DNSSEC per i registrar

Noi di Cloudflare siamo entusiasti di rendere Internet più sicuro attraverso la distribuzione di massa della nostra recente implementazione DNSSEC. Cloudflare Universal DNSSEC fornisce l'autenticazione a un DNS altrimenti insicuro, impedendo gli attacchi man-in-the-middle e dando ai visitatori la certezza che la loro connessione sia indirizzata in modo sicuro al server giusto.

Poiché la fiducia nel DNSSEC è dall'alto verso il basso (la zona radice verifica la zona .com e la zona .com verifica la zona cloudflare.com e così via), l'abilitazione del DNSSEC richiede che il proprietario di un sito Web aggiorni il record DS presso la società di registrazione.

Questa parte è problematica: copiare e incollare il record DS apre la possibilità di errore umano e aggiunge un livello di complessità per gli utenti meno esperti. Vogliamo rendere il DNSSEC il più semplice possibile da implementare.

Se Cloudflare potesse comunicare direttamente con la società di registrazione o il registro, potremmo attivare automaticamente il DNSSEC per ogni sito Web su Cloudflare e gestire le chiavi senza alcun intervento umano.

Nell'ambito del rollout del DNSSEC, abbiamo pubblicato una bozza Internet insieme al CIRA, il registro .ca, proponendo un protocollo che consenta agli operatori DNS come Cloudflare di fare proprio questo: comunicare con le società di registrazione e i registri per automatizzare la gestione del protocollo DNSSEC.