Riassunto: Se le connessioni al server di posta sono protette utilizzando un certificato SSL/TLS, puoi renderle più resistenti agli attacchi downgrade e man-in-the-middle abilitando DNS-based Authentication of Named Entities (DANE). DANE protegge anche dai furti d’identità del sito web causati dalla compromissione delle autorità certificanti.

In questa sezione imparerai a rafforzare le connessioni al server utilizzando DANE. Useremo SMTP come esempio. Ricorda che questa sezione non intende essere una fonte esaustiva d’informazioni su DANE o sui record DNS TLSA.

Prerequisiti

Prima di rafforzare le connessioni SMTP utilizzando DANE per un singolo dominio, devi fare quanto segue:

Protezione delle connessioni al server SMTP

Una volta abilitato DNSSEC per un dominio, puoi procedere. Puoi rafforzare le connessioni tramite qualsiasi protocollo applicativo già protetto usando un certificato SSL/TLS tramite la rispettiva combinazione di protocollo di trasporto e porta (ad esempio, «TCP/25» per SMTP, «TCP/443» per HTTPS e così via).

Il rafforzamento delle connessioni tramite uno specifico protocollo applicativo è una procedura composta da due passaggi:

  • Prima di tutto, devi generare un hash della chiave pubblica del certificato SSL/TLS. Sebbene tu possa anche usare la chiave pubblica senza hash o l’hash dell’intero certificato, in questo esempio utilizzeremo l’hash di una chiave pubblica.
  • Dopodiché devi aggiungere un record DNS TLSA specificando un numero di parametri necessari, incluso l’hash.

Devi ripetere i passaggi precedenti per ogni protocollo applicativo che desideri rafforzare.

Nel seguente esempio, forniamo i passaggi per rafforzare le connessioni SMTP al server di posta per un singolo dominio. Puoi usarli come riferimento per rafforzare altre connessioni, se desideri farlo.

Nota: Nell’esempio che trovi di seguito, utilizzeremo l’hash SHA-256 della chiave pubblica del certificato SSL/TLS, e non l’intero certificato. Così facendo non avrai bisogno di aggiornare il record TLSA al momento del rinnovo del certificato, a meno che non cambi anche la chiave pubblica.

Generazione dell’hash della chiave pubblica di un certificato

  1. Accedi a Plesk.

  2. Vai su Siti web e domini e trova il dominio richiesto.

  3. Fai clic su Certificati SSL/TLS.

  4. Trova il certificato che protegge il server di posta (quello contrassegnato con «Protegge la posta») e fai clic sull’icona download per scaricare il certificato come file *.pem.

  5. Posiziona il file *.pem su una macchina Linux ed esegui il seguente comando (assicurati di cambiare la cartella di lavoro in quella contenente il file e di sostituire «certificate.pem» con il nome corretto del file):

    openssl x509 -in certificate.pem -pubkey -noout | openssl rsa -pubin -outform der | sha256sum | awk '{print $1}'

L’output che ne risulta (ad esempio, 499e42e36d7b04529725a1f8036e0f7cf1030b4e25a3fa1988f2572e1ce70d28) è l’hash SHA-256 che dovrai usare quando creerai il registro DNS TLSA.

Aggiungere il record DNS TLSA

  1. Accedi a Plesk.
  2. Vai su Siti web e domini e trova il dominio richiesto.
  3. Vai nella scheda Hosting e DNS e fai clic su DNS.
  4. Clicca su Aggiungi record.
  5. Seleziona «TLSA» dal menu a discesa «Tipo di record».
  6. (Opzionale) Specifica un TTL per il record. Se non hai la certezza di quale sia il TTL ottimale, lascia il campo «TTL» vuoto. In questo caso, verrà utilizzato il valore TTL predefinito.
  7. Specifica la porta «25». Non aggiungere il carattere di sottolineatura, verrà fatto automaticamente.
  8. Specifica il protocollo «tcp». Non aggiungere il carattere di sottolineatura, verrà fatto automaticamente.
  9. Inserisci «posta» nel campo «Nome del dominio».
  10. Seleziona «3, DANE-EE» dal menu a discesa «Utilizzo».
  11. Seleziona «1, SPKI» dal menu a discesa «Selettore».
  12. Seleziona «1, SHA-256» dal menu a discesa «Tipo di macchina».
  13. Incolla nel campo «Dati associazione certificato» l’hash della chiave pubblica del certificato che hai generato in precedenza.
  14. Fai clic su OK e su Aggiorna per applicare le modifiche alla zona DNS.

Viene aggiunto un record DNS TLSA e vengono applicate le modifiche alla zona DNS. Una volta propagate le modifiche al DNS (di solito la procedura richiede circa 24 ore), DANE diventerà attivo per le connessioni SMTP al dominio.