Defaults.Exposed › الإعداد › DNSSEC

كيفية إعداد DNSSEC على AWS Route 53

فعّل توقيع DNSSEC في Route 53 بمفتاح KMS وأضف سجل DS لدى مُسجّل نطاقك كي لا يتمكّن أحد من تزوير إجابات DNS الخاصة بك.

لماذا يهمّ هذا عملك

حين يزور أحدهم موقعك أو يُرسل إليك بريداً، يسأل حاسوبه أولاً نظام DNS عن العنوان الصحيح. عادةً تسري تلك الإجابات دون توقيع، فمهاجم قادر على العبث بعملية البحث يمكنه بهدوء إعادة توجيه زوّارك إلى موقع مزيّف أو إعادة توجيه بريدك إلى خادمه الخاص — بينما لا يزال نطاقك الحقيقي يظهر في شريط العنوان.

يمنع DNSSEC هذا. فهو يوقّع إجابات DNS الخاصة بك تشفيرياً، بحيث يستطيع أي شخص يبحث عنك أن يُثبت أن الإجابة جاءت منك فعلاً ولم تُعدَّل أثناء النقل. بعبارة بسيطة: يحجب اختطاف النطاق وتسميم الذاكرة المؤقتة، وهي الهجمات التي تُحوّل نطاقك ذاته ضد عملائك. إنه مجاني كميزة (يستخدم مفتاح التوقيع مفتاح AWS KMS صغيراً يحمل تكلفة شهرية طفيفة)، وهو أحد أقوى الحمايات التي يمكنك تفعيلها.

كيف يعمل DNSSEC على Route 53

يقسم Route 53 المهمة بطريقة يجدر فهمها قبل البدء:

• يوقّع Route 53 منطقتك المستضافة باستخدام مفتاح مخزّن في AWS KMS (Key Management Service). تشغيل التوقيع ينشر المفاتيح العامة (سجل DNSKEY) ويُنتج سجل DS.
• ثم على مُسجّل نطاقك — الشركة التي تجدّد النطاق معها — أن ينشر ذلك سجل DS في المنطقة الأم (مثلاً .com) كي يثق بقية الإنترنت بالتواقيع.

إن سجّلت النطاق عبر Route 53 (Amazon Registrar)، فخطوة المُسجّل لا تزال مطلوبة، لكنها تُنجَز داخل وحدة تحكّم AWS. وإن كان مُسجّلك شركة مختلفة، فتنسخ سجل DS هناك يدوياً.

الخطر الحقيقي — أنجِز هذا بعناية

يمكن لـ DNSSEC أن يُسقط نطاقك بالكامل إن أُسيء ضبطه. والطريقتان اللتان يحدث بهما ذلك:

• سجل DS لدى المُسجّل لا يطابق المفتاح الذي يوقّع به Route 53.
• تعطيل التوقيع، أو حذف مفتاح KMS، أو نقل DNS بعيداً عن Route 53 دون إزالة سجل DS لدى المُسجّل أولاً — فسجل DS القديم يظل يطالب بتواقيع لم تعد موجودة، فتفشل عمليات البحث.

اتبع الترتيب أدناه بالضبط. وإن هاجرت DNS بعيداً عن Route 53 يوماً، فـ أزِل سجل DS لدى المُسجّل وعطّل التوقيع أولاً، ثم انتقل.

تأكّد أن Route 53 هو من يُدير DNS الخاص بك

لا ينجح هذا إلا إذا كان Route 53 هو من يُجيب عن استعلامات DNS لنطاقك. تحقّق أن خوادم الأسماء (nameservers) لنطاقك تشير إلى خوادم أسماء Route 53 الأربعة المدرجة لـ منطقتك المستضافة (hosted zone). افتح وحدة تحكّم Route 53، وانتقل إلى Hosted zones، وافتح نطاقك، ولاحظ قيم سجل NS — يجب أن يطابق إعداد خوادم الأسماء لدى مُسجّلك هذه القيم. إن كانت خوادم أسمائك تشير إلى مكان آخر، فعّل DNSSEC لدى المزوّد الذي يُدير DNS فعلياً بدلاً من ذلك.

