lunedì 2 novembre 2015

requisiti server DNS per i domini .it

I server DNS autoritativi per un dominio sono spesso l'aspetto più sottovalutato e bistrattato di un servizio di registrazione domini; l'utente spesso non ne percepisce l'importanza, e per riflesso il fornitore finisce per fornire un servizio bi bassa qualità (tanto, l'utente non ne percepisce la differenza: e allora, perché investire per fornire un servizio di qualità?)

Alcuni Registry, consci del problema, impongono alcuni requisiti tecnici minimi per i server DNS; e se i DNS di un dominio non rispettano questi requisii tecnici... il dominio non viene registrato (o, almeno, viene "congelato" fino a che il problema non sia risolto).

Tra questi, incredibilmente anche il nic.it, il Registro Italiano dei Nomi a Dominio, che effettua dei test per verificare che il server DNS di un certo dominio rispetti almeno le seguenti condizioni:

  • i nameserver autoritativi per il nome a dominio devono essere almeno 2 (due) e devono corrispondere esattamente a quelli presenti nella registrazione del nome a dominio;
  • gli indirizzi IP degli host presenti nella registrazione del nome a dominio devono  corrispondere a quelli ad essi realmente associati nel DNS;
  • al nome a dominio non può essere associato un record CNAME;
  • il nome del nameserver specificato nel record SOA non può essere un CNAME;
  • i nomi dei nameserver autoritativi per il nome a dominio non possono essere dei CNAME;
  • al record MX, eventualmente presente, non può essere associato un CNAME;
  • tutti gli host presenti nella registrazione devono essere autoritativi per il nome a dominio registrato
  • la procedura restituisce errore se, durante la procedura di controllo, almeno un nameserver restituisce una delle seguenti risposte:
    • Not responding
    • Not reachable
    • Not running
    • Non-existent domain
    • Host not found
    • Server failure
    • Query failed

I test vengono eseguiti nelle seguenti occasioni:

  • nuova registrazione di un dominio
  • cambio dei server DNS

In occasione di un trasferimento di dominio con contestuale cambio dei server DNS, se i test non vengono superati, i nuovi server non vengono approvati e quindi il dominio continuerà ad usare i server DNS del provider precedente... il quale però avrà probabilmente (giustamente) cancellato il relativo servizio, e quindi il dominio non risolverà più correttamente.
Per evitare questo problema, è opportuno:

  • evitare l'uso di configurazioni DNS particolarmente complicate
    Limitatevi ad una configurazione base, con i soli servizi essenziali: evitate tutti i record (soprattutto di tipo TXT) che normalmente servono solo per autenticazioni su particolari servizi. Avrete tempo e modo di inserirli con comodo, dopo che i server DNS saranno approvati
  • verificate con molta attenzione la sintassi di eventuali record SPF
    Nei record SPF spesso si annidano errori meramente formali (è sufficiente uno spazio di troppo nel punto giusto) che rendono non solo il record inefficace, ma talvolta anche la corretta propagazione su internet (ci potranno essere dei server DNS, in giro per il mondo, che rifiutano tutto il set di record del dominio).
    Quindi, prima di inserirli, verificate molto attentamente la sintassi dei record SPF. 



Per verificare che i DNS destinati a servire un dominio .it sono correttamente configurati, è disponibile un tool gratuito on line

Per approfondire: Gestione delle operazioni sincrone sui nomi a dominio nel ccTLD.it

Nessun commento:

Posta un commento