La società di Mountain View ha reso pubblico e gratuito il proprio di servizio di Domain Name System (DNS), chiamato Public DNS, dal 2009. I DNS sono necessari per tradurre un nome di dominio, ad esempio www.tomshw.it, in un indirizzo IP che possa esser capito dal browser, ma i server DNS possono essere manomessi dagli hacker.
In un attacco chiamato "cache poisoning", un server DNS viene violato e modificato in modo che se un utente cercasse il sito www.tomshw.it si ritroverebbe in cambio l'indirizzo IP di un altro sito, di norma maligno, senza che lui ne abbia alcun indizio. Per fortuna, esiste una tecnologia, chiamata DNS Security Extensions (DNSSEC), che può arginare il problema tramite un sistema di crittografia a chiave pubblica che "firma" digitalmente i record DNS dei siti web.
Google ha tutto l'interesse a far diventare più sicuro il Web: Internet più sicuro significa un maggiore volume di traffico e meno spese in sicurezza.
Gli Internet Service Provider (ISP) e gli operatori di rete sono stati invitati ad integrare i DNS Security Extensions (DNSSEC) già da molto tempo, ma il processo non è semplice. Ad ogg, circa un terzo dei domini di primo livello sono firmati, ma (stando a quanto riporta Google) la maggior parte dei domini di secondo livello non lo sono. Gli ISP e fornitori di rete devono quindi configurare i propri sistemi per essere "in linea" con questa funzione di sicurezza e qui entra in campo Public DNS. Il colosso delle ricerche sul web, infatti, ha annunciato che di aver avviato un programma di controllo delle firme digitali DNSSEC sui vari siti, un passo importante per garantire la corretta "query DNS".
"In precedenza, abbiamo accettato e inoltrato dei "DNSSEC-formatted messages" ma questo non vuol dire che tali siti sono stati convalidati" ha scritto Yunhong Gu, responsabile del team Public DNS di Google. "Con questa nuova funzionalità di protezione possiamo proteggere meglio le persone da attacchi basati sul poisoning dei DNS e rendere più sicuro Internet individuando i domini non protetti con DNSSEC e respingendo le risposte in arrivo da siti che non rispettano i nostri criteri di sicurezza".
Il manuale online che parla dei DNSSEC riporta che se Google non può convalidare un dominio, verrà restituito una risposta di errore. Ma se un dominio è molto popolare e per qualche motivo non si riesce a convalidare, Google può escludere il sito dalla lista nera fino a quando il problema non verrà risolto. Google Public DNS risponde a più di 130 miliardi di query da più di 70 milioni di indirizzi IP al giorno, ha specificato Gu. Solo il 7 per cento di queste query però richiede le informazioni DNSSEC. Conclude Gu: "Nel complesso, DNSSEC è ancora in una fase iniziale, e ci auguriamo che il nostro sostegno contribuirà ad accelerare la sua diffusione".