خطوة بخطوة على Route 53

1. سجّل الدخول إلى وحدة تحكّم AWS وافتح Route 53.
2. انتقل إلى Hosted zones وافتح المنطقة المستضافة لنطاقك.
3. افتح تبويب DNSSEC signing واختر Enable DNSSEC signing.
4. لأجل مفتاح توقيع المفاتيح (KSK)، يجب أن توفّر مفتاح KMS مُدار من العميل:
   • اختر Create customer managed key (أو اختر مفتاحاً مؤهّلاً قائماً).
   • يجب أن يكون المفتاح غير متماثل (asymmetric) باستخدام Sign and verify، باستخدام مواصفة ECC_NIST_P256، وأن يكون في منطقة US East (N. Virginia) us-east-1 — فـ DNSSEC في Route 53 يتطلّب المفتاح في تلك المنطقة.
   • امنح الـ KSK اسماً.
5. أكّد و فعّل التوقيع. يوقّع Route 53 الآن المنطقة المستضافة.
6. وأنت لا تزال على تبويب DNSSEC signing، ابحث عن DS record / Establish a chain of trust. يعرض Route 53 القيم التي تحتاجها، بما فيها Key Tag و Signing algorithm و Digest algorithm و Digest (وغالباً سطر DS record جاهزاً).
7. الآن انتقل إلى مُسجّل نطاقك وأضِف سجل DS:
   • إن كان النطاق مُسجّلاً في Route 53 (Amazon Registrar): يمكن لوحدة التحكّم أن ترشدك خلال ذلك ضمن إعدادات النطاق — أو انسخ القيم في قسم DNSSEC للنطاق.
   • إن كان مُسجّلك شركة مختلفة: افتح قسم DNSSEC / سجل DS لديه وأدخل القيم من الخطوة 6 بالضبط — Key Tag و Algorithm (عادةً 13) و Digest Type (عادةً 2) و Digest.
8. احفظ لدى المُسجّل. تكتمل سلسلة الثقة بمجرد قبول سجل DS في المنطقة الأم.

أخطاء يقع فيها الناس مع Route 53

• يجب أن يكون مفتاح KMS في us-east-1. لن يقبل DNSSEC في Route 53 مفتاح KSK من منطقة أخرى — وهذا أول ما يعثر به الناس.
• استخدم نوع المفتاح الصحيح. يجب أن يكون مفتاح KMS غير متماثل، sign-and-verify، ECC_NIST_P256. ولن يعمل مفتاح متماثل أو بمواصفة خاطئة كـ KSK.
• نظامان، لا واحد. تفعيل التوقيع في Route 53 وحده لا يفعل شيئاً بمفرده — فيجب أيضاً أن يصل سجل DS إلى المُسجّل. يتوقّف الناس بعد الخطوة 5 ويتساءلون لماذا لا يتحقّق أبداً.
• انسخ الـ Digest بالضبط. حرف واحد خاطئ في الـ Digest يعني أن سجل DS لدى المُسجّل لن يطابق مفتاح توقيع Route 53 — وهو الخطأ تحديداً الذي يُسقط نطاقاً. الصق، ولا تُعِد الكتابة أبداً.
• لا تحذف مفتاح KMS ما دام التوقيع نشطاً. ولا تُزِل سجل DS لدى المُسجّل أبداً ما دام Route 53 يوقّع.
• عطّل بالترتيب الصحيح قبل نقل DNS. للهجرة بعيداً: أزِل سجل DS لدى المُسجّل، وانتظر حتى يُمحى، ثم عطّل التوقيع في Route 53 — لا العكس.
• امنحه وقتاً. قد تستغرق تغييرات DNSSEC من دقائق إلى يوم كامل حتى تنتشر بالكامل وتتحقّق.

تحقّق من نجاح العملية

بمجرد تفعيل التوقيع في Route 53 ووجود سجل DS في مكانه لدى مُسجّل نطاقك، شغّل الفحص المجاني على هذا الموقع. سيُخبرك بلغة واضحة ما إذا كان DNSSEC منشوراً وموثوقاً بشكل صحيح لنطاقك.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.