraccaricando il server DNS e potenzialmente causando un servizio degradato o negato agli utenti legittimi.
- Random Subdomain attack: Simile all'attacco NXDOMAIN, in questo caso l'attaccante fa molte richieste a sottodomini casuali di un dominio legittimo, tentando di sovraccaricare i server DNS.
Per difendersi da questi e altri attacchi al DNS, è essenziale implementare misure di sicurezza come DNSSEC (DNS Security Extensions), configurazioni di firewall robuste, e monitoraggio continuo del traffico per rilevare e mitigare attività sospette.
Cos’è il tunnelling DNS?
Il tunnelling DNS è una tecnica che sfrutta il protocollo DNS per incapsulare dati non-DNS in query e risposte DNS. Questo metodo viene utilizzato per vari scopi, sia legittimi che malevoli.
Usi legittimi del tunnelling DNS
- Bypass di Firewall o Censura: In alcuni ambienti, dove l'accesso a Internet è severamente filtrato o censurato, il tunnelling DNS può essere utilizzato per bypassare queste restrizioni, dato che il traffico DNS è spesso meno rigorosamente controllato.
- Connessioni in Ambienti Restrittivi: In contesti aziendali o in reti con connettività Internet limitata (come in alcuni ambienti operativi o aeroporti), il tunnelling DNS può fornire una via per stabilire connessioni quando altre porte e protocolli sono bloccati.
Usi malevoli del tunnelling DNS
- Evasione della Sicurezza: Gli attaccanti possono usare il tunnelling DNS per comunicare con un server di comando e controllo (C&C) bypassando i dispositivi di sicurezza tradizionali, poiché il traffico DNS non viene sempre ispezionato con la stessa rigorosità di altri protocolli.
- Data Exfiltration: Dati sensibili possono essere esfiltrati da un'organizzazione incapsulandoli in richieste e risposte DNS. Questo è difficile da rilevare e bloccare poiché i dati esfiltrati si mescolano con il traffico DNS legittimo.
- Malware Delivery: Il malware può essere distribuito attraverso il tunnelling DNS, inviando pezzi di codice dannoso in varie query DNS, che vengono poi assemblate nel sistema di destinazione.
Rilevamento e mitigazione
La rilevazione del tunnelling DNS può essere sfidante, ma ci sono alcuni indicatori e tecniche che possono essere utilizzati:
- Analisi del traffico anomalo: Una frequenza insolitamente alta di richieste DNS o richieste a domini rari può essere un segnale.
- Ispezione del contenuto delle query: Analizzare il contenuto delle richieste DNS alla ricerca di dati che non sembrano appartenere a query DNS standard.
- Monitoraggio del volume di traffico: Un volume elevato di dati trasmessi tramite il DNS può indicare l'uso di tunnelling.
Per mitigare il rischio di tunnelling DNS le aziende possono:
- Applicare il Controllo e la Filtrazione del Traffico DNS: Usare firewall e sistemi di prevenzione delle intrusioni (IPS) che possono analizzare e filtrare il traffico DNS basandosi su regole specifiche.
- Limitare la Funzionalità DNS: Restringere la risoluzione DNS ai soli server DNS noti e affidabili e bloccare query DNS non necessarie o sospette.
- DNSSEC: Implementare DNSSEC per garantire l'autenticità e l'integrità delle risposte DNS.
Il tunnelling DNS rappresenta una sfida per la sicurezza delle reti ma, con adeguate misure di sicurezza e monitoraggio, può essere gestito efficacemente.
- Microsoft Edge ha introdotto la funzionalità “Upload from mobile” in Windows 10 e Windows 11
- Novità sull’interfaccia degli esami di certificazione Microsoft
- Windows 11 versione 23H2 Moment 5
- Azure Course Blueprint: progetti per guidarci nell’ecosistema Azure
- Microsoft Copilot in Windows 11
- Configurare ed utilizzare le Passkey in Windows 11
- Microsoft Certified Trainer (MCT) Regional Lead 2024
- Designing Microsoft Azure Infrastructure Solutions (esame AZ-305) skills plan
- Rimuovere la password dal Microsoft Account ed effettuare solo autenticazioni passwordless
- L'importanza di conseguire una certificazione informatica e quali sono le certificazioni Microsoft disponibili sul mercato
- #POWERCON2023 – evento online del 6 dicembre - Gestione avanzata dei dispositivi aziendali con Microsoft Intune
- #POWERCON2023 – evento online del 6 dicembre – Distribuire una soluzione Zero Trust con Microsoft Entra ID
- Microsoft Applied Skills, i nuovi esami Microsoft per dimostrare le proprie abilità
- Windows 11 versione 22H2 Moment 4
- Nuova applicazione Backup per Windows 10
- Installare manualmente i Windows Update utilizzando PowerShell
- Microsoft punta alla stampa tramite Mopria. Addio ai driver di terze parti
- Le certificazioni Microsoft role-based (associate,expert e specialty) diventano open book
- Windows 365 Skills Plan
- Microsoft Intune Skills Plan