Come funziona il DNS: guida semplice a dominio, IP, record e TTL

12 maggio 2026 9 min di lettura

Scopri come funziona il DNS, il sistema che traduce i domini in indirizzi IP. Una guida semplice su resolver, cache DNS, TTL, record DNS e sicurezza web.

Come funziona il DNS: guida semplice a dominio, IP, record e TTL
Guarda il video collegato
Sviluppo web Sicurezza Informatica

Quando apri un sito web, di solito pensi di fare una cosa semplicissima: scrivi un indirizzo nel browser, premi invio e aspetti che la pagina si carichi. In realtà, prima ancora di vedere testo, immagini, video o pulsanti, succede un passaggio fondamentale: il computer deve capire dove si trova davvero quel sito.

Noi esseri umani ricordiamo nomi come www.example.com, wikipedia.org o il dominio della nostra banca. Internet, però, non lavora direttamente con questi nomi. Per collegarsi a un server usa gli indirizzi IP, cioè identificatori numerici come 93.184.216.34.

Il sistema che trasforma un nome leggibile in un indirizzo raggiungibile si chiama DNS, cioè Domain Name System. Spesso viene definito la rubrica di Internet, ma questa definizione è solo l’inizio: il DNS è un’infrastruttura distribuita, gerarchica e indispensabile per il funzionamento del web moderno.

In questo articolo vediamo come funziona il DNS, perché è così importante, quali sono i principali record DNS, cosa significa TTL, perché esiste la cache DNS e in che modo il DNS entra anche nel discorso della sicurezza web.

Dal dominio all’indirizzo IP

Nel primo episodio di questa serie abbiamo visto com’è fatta una URL. Abbiamo imparato che una URL non è solo un link, ma una piccola istruzione tecnica: contiene protocollo, dominio, path, query string e altri elementi.

Ora scendiamo di un livello.

Quando scrivi:

https://www.example.com

il browser capisce che deve contattare il dominio www.example.com. Ma per aprire davvero una connessione ha bisogno dell’indirizzo IP del server. Il browser, da solo, non può sapere magicamente quale indirizzo corrisponda a quel nome. Deve chiederlo.

Questa operazione si chiama risoluzione DNS.

La domanda è semplice:

Qual è l’indirizzo IP di questo dominio?

La risposta permette al browser di passare dal nome leggibile, comodo per noi, all’indirizzo tecnico, utile alla rete.

Perché il DNS non è una rubrica unica

Dire che il DNS è la rubrica di Internet è utile per iniziare, ma può creare un’idea sbagliata. Una rubrica normale è un elenco unico: cerchi un nome e trovi un numero.

Il DNS non funziona così.

Non esiste un unico grande server centrale che contiene tutti i domini del mondo. Sarebbe fragile, lento e ingestibile. Il DNS è invece un sistema distribuito e gerarchico. Diversi server hanno responsabilità diverse e collaborano per arrivare alla risposta finale.

Questa architettura rende il DNS più scalabile: milioni di domini possono essere gestiti da organizzazioni, provider, aziende e registrar diversi. Ogni dominio ha i suoi server autoritativi, ogni estensione come .com o .it ha i suoi server, e alla base della gerarchia ci sono i root server.

Cosa succede quando apri un sito

Immaginiamo una scena molto comune.

Apri il browser e scrivi:

https://www.example.com

Prima di scaricare la pagina, prima di ricevere HTML, CSS, JavaScript o immagini, il browser deve ottenere l’indirizzo IP associato a www.example.com.

Il primo controllo avviene vicino a te. Il sistema verifica se la risposta è già conosciuta, perché potrebbe essere stata salvata in cache DNS.

La cache può trovarsi in più punti:

  • nel browser;
  • nel sistema operativo;
  • nel router di casa;
  • nel resolver DNS del provider;
  • in un resolver pubblico configurato manualmente.

La cache serve a rendere tutto più veloce. Se ogni richiesta DNS dovesse ripartire da zero, la navigazione sarebbe più lenta e inefficiente.

