(Plesk per Linux) Rafforzare le connessioni utilizzando DANE
Riassunto: Se le connessioni al server di posta sono protette utilizzando un certificato SSL/TLS, puoi renderle più resistenti agli attacchi downgrade e man-in-the-middle abilitando DNS-based Authentication of Named Entities (DANE). DANE protegge anche dai furti d’identità del sito web causati dalla compromissione delle autorità certificanti.
In questa sezione imparerai a rafforzare le connessioni al server utilizzando DANE, sia automaticamente tramite SSL It! che manualmente. Ricorda che questa sezione non intende essere una fonte esaustiva d’informazioni su DANE o sui record DNS TLSA.
In Plesk, puoi rafforzare le connessioni al server utilizzando DANE nei seguenti modi:
- Automaticamente, utilizzando l’estensione SSL It!.
- Manualmente, generando un hash della chiave pubblica del certificato SSL/TLS e aggiungendo quindi un record DNS TLSA.
Ciascuna modalità presenta vantaggi e svantaggi.
L’implementazione automatica di DANE con SSL It! è semplice e richiede solo pochi clic. Tuttavia, con DANE è possibilerafforzare solo un tipo di connessione: quella al server di posta per un singolo dominio. Inoltre, è possibile utilizzare DANE solo con i certificati Let’s Encrypt. Se desideri utilizzare DANE con certificati SSL/TLS di altre autorità certificanti, scegli l’implementazione manuale.
L’implementazione manuale di DANE è una procedura in più fasi, che richiede tempo e impegno (anche se di seguito ti forniamo una guida passo passo). Per quanto riguarda i vantaggi, puoi rafforzare le connessioni non solo al server di posta ma anche ad altri protetti con certificati SSL/TLS. Puoi anche utilizzare DANE con certificati SSL/TLS di qualsiasi autorità certificante e non solamente di Let’s Encrypt.
Indipendentemente dalla modalità scelta, dovrai assicurarti che il tuo server e/o i domini ospitati soddisfino determinati requisiti necessari per l’utilizzo di DANE.
(Modalità automatica) Rafforzamento delle connessioni di posta tramite DANE
Prima di poter rafforzare automaticamente una connessione al server di posta utilizzando DANE, assicurati che il tuo server e i domini ospitati abbiano la seguente configurazione:
- Per il server Plesk:
- Il servizio di posta è abilitato.
- DKIM è abilitato.
- Plesk è il server DNS primario.
- Per il dominio di cui vuoi rafforzare la connessione al server di posta utilizzando DANE:
- Il servizio di posta è abilitato.
- DKIM è abilitato.
- Il record MX esiste e si risolve nell’indirizzo IP del server Plesk.
- DNSSEC è abilitato.
Se tutte le condizioni di cui sopra sono soddisfatte, puoi rafforzare una connessione al server di posta utilizzando DANE con l’aiuto dell’estensione SSL It!.
Rafforzare una connessione di posta utilizzando DANE tramite SSL It!
-
Vai su Siti web e domini e trova il dominio richiesto.
-
Fai clic su Certificati SSL/TLS.
-
In «Installa un certificato base gratuito di Let’s Encrypt», fai clic su Installa.
-
Mantieni selezionata la casella di controllo «Proteggi il nome di dominio».
-
(Facoltativo) Seleziona altre caselle di controllo a seconda dei sottodomini che desideri proteggere.
-
Seleziona le caselle di controllo «Assegna il certificato al dominio di posta» e «Supporto DANE».
-
Fai clic su Ottieni gratis.
-
Attendi qualche istante finché i record TLSA creati necessari per DANE non verranno propagati al server DNS, quindi fai clic su Installa.
SSL It! ha protetto il tuo dominio con un certificato Let’s Encrypt e ha anche rafforzato la connessione del dominio al server di posta utilizzando DANE.
Rinnovo automatico dei certificati con DANE
SSL It! rinnova automaticamente i certificati SSL/TLS gratuiti di Let’s Encrypt 30 giorni prima della loro scadenza. Se un certificato è stato emesso con il supporto DANE, SSL It! lo configurerà anche per un nuovo certificato.
Quando un nuovo certificato è pronto per essere installato sul dominio, SSL It! crea una serie corrispondente di record TLSA e imposta un timer di 24 ore (è il valore predefinito). Allo scadere del timer, l’esecuzione successiva dell’attività di SSL It! «Mantieni i siti Web sicuri» installa il nuovo certificato e rimuove i vecchi record TLSA. A seconda delle impostazioni configurate, Plesk invia anche una notifica via e-mail del rinnovo del certificato.
Se lo desideri, puoi modificare l’intervallo predefinito di 24 ore tra la creazione dei record TLSA e l’installazione di un nuovo certificato aggiungendo righe del seguente schema al file panel.ini:
[ext-sslit]
dane-confirmation-interval-in-hours = <the number of hours>
Ad esempio:
[ext-sslit]
dane-confirmation-interval-in-hours = 12
Disabilitare il supporto DANE in SSL It!
