Defaults.Exposed › সেটআপ › DNSSEC
AWS Route 53-এ DNSSEC সেট আপ করার পদ্ধতি
Route 53-এ একটি KMS কী দিয়ে DNSSEC সাইনিং সক্ষম করুন এবং আপনার রেজিস্ট্রারে DS রেকর্ড যোগ করুন যাতে কেউ আপনার DNS উত্তর জাল করতে না পারে।
এটি আপনার ব্যবসার জন্য কেন গুরুত্বপূর্ণ
কেউ আপনার ওয়েবসাইট পরিদর্শন করলে বা আপনাকে ইমেইল পাঠালে, তাদের কম্পিউটার প্রথমে সঠিক ঠিকানার জন্য DNS সিস্টেমকে জিজ্ঞাসা করে। সেই উত্তরগুলো সাধারণত স্বাক্ষরহীনভাবে ভ্রমণ করে, তাই লুকআপে হস্তক্ষেপ করতে পারে এমন একজন আক্রমণকারী আপনার দর্শকদের চুপচাপ একটি জাল সাইটে পুনঃনির্দেশ করতে বা আপনার ইমেইল তাদের নিজের সার্ভারে পুনঃরুট করতে পারে — যখন আপনার আসল ডোমেন এখনো ঠিকানা বারে দেখায়।
DNSSEC এটি প্রতিরোধ করে। এটি আপনার DNS উত্তরগুলো ক্রিপ্টোগ্রাফিক্যালি স্বাক্ষর করে, তাই আপনাকে খুঁজছেন যে কেউ প্রমাণ করতে পারেন উত্তরটি সত্যিই আপনার কাছ থেকে এসেছে এবং ট্রানজিটে পরিবর্তন করা হয়নি। সহজ ভাষায়: এটি ডোমেন হাইজ্যাকিং এবং ক্যাশ পয়জনিং ব্লক করে, যে আক্রমণগুলো আপনার নিজের ডোমেনকে আপনার গ্রাহকদের বিরুদ্ধে পরিণত করে। এটি ফিচার হিসেবে বিনামূল্যে (সাইনিং কী একটি ছোট AWS KMS কী ব্যবহার করে, যার সামান্য মাসিক খরচ আছে), এবং এটি সবচেয়ে শক্তিশালী সুরক্ষার একটি যা আপনি সক্ষম করতে পারেন।
Route 53-এ DNSSEC কীভাবে কাজ করে
Route 53 কাজটি এমনভাবে বিভক্ত করে যা শুরু করার আগে বোঝার মূল্য আছে:
- Route 53 AWS KMS (Key Management Service)-এ সংরক্ষিত একটি কী ব্যবহার করে আপনার হোস্টেড জোন স্বাক্ষর করে। সাইনিং চালু করলে পাবলিক কীগুলো (একটি DNSKEY) প্রকাশিত হয় এবং একটি DS রেকর্ড তৈরি হয়।
- আপনার রেজিস্ট্রার — আপনি যে কোম্পানির সাথে ডোমেন রিনিউ করেন — তারপর সেই DS রেকর্ড প্যারেন্ট জোনে (উদাহরণস্বরূপ
.com) প্রকাশ করে যাতে বাকি ইন্টারনেট স্বাক্ষরগুলো বিশ্বাস করে।
আপনি Route 53-এর মাধ্যমে (Amazon Registrar) ডোমেন নিবন্ধন করলে, রেজিস্ট্রার ধাপটি এখনো প্রয়োজন, কিন্তু এটি AWS কনসোলের মধ্যেই করা হয়। আপনার রেজিস্ট্রার ভিন্ন কোম্পানি হলে, আপনি সেখানে হাতে DS রেকর্ড কপি করুন।
আসল ঝুঁকি — সাবধানে করুন
DNSSEC ভুল কনফিগার হলে আপনার পুরো ডোমেন অফলাইন নিয়ে যেতে পারে। দুটি উপায় এটি ঘটে:
- রেজিস্ট্রারে একটি DS রেকর্ড যা Route 53 যে কী দিয়ে স্বাক্ষর করছে তার সাথে মেলে না।
- সাইনিং অক্ষম করা, KMS কী মুছে ফেলা, বা Route 53 থেকে DNS সরানো প্রথমে রেজিস্ট্রারে DS রেকর্ড না সরিয়ে — পুরানো DS রেকর্ড এমন স্বাক্ষর দাবি করতে থাকে যা আর বিদ্যমান নেই, এবং লুকআপ ব্যর্থ হয়।
নিচের ক্রমটি ঠিকঠাক অনুসরণ করুন। এবং আপনি Route 53 থেকে DNS মাইগ্রেট করলে, প্রথমে রেজিস্ট্রারে DS রেকর্ড সরিয়ে দিন এবং সাইনিং অক্ষম করুন, তারপর সরুন।
নিশ্চিত করুন Route 53 আপনার DNS চালাচ্ছে
এটি তখনই কাজ করে যখন Route 53 আপনার ডোমেনের DNS-এর উত্তর দিচ্ছে। পরীক্ষা করুন আপনার ডোমেনের নেমসার্ভার আপনার হোস্টেড জোনের জন্য তালিকাভুক্ত চারটি Route 53 নেমসার্ভারের দিকে পয়েন্ট করছে কিনা। Route 53 কনসোল খুলুন, Hosted zones-এ যান, আপনার ডোমেন খুলুন, এবং NS রেকর্ড মান লক্ষ্য করুন — আপনার রেজিস্ট্রারের নেমসার্ভার সেটিং অবশ্যই এগুলোর সাথে মেলাতে হবে। আপনার নেমসার্ভার অন্য কোথাও পয়েন্ট করলে, পরিবর্তে আপনার DNS চালানো প্রদানকারীতে DNSSEC সক্ষম করুন।
