Procedura di rollover DNSSEC con cambio algoritmo per il dominio registro.it

Questo documento descrive la procedura di rollover DNSSEC con cambio di algoritmo per il dominio registro.it, eseguita utilizzando i software BIND 9.18 e SoftHSM 2.4 su Debian 12. L’operazione ha previsto la sostituzione dell'algoritmo RSA/SHA512 (algoritmo 10) con l'algoritmo ECDSAP256SHA256 (algoritmo 13) per entrambe le chiavi ZSK (Zone Signing Key) e KSK (Key Signing Key), in linea con le best practice DNSSEC e la RFC 6781. La transizione simultanea delle due coppie di chiavi è stata necessaria per evitare inconsistenze nella catena di fiducia, risolvendo il problema di validazione crittografica che si sarebbe verificato con due rollover distinti. La procedura è stata eseguita in conformità con il metodo di "Double-Signature Rollover", garantendo anche la coesistenza dei record DS. I test di validazione, eseguiti con strumenti come DNSViz e Zonemaster, hanno confermato l'integrità della catena di fiducia e la corretta propagazione delle modifiche durante tutta la fase della procedura. L'affinamento e il test della procedura, che ha garantito il miglioramento della sicurezza e l’efficienza del sistema DNSSEC per il dominio registro.it, sarà impiegata anche per il rollover di altri domini di secondo livello ed inoltre per il dominio di primo livello .it