Se la risposta è già presente e ancora valida, il browser può usarla subito. Se invece non è disponibile, entra in gioco il resolver DNS.

Che cos’è un resolver DNS

Il resolver DNS è il server a cui il tuo dispositivo chiede aiuto per risolvere un dominio.

Può essere il resolver del tuo provider Internet, quello configurato dal router, un resolver aziendale oppure un resolver pubblico come quelli offerti da vari servizi specializzati.

Il tuo computer chiede al resolver:

Mi sai dire qual è l’indirizzo IP di www.example.com?

Se il resolver conosce già la risposta, la restituisce subito. Se non la conosce, inizia il percorso nella gerarchia DNS.

Questo passaggio è importante anche per la privacy DNS: il resolver a cui ti affidi può vedere quali domini stai cercando di risolvere. Anche se poi navighi su HTTPS, la richiesta DNS può comunque rivelare molto sulle tue abitudini di navigazione.

Root server, TLD e nameserver autoritativi

Quando il resolver non conosce la risposta, parte dall’alto della gerarchia.

Il primo livello è quello dei root server. I root server non sanno necessariamente l’indirizzo finale di www.example.com, ma sanno indicare chi gestisce i domini di primo livello, come .com, .org, .net, .it.

Il resolver chiede:

Chi gestisce .com?

Il root server risponde indicando i server del TLD .com. TLD significa Top-Level Domain, cioè dominio di primo livello.

A questo punto il resolver chiede a un server del .com:

Chi gestisce example.com?

Il server del TLD non restituisce ancora per forza l’indirizzo finale, ma indica i nameserver autoritativi per example.com.

I nameserver autoritativi sono la fonte ufficiale per quel dominio. Sono loro a sapere quali record DNS sono stati configurati.

Infine il resolver chiede a un nameserver autoritativo:

Qual è il record per www.example.com?

Solo a quel punto arriva la risposta utile al browser.

I principali record DNS

Il DNS non serve solo a trasformare un dominio in un indirizzo IP. Gestisce diversi tipi di informazioni attraverso i record DNS.

I più comuni sono:

  • Record A: collega un nome a un indirizzo IPv4.
  • Record AAAA: collega un nome a un indirizzo IPv6.
  • Record CNAME: crea un alias verso un altro nome.
  • Record MX: indica i server che gestiscono la posta elettronica del dominio.
  • Record TXT: contiene informazioni testuali usate per verifiche, SPF, DKIM, DMARC e configurazioni esterne.
  • Record NS: indica quali nameserver sono autoritativi per un dominio.

Questo ci fa capire una cosa importante: il DNS non riguarda solo i siti web. Riguarda anche la posta elettronica, le verifiche di proprietà, le API, le CDN, i sottodomini, i servizi cloud e molte integrazioni usate ogni giorno.

TTL: perché le risposte DNS scadono

Ogni record DNS ha un valore chiamato TTL, cioè Time To Live.

Il TTL indica per quanto tempo una risposta DNS può essere conservata in cache. Se il TTL è alto, i resolver manterranno quella risposta più a lungo. Se il TTL è basso, la risposta scadrà più rapidamente e dovrà essere richiesta di nuovo.

Questo spiega una situazione molto comune:

A me il sito funziona, a te no.

Oppure:

Dal telefono si apre, dal Wi-Fi no.

Oppure ancora:

Abbiamo cambiato server, ma alcuni utenti vedono ancora il vecchio sito.

Spesso non è un problema misterioso. È semplicemente una conseguenza della cache DNS e del TTL.

Quando un dominio viene spostato da un server a un altro, non tutti i resolver aggiornano immediatamente la risposta. Alcuni potrebbero avere ancora in cache l’informazione precedente. Per questo, nelle migrazioni, il DNS va pianificato con attenzione.

