Defaults.Exposed › Nastavení › DNSSEC

Jak nastavit DNSSEC na AWS Route 53

Aktivujte podepisování DNSSEC v Route 53 pomocí KMS klíče a přidejte DS záznam u svého registrátora, aby nikdo nemohl falšovat vaše DNS odpovědi.

Co to znamená pro vaši firmu

Když někdo navštíví váš web nebo vám pošle e-mail, počítač se nejprve dotáže systému DNS na správnou adresu. Tyto odpovědi normálně cestují bez podpisu, takže útočník schopný manipulovat s vyhledáváním může potichu přesměrovat vaše návštěvníky na falešný web nebo přesměrovat vaši e-poštu na vlastní server — zatímco vaše skutečná doména stále svítí v adresním řádku.

DNSSEC tomu zabrání. Kryptograficky podepisuje vaše DNS odpovědi, takže každý, kdo vás vyhledá, může dokázat, že odpověď skutečně pochází od vás a nebyla po cestě změněna. Jednoduše řečeno: blokuje únos domény a otrávení cache — útoky, které obrátí vaši vlastní doménu proti zákazníkům. Je jako funkce zdarma (podpisový klíč používá malý AWS KMS klíč, který nese malé měsíční náklady) a je to jedna z nejsilnějších ochrany, kterou můžete aktivovat.

Jak DNSSEC funguje na Route 53

Route 53 rozděluje práci způsobem, který stojí za pochopení před začátkem:

• Route 53 podepisuje vaši hosted zónu pomocí klíče uloženého v AWS KMS (Key Management Service). Zapnutí podepisování zveřejní veřejné klíče (DNSKEY) a vytvoří DS záznam.
• Váš registrátor — společnost, u které doménu obnovujete — musí pak zveřejnit tento DS záznam v nadřazené zóně (například .com), aby zbytek internetu podpisům důvěřoval.

Pokud jste doménu zaregistrovali přes Route 53 (Amazon Registrar), krok registrátora je stále nutný, ale provádí se v rámci AWS konzole. Pokud je váš registrátor jiná společnost, zkopírujete DS záznam tam ručně.

Skutečné riziko — postupujte opatrně

DNSSEC může celou vaši doménu znepřístupnit, pokud je špatně nakonfigurován. Dvě situace, kdy se to stane:

• DS záznam u registrátora, který neodpovídá klíči, jímž Route 53 podepisuje.
• Deaktivace podepisování, smazání KMS klíče nebo přesun DNS od Route 53 bez předchozího odstranění DS záznamu u registrátora — starý DS záznam stále vyžaduje podpisy, které již neexistují, a vyhledávání selžou.

Postupujte přesně podle níže uvedeného pořadí. A pokud někdy migrujete DNS od Route 53, nejprve odstraňte DS záznam u registrátora a deaktivujte podepisování, pak proveďte přesun.

Ověřte, že Route 53 spravuje vaše DNS

Toto funguje pouze tehdy, pokud Route 53 odpovídá na DNS dotazy pro vaši doménu. Zkontrolujte, že jmenné servery vaší domény ukazují na čtyři Route 53 jmenné servery uvedené pro vaši hosted zónu. Otevřete konzoli Route 53, přejděte do Hosted zones, otevřete svou doménu a poznamenejte si hodnoty NS záznamu — nastavení jmenných serverů u vašeho registrátora musí odpovídat těmto hodnotám. Pokud jmenné servery ukazují jinam, aktivujte DNSSEC u toho poskytovatele, který vaše DNS skutečně spravuje.

Postup na Route 53

1. Přihlaste se do AWS konzole a otevřete Route 53.
2. Přejděte do Hosted zones a otevřete hosted zónu pro vaši doménu.
3. Otevřete záložku DNSSEC signing a zvolte Enable DNSSEC signing.
4. Pro key-signing key (KSK) musíte poskytnout zákazníkem spravovaný KMS klíč:
   • Zvolte Create customer managed key (nebo vyberte existující vhodný).
   • Klíč musí být asymetrický klíč s použitím Sign and verify, specifikací ECC_NIST_P256, a musí být v regionu US East (N. Virginia) us-east-1 — DNSSEC Route 53 vyžaduje klíč v tomto regionu.
   • Pojmenujte KSK.
5. Potvrďte a aktivujte podepisování. Route 53 nyní podepisuje hosted zónu.
6. Stále na záložce DNSSEC signing najděte DS record / Establish a chain of trust. Route 53 zobrazí hodnoty, které potřebujete, včetně Key Tag, Signing algorithm, Digest algorithm a Digest (a často hotový řádek DS záznamu).
7. Nyní přejděte ke svému registrátorovi a přidejte DS záznam:
   • Pokud je doména registrována v Route 53 (Amazon Registrar): konzole vás může provést v nastavení domény — nebo zkopírujte hodnoty do sekce DNSSEC domény.
   • Pokud je váš registrátor jiná společnost: otevřete jeho sekci DNSSEC / DS záznamu a zadejte přesné hodnoty z kroku 6 — Key Tag, Algorithm (typicky 13), Digest Type (typicky 2) a Digest.
8. Uložte u registrátora. Řetězec důvěry je dokončen, jakmile DS záznam bude přijat v nadřazené zóně.

Časté chyby na Route 53

• KMS klíč musí být v us-east-1. DNSSEC Route 53 nepřijme KSK klíč z jiného regionu — toto lidi zastaví hned zpočátku.
• Použijte správný typ klíče. Musí to být asymetrický, sign-and-verify, ECC_NIST_P256 KMS klíč. Symetrický nebo klíč špatné specifikace nebude fungovat jako KSK.
• Dva systémy, ne jeden. Pouhé zapnutí podepisování v Route 53 samo o sobě nic nezmůže — DS záznam musí také dorazit k registrátorovi. Lidé se zastaví po kroku 5 a diví se, proč se nikdy nevaliduje.
• Zkopírujte digest přesně. Jediný chybný znak v Digest znamená, že DS záznam registrátora nebude odpovídat podpisovému klíči Route 53 — přesná chybná konfigurace, která znepřístupní doménu. Vkládejte, nikdy nepřepisujte ručně.
• Nemažte KMS klíč, dokud je podepisování aktivní. A nikdy neodstraňujte DS záznam u registrátora, dokud Route 53 stále podepisuje.
• Deaktivujte ve správném pořadí před přesunem DNS. Pro migraci pryč: odstraňte DS záznam u registrátora, počkejte na jeho vypršení, pak deaktivujte podepisování v Route 53 — ne naopak.
• Dejte tomu čas. Změny DNSSEC mohou trvat od minut až po den, než se plně propagují a validují.

Ověření, že vše funguje

Jakmile je podepisování aktivní v Route 53 a DS záznam je na místě u vašeho registrátora, spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je DNSSEC správně zveřejněn a důvěryhodný pro vaši doménu.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.