Route 53-এ ধাপে ধাপে
- AWS কনসোলে সাইন ইন করুন এবং Route 53 খুলুন।
- Hosted zones-এ যান এবং আপনার ডোমেনের হোস্টেড জোন খুলুন।
- DNSSEC signing ট্যাব খুলুন এবং Enable DNSSEC signing বেছে নিন।
- key-signing key (KSK)-এর জন্য, আপনাকে অবশ্যই একটি customer managed KMS key প্রদান করতে হবে:
- Create customer managed key বেছে নিন (বা একটি বিদ্যমান যোগ্য বেছে নিন)।
- কীটি অবশ্যই একটি asymmetric কী হতে হবে Sign and verify ব্যবহার সহ, ECC_NIST_P256 স্পেক ব্যবহার করে, এবং এটি অবশ্যই US East (N. Virginia)
us-east-1অঞ্চলে থাকতে হবে — Route 53 DNSSEC সেই অঞ্চলে কী দরকার। - KSK-কে একটি নাম দিন।
- নিশ্চিত করুন এবং enable signing করুন। Route 53 এখন হোস্টেড জোন স্বাক্ষর করে।
- এখনো DNSSEC signing ট্যাবে, DS record / Establish a chain of trust খুঁজুন। Route 53 আপনার প্রয়োজনীয় মানগুলো প্রদর্শন করে, যার মধ্যে Key Tag, Signing algorithm, Digest algorithm, এবং Digest (এবং প্রায়ই একটি প্রস্তুত DS রেকর্ড লাইন) অন্তর্ভুক্ত।
- এখন আপনার রেজিস্ট্রারে যান এবং DS রেকর্ড যোগ করুন:
- ডোমেনটি Route 53-এ (Amazon Registrar) নিবন্ধিত হলে: কনসোল আপনাকে ডোমেনের সেটিংসের অধীনে এটি দিয়ে নিয়ে যেতে পারে — বা ডোমেনের DNSSEC বিভাগে মানগুলো কপি করুন।
- আপনার রেজিস্ট্রার ভিন্ন কোম্পানি হলে: এর DNSSEC / DS রেকর্ড বিভাগ খুলুন এবং ধাপ 6 থেকে মানগুলো ঠিকঠাক লিখুন — Key Tag, Algorithm (সাধারণত
13), Digest Type (সাধারণত2), এবং Digest।
- রেজিস্ট্রারে সেভ করুন। DS রেকর্ড প্যারেন্ট জোনে গৃহীত হলে বিশ্বাসের শৃঙ্খল সম্পন্ন হয়।
Route 53-এ মানুষ যে ভুলগুলো করে
- KMS কী অবশ্যই
us-east-1-এ থাকতে হবে। Route 53 DNSSEC অন্য অঞ্চল থেকে একটি KSK কী গ্রহণ করবে না — এটি মানুষকে প্রথমে আটকায়। - সঠিক কী টাইপ ব্যবহার করুন। এটি অবশ্যই একটি asymmetric, sign-and-verify, ECC_NIST_P256 KMS কী হতে হবে। একটি symmetric বা ভুল-স্পেক কী KSK হিসেবে কাজ করবে না।
- দুটি সিস্টেম, একটি নয়। Route 53-এ সাইনিং সক্ষম করা একা কিছুই করে না — DS রেকর্ড অবশ্যই রেজিস্ট্রারেও পৌঁছাতে হবে। মানুষ ধাপ 5-এর পরে থামে এবং ভাবে কেন এটি কখনো যাচাই করে না।
- ডাইজেস্ট ঠিকঠাক কপি করুন। Digest-এ একটিও ভুল অক্ষর মানে রেজিস্ট্রারের DS রেকর্ড Route 53-এর সাইনিং কীর সাথে মেলে না — ঠিকঠাক সেই ভুল কনফিগারেশন যা একটি ডোমেন অফলাইন নিয়ে যায়। পেস্ট করুন, কখনো পুনরায় টাইপ করবেন না।
- সাইনিং সক্রিয় থাকলে KMS কী মুছবেন না। এবং Route 53 এখনো স্বাক্ষর করছে এমন সময় রেজিস্ট্রারে DS রেকর্ড কখনো সরাবেন না।
- DNS সরানোর আগে সঠিক ক্রমে অক্ষম করুন। মাইগ্রেট করতে: রেজিস্ট্রারে DS রেকর্ড সরিয়ে দিন, এটি সাফ হওয়ার জন্য অপেক্ষা করুন, তারপর Route 53-এ সাইনিং অক্ষম করুন — উল্টো নয়।
- সময় দিন। DNSSEC পরিবর্তনগুলো সম্পূর্ণ প্রপাগেট হতে এবং যাচাই করতে মিনিট থেকে একদিন পর্যন্ত সময় লাগতে পারে।
এটি কাজ করেছে কিনা যাচাই করুন
Route 53-এ সাইনিং সক্ষম হলে এবং আপনার রেজিস্ট্রারে DS রেকর্ড থাকলে, এই সাইটের বিনামূল্যে চেক চালান। এটি সহজ ভাষায় বলবে আপনার ডোমেনের জন্য DNSSEC সঠিকভাবে প্রকাশিত এবং বিশ্বস্ত কিনা।
সম্পন্ন? আপনার ডোমেইন বিনামূল্যে চেক করুন নিশ্চিত করতে যে এটি কাজ করেছে — এবং সমস্ত ৩৪টি চেক জুড়ে আপনার সম্পূর্ণ গ্রেড দেখুন।