Defaults.Exposed › Opsætning › DNSSEC

Sådan opsætter du DNSSEC på AWS Route 53

Aktiver DNSSEC-signering i Route 53 med en KMS-nøgle, og tilføj DS-recorden hos din registrar, så ingen kan forfalske dine DNS-svar.

Hvad det betyder for din virksomhed

Når nogen besøger dit website eller sender dig e-mail, spørger deres computer DNS-systemet om den rigtige adresse. Disse svar rejser normalt usignerede, så en angriber, der kan manipulere med opslaget, lydløst kan omdirigere dine besøgende til et falsk site eller omdirigere din e-mail til sin egen server — mens dit rigtige domæne stadig vises i adresselinjen.

DNSSEC forhindrer det. Det kryptografisk signerer dine DNS-svar, så alle, der slår dig op, kan bevise, at svaret virkelig kom fra dig og ikke blev ændret undervejs. I klart sprog: det blokerer domænekapring og cache-forgiftning — de angreb, der gør dit eget domæne til et våben mod dine kunder. Det er gratis som funktion (signeringsnøglen bruger en lille AWS KMS-nøgle, som medfører en lille månedlig omkostning), og det er en af de stærkeste beskyttelser, du kan aktivere.

Sådan fungerer DNSSEC på Route 53

Route 53 deler opgaven på en måde, der er værd at forstå, inden du begynder:

• Route 53 signerer din hosted zone med en nøgle gemt i AWS KMS (Key Management Service). Slår du signering til, publiceres de offentlige nøgler (en DNSKEY) og produceres en DS-record.
• Din registrar — det firma, du fornyer domænet hos — skal derefter publicere den DS-record i den overordnede zone (f.eks. .com), så resten af internettet stoler på signaturer.

Har du registreret domænet via Route 53 (Amazon Registrar), er registrar-trinnet stadig påkrævet, men det klares inden for AWS-konsollen. Er din registrar et andet firma, kopierer du DS-recorden manuelt derhen.

Den reelle risiko — gør dette omhyggeligt

DNSSEC kan tage hele dit domæne offline, hvis det er fejlkonfigureret. Det sker på to måder:

• En DS-record hos registraren, der ikke matcher den nøgle, Route 53 signerer med.
• Du deaktiverer signering, sletter KMS-nøglen eller flytter DNS væk fra Route 53 uden først at fjerne DS-recorden hos registraren — den forældede DS-record kræver fortsat signaturer, der ikke længere eksisterer, og opslag fejler.

Følg rækkefølgen herunder nøjagtigt. Og planlægger du nogensinde at migrere DNS væk fra Route 53, fjerner du DS-recorden hos registraren og deaktiverer signering først, derefter flytter du.

Bekræft at Route 53 kører dit DNS

Dette virker kun, hvis Route 53 svarer på DNS for dit domæne. Tjek, at dit domænes nameservers peger på de fire Route 53-nameservers, der er listet for din hosted zone. Åbn Route 53-konsollen, gå til Hosted zones, åbn dit domæne, og notér NS-recordens værdier — din registrars nameserver-indstilling skal matche disse. Peger dine nameservers et andet sted hen, aktiverer du DNSSEC hos den udbyder, der kører dit DNS i stedet.

Trin for trin på Route 53

1. Log ind på AWS-konsollen, og åbn Route 53.
2. Gå til Hosted zones, og åbn hosted zone for dit domæne.
3. Åbn fanen DNSSEC signing, og vælg Enable DNSSEC signing.
4. Til key-signing key (KSK) skal du angive en customer managed KMS-nøgle:
   • Vælg Create customer managed key (eller vælg en eksisterende egnet nøgle).
   • Nøglen skal være en asymmetrisk nøgle med brugen Sign and verify, specifikationen ECC_NIST_P256, og den skal befinde sig i regionen US East (N. Virginia) us-east-1 — Route 53 DNSSEC kræver nøglen i den region.
   • Giv KSK et navn.
5. Bekræft, og aktivér signering. Route 53 signerer nu hosted zone.
6. Stadig på fanen DNSSEC signing finder du DS record / Establish a chain of trust. Route 53 viser de værdier, du har brug for, inkl. Key Tag, Signing algorithm, Digest algorithm og Digest (og ofte en færdiglavet DS-record-linje).
7. Gå nu til din registrar, og tilføj DS-recorden:
   • Er domænet registreret i Route 53 (Amazon Registrar): konsollen kan guide dig igennem det under domænets indstillinger — eller kopiér værdierne ind i domænets DNSSEC-sektion.
   • Er din registrar et andet firma: åbn dets DNSSEC-/DS-record-sektion, og angiv præcis de værdier fra trin 6 — Key Tag, Algorithm (typisk 13), Digest Type (typisk 2) og Digest.
8. Gem hos registraren. Tillidskæden er komplet, når DS-recorden er accepteret i den overordnede zone.

Fælder folk typisk falder i på Route 53

• KMS-nøglen skal være i us-east-1. Route 53 DNSSEC accepterer ikke en KSK-nøgle fra en anden region — det er den første faldgrube.
• Brug den rigtige nøgletype. Den skal være en asymmetrisk, sign-and-verify, ECC_NIST_P256 KMS-nøgle. En symmetrisk eller forkert-spec nøgle virker ikke som KSK.
• To systemer, ikke ét. At aktivere signering i Route 53 alene gør ingen forskel i sig selv — DS-recorden skal også nå registraren. Folk stopper efter trin 5 og undrer sig over, at det aldrig validerer.
• Kopiér digest nøjagtigt. Et enkelt forkert tegn i Digest betyder, at registrarens DS-record ikke matcher Route 53’s signeringsnøgle — præcis den fejlkonfiguration, der tager et domæne offline. Indsæt, skriv aldrig om manuelt.
• Slet ikke KMS-nøglen, mens signering er aktiv. Og fjern aldrig DS-recorden hos registraren, mens Route 53 stadig signerer.
• Deaktivér i den rigtige rækkefølge, inden du flytter DNS. For at migrere: fjern DS-recorden hos registraren, vent på at den forsvinder, deaktivér derefter signering i Route 53 — ikke omvendt.
• Giv det tid. DNSSEC-ændringer kan tage fra minutter op til en dag at propagere fuldt ud og validere.

Verificer at det virkede

Når signering er aktiveret i Route 53, og DS-recorden er på plads hos din registrar, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om DNSSEC er korrekt publiceret og betroet for dit domæne.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.