Quando si gestiscono in proprio i nameserver - ad esempio su un servizio VPS o cloud che unisce hosting e DNS nella stessa macchina - è fondamentale evitare alcune configurazioni errate che possono compromettere, anche in modo intermittente, il corretto funzionamento del dominio.
1. Indirizzi IP dei nameserver e glue record
Assicurarsi che ogni nameserver sia raggiungibile all’indirizzo IP corretto. Se l’infrastruttura cambia e occorre aggiornare l’IP, non basta modificare i record A/AAAA della zona: se il dominio utilizza glue record, è necessario aggiornarli anche presso il registro. Un glue record non aggiornato può generare comportamenti apparentemente inspiegabili: due IP diversi per lo stesso nameserver, uno corretto e uno obsoleto, restituiti in momenti diversi della risoluzione.
2. Sincronizzazione dei record SOA
Dopo modifiche alla zona DNS, in caso di anomalie verificare che il SOA sia allineato su tutti i nameserver: il numero di serie deve essere identico. Un SOA diverso indica che un server non ha ancora applicato l’aggiornamento. In condizioni normali la replica avviene in pochi minuti; se il disallineamento persiste, occorre indagare.
3. Corrispondenza tra delega e record NS
Gli hostname dei nameserver impostati nella delega del dominio presso il registro devono coincidere con quelli presenti nei record NS della zona servita dai nameserver stessi. Un disallineamento porta a una lame delegation, che può causare accesso intermittente. Può accadere, ad esempio, quando un provider DNS cambia i propri nameserver e l’utente aggiorna solo la delega al registro ma non i record NS della zona (o viceversa).
4. Record MX e CNAME
Un record MX non deve puntare a un CNAME. Le RFC non standardizzano questo uso e il comportamento varia tra i server di posta: può funzionare in alcuni casi e fallire in altri.
5. Record NS e CNAME
Un record NS non può puntare a un CNAME. La configurazione può causare risoluzioni fallite o intermittenti, a seconda di come il resolver gestisce la richiesta.
6. Record SRV non aggiornati
Quando si cambia o si sposta un servizio (posta, VoIP, chat, ecc.) è importante ricordarsi di aggiornare anche i record SRV associati, se previsti per il servizio specifico. Dimenticarli può far sì che alcune funzioni continuino a puntare a server vecchi o non più attivi.
7. DNSSEC attivo con chiavi obsolete
Se il dominio ha DNSSEC attivo presso il vecchio provider e si cambiano sia provider sia nameserver senza rimuovere o aggiornare le chiavi, le query saranno invalidate dai resolver che verificano DNSSEC, rendendo il dominio irraggiungibile.
8. Record CAA obsoleti
I record CAA specificano quali autorità di certificazione possono emettere certificati SSL/TLS per il dominio. Se si cambia gestore (ad esempio passando a Let’s Encrypt) e non si aggiorna il CAA, la nuova emissione del certificato fallirà.