16 Marzo 2026 / Ultimo aggiornamento : 16 Marzo 2026 valent GNU/Linux

Come implementare DNSSEC su Bind

L’attivazione di DNSSEC su BIND prevede l’abilitazione della firma automatica all’interno della definizione della zona nel file named.conf.local, aggiungendo le direttive dnssec-policy default; e inline-signing yes;.

Così si generano automaticamente le chiavi, la firma della zona e la relativa manutenzione. E’ necessario poi aggiornare la zona madre (presso il registrar) con il record DS generato, al fine di garantire la piena validazione della catena di fiducia (chain of trust).

Passaggi per implementare DNSSEC su BIND

Configurare le opzioni di BIND
Assicurarsi che la validazione DNSSEC sia abilitata nel file /etc/bind/named.conf.options.

Sebbene sia abilitata per impostazione predefinita nelle versioni moderne di BIND, è possibile aggiungerla nel file esplicitamente:
dnssec-validation auto;

Abilitare la policy DNSSEC sulle zone
Modificare la definizione della propria zona tipicamente agendo nei file /etc/bind/named.conf.local o /etc/bind/named.conf per includere la gestione automatizzata di DNSSEC:

zone “example.com” {
type master;
file “/etc/bind/zones/db.example.com”;
# Aggiungere queste righe:
dnssec-policy default;
inline-signing yes;
};

dnssec-policy default indica a BIND di generare le chiavi e firmare la zona automaticamente.
inline-signing yes consente a BIND di firmare la zona senza modificare il file di zona originale.


Ricaricare la configurazione di BIND
Verificare l’assenza di errori di configurazione e ricaricare BIND:

sudo named-checkconf
sudo rndc reconfig

Verificare la generazione delle chiavi
BIND creerà le chiavi nella directory specificata in named.conf (spesso /etc/bind/keys o la directory del file di zona).

Pubblicare i record DS presso il registro genitore (Parent Registry)
Bisogna recuperare il record DS (chiave pubblica) da fornire al registrar del proprio dominio per completare la catena di fiducia (chain of trust):

sudo dnssec-dsfromkey -2 /etc/bind/keys/Kexample.com.+***.key

In alternativa, se il proprio registrar lo supporta, utilizzare i record CDS e CDNSKEY generati automaticamente da BIND per aggiornare la zona genitore.

Bisogna fare alcune considerazioni riguardo questa implementazione; la policy predefinita gestisce automaticamente la rifirma della zona e la rotazione delle chiavi (KSK/ZSK). Il che è un bene. E’ importante però assicurarsi che l’orario del server sia accurato, poiché le firme DNSSEC sono sensibili al fattore tempo. Per quanto riguarda versioni molto vecchie di BIND la direttiva dnssec-policy è raccomandata per BIND 9.16 e versioni successive in quanto quelle vecchie usavano la direttiva auto-dnssec.

Categorie
GNU/Linux, linux, e sicurezza
Tag

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

windows

Articolo precedente

Installare Windows 7 nel 2026
14 Gennaio 2026