Il DNS come mappa dell’architettura

Una piattaforma moderna può usare molti sottodomini:

  • www.example.com per il sito pubblico;
  • app.example.com per l’applicazione;
  • api.example.com per le API;
  • cdn.example.com per i contenuti statici;
  • auth.example.com per l’autenticazione;
  • status.example.com per la pagina di stato.

Ognuno di questi nomi può puntare a un servizio diverso. Il sito pubblico può stare su un hosting, l’applicazione su un provider cloud, le API su un altro ambiente, i contenuti statici su una CDN e l’autenticazione su un servizio esterno.

Il DNS diventa quindi una mappa dell’architettura. Non mostra tutto, ma mostra abbastanza da essere un elemento critico per chi sviluppa, amministra sistemi o gestisce infrastrutture web.

Quando il DNS è configurato male

Un errore DNS può causare problemi molto concreti.

Se un record A punta all’indirizzo sbagliato, il sito può non aprirsi. Se un record MX è errato, le email possono non arrivare. Se un CNAME rimane collegato a un servizio esterno non più usato, può creare rischi di sicurezza. Se un record viene cancellato per errore, un’intera parte dell’applicazione può diventare irraggiungibile.

Per questo il DNS non dovrebbe essere trattato come una configurazione da fare una volta e dimenticare. È parte dell’infrastruttura.

Chi gestisce un dominio dovrebbe sapere:

  • quali record sono attivi;
  • quali sottodomini esistono;
  • quali servizi esterni sono collegati;
  • chi ha accesso al pannello DNS;
  • quali record sono ancora necessari;
  • quali configurazioni sono obsolete.

DNS e sicurezza web

Il DNS è anche un punto delicato per la sicurezza web.

Prima del login, prima della pagina, prima di molte protezioni applicative, c’è una domanda:

Dove si trova questo dominio?

Se qualcuno osserva, blocca o manipola quella risposta, può influenzare la navigazione dell’utente. Un DNS compromesso o configurato male può causare redirect indesiderati, problemi con la posta, interruzioni di servizio o scenari di phishing più credibili.

Inoltre, il DNS è importante per la reputazione del dominio. Se un utente vede qualcosa.tuodominio.com, tende a fidarsi più che davanti a un dominio casuale. Per questo sottodomini abbandonati, CNAME dimenticati e accessi deboli al pannello DNS possono diventare problemi seri.

Nel prossimo episodio parleremo proprio di questo: come proteggere il DNS con tecnologie e pratiche come DNSSEC, DNS over HTTPS, DNS over TLS, filtering, controllo dei resolver e protezione degli account amministrativi.

Come fare debug mentale di un problema DNS

Quando un sito non si apre, non bisogna concludere subito che il server sia rotto. Il problema potrebbe essere nel DNS.

Alcune domande utili sono:

  • il dominio principale e il sottodominio www puntano allo stesso posto?
  • il record A o AAAA è corretto?
  • il resolver sta restituendo una risposta vecchia?
  • il TTL è troppo alto?
  • i nameserver autoritativi sono quelli giusti?
  • la posta ha record MX configurati correttamente?
  • ci sono CNAME verso servizi non più usati?

Non serve essere sistemisti esperti per capire il concetto. La cosa importante è sapere che il DNS si può interrogare e verificare. Strumenti come dig, host, nslookup o resolvectl permettono di osservare le risposte DNS e capire meglio cosa sta succedendo.

Conclusione

Il DNS è uno dei meccanismi più importanti e meno visibili di Internet. Ogni volta che scrivi un dominio, prima ancora che il browser possa caricare una pagina, deve avvenire una traduzione: da nome leggibile a indirizzo IP.

Capire come funziona il DNS aiuta gli utenti a interpretare problemi comuni, aiuta gli sviluppatori a pubblicare applicazioni in modo più consapevole e aiuta chi si occupa di sicurezza a riconoscere un livello spesso sottovalutato.

Internet sembra fatta di nomi, ma funziona grazie a traduzioni continue.

E ogni traduzione DNS risponde a una domanda semplice, ma potentissima:

Qual è l’indirizzo?