Guida e risoluzione dei problemi
DNSSEC
Di cosa si tratta
Il DNSSEC aggiunge firme crittografiche al DNS in modo che i resolver possano verificare che le risposte non siano state falsificate. Un'implementazione sana richiede tre cose contemporaneamente: la zona firmata (DNSKEY + RRSIG), il genitore che la ancora (DS presso il registrar) e la validazione che effettivamente ha successo.
Come leggere il risultato
Il controllo dello stato riporta ogni livello. "Non abilitato" è sicuro ma non protetto. "Firmato ma senza DS" significa sforzo sprecato. "Firmato + ancorato + validato" è l'obiettivo. Qualsiasi stato di disallineamento equivale di fatto a un'interruzione sui resolver che validano e richiede un'azione urgente.
Problemi comuni e come risolverli
Il dominio dà SERVFAIL per molti utenti dopo una modifica DNS
Come si manifesta: Funziona su alcune reti, è morto su altre (specialmente quelle che usano 8.8.8.8, 1.1.1.1 o i validatori degli ISP). È iniziato subito dopo aver cambiato provider DNS, nameserver o chiavi.
Come risolverlo: Quasi sempre un disallineamento DS/DNSKEY. Confronta il DS presso il registrar con la KSK attiva; correggi il lato che è obsoleto. Se hai bisogno che il sito sia subito operativo e non puoi correggere le chiavi, rimuovere il record DS de-firma il dominio (perdendo la protezione ma ripristinando la risoluzione) una volta scadute le cache.
Vuoi il DNSSEC ma il provider o il registrar non lo supporta
Come si manifesta: Nessuna opzione DNSSEC/DS da nessuna parte nei pannelli di controllo.
Come risolverlo: Entrambe le parti devono cooperare: il provider DNS firma la zona, il registrar pubblica il DS. Se una delle due non può, la soluzione pratica è spostare quella funzione su un provider che la supporta.
Le firme scadono ricorrentemente
Come si manifesta: Il dominio si rompe sui resolver che validano ogni poche settimane, poi "si aggiusta da solo" dopo un intervento.
Come risolverlo: L'automazione di rifirma è inaffidabile. Se gestisci i tuoi server DNS, pianifica e monitora la rifirma automatica (ad es. con un demone di firma anziché una firma manuale guidata da cron); su DNS gestito, escala al provider.