Per impostazione predefinita, il supporto DANE è abilitato in SSL It! se il server Plesk e i domini ospitati soddisfano i criteri di configurazione necessari per DANE. Ciò significa che tu e i tuoi clienti potete vedere e selezionare la casella di controllo «Supporto DANE» in «Assegna il certificato al dominio di posta» quando proteggi un dominio con un certificato Let’s Encrypt.
Per tutelare i tuoi clienti, potresti voler disabilitare il supporto DANE in SSL It! nascondendo la casella di controllo corrispondente. Per fare ciò, aggiungi le seguenti righe al file panel.ini:
[ext-sslit]
daneEnabled = false
(Modalità manuale) Rafforzamento delle connessioni del server tramite DANE
Puoi rafforzare le connessioni tramite qualsiasi protocollo applicativo già protetto usando un certificato SSL/TLS tramite la rispettiva combinazione di protocollo di trasporto e porta (ad esempio, «TCP/25» per SMTP, «TCP/443» per HTTPS e così via).
Il rafforzamento delle connessioni tramite uno specifico protocollo applicativo è una procedura composta da due passaggi:
- Prima di tutto, devi generare un hash della chiave pubblica del certificato SSL/TLS. Sebbene tu possa anche usare la chiave pubblica senza hash o l’hash dell’intero certificato, in questo esempio utilizzeremo l’hash di una chiave pubblica.
- Dopodiché devi aggiungere un record DNS TLSA specificando un numero di parametri necessari, incluso l’hash.
Devi ripetere i passaggi precedenti per ogni protocollo applicativo che desideri rafforzare.
Nel seguente esempio, forniamo i passaggi per rafforzare le connessioni SMTP al server di posta per un singolo dominio. Puoi usarli come riferimento per rafforzare altre connessioni, se desideri farlo.
Prerequisiti
Prima di rafforzare le connessioni SMTP utilizzando DANE per un singolo dominio, devi fare quanto segue:
- Proteggi le connessioni al server di posta utilizzando un certificato SSL/TLS.
- Abilita DNSSEC per il dominio.
Protezione delle connessioni al server SMTP
Nota: Nell’esempio che trovi di seguito, utilizzeremo l’hash SHA-256 della chiave pubblica del certificato SSL/TLS, e non l’intero certificato. Così facendo non avrai bisogno di aggiornare il record TLSA al momento del rinnovo del certificato, a meno che non cambi anche la chiave pubblica.
Generazione dell’hash della chiave pubblica di un certificato
-
Vai su Siti web e domini e trova il dominio richiesto.
-
Fai clic su Certificati SSL/TLS.
-
Trova il certificato che protegge il server di posta (quello contrassegnato con «Protegge la posta») e fai clic sull’icona per scaricare il certificato come file
*.pem
. -
Posiziona il file
*.pem
su una macchina Linux ed esegui il seguente comando (assicurati di cambiare la cartella di lavoro in quella contenente il file e di sostituire «certificate.pem» con il nome corretto del file):openssl x509 -in certificate.pem -pubkey -noout | openssl rsa -pubin -outform der | sha256sum | awk '{print $1}'
L’output che ne risulta (ad esempio, 499e42e36d7b04529725a1f8036e0f7cf1030b4e25a3fa1988f2572e1ce70d28
) è l’hash SHA-256 che dovrai usare quando creerai il registro DNS TLSA.
Aggiungere il record DNS TLSA
- Accedi a Plesk.
- Vai su Siti web e domini e trova il dominio richiesto.
- Vai nella scheda Hosting e DNS e fai clic su DNS.
- Clicca su Aggiungi record.
- Seleziona «TLSA» dal menu a discesa «Tipo di record».
- (Opzionale) Specifica un TTL per il record. Se non hai la certezza di quale sia il TTL ottimale, lascia il campo «TTL» vuoto. In questo caso, verrà utilizzato il valore TTL predefinito.
- Specifica la porta «25». Non aggiungere il carattere di sottolineatura, verrà fatto automaticamente.
- Specifica il protocollo «tcp». Non aggiungere il carattere di sottolineatura, verrà fatto automaticamente.
- Inserisci «posta» nel campo «Nome del dominio».
- Seleziona «3, DANE-EE» dal menu a discesa «Utilizzo».
- Seleziona «1, SPKI» dal menu a discesa «Selettore».
- Seleziona «1, SHA-256» dal menu a discesa «Tipo di macchina».
- Incolla nel campo «Dati associazione certificato» l’hash della chiave pubblica del certificato che hai generato in precedenza.
- Fai clic su OK e su Aggiorna per applicare le modifiche alla zona DNS.
Viene aggiunto un record DNS TLSA e vengono applicate le modifiche alla zona DNS. Una volta propagate le modifiche al DNS (di solito la procedura richiede circa 24 ore), DANE diventerà attivo per le connessioni SMTP al dominio.