Defaults.Exposed › Einrichtung › DNSSEC

So richten Sie DNSSEC bei AWS Route 53 ein

Aktivieren Sie die DNSSEC-Signierung in Route 53 mit einem KMS-Schlüssel und hinterlegen Sie den DS-Eintrag bei Ihrem Registrar, damit niemand Ihre DNS-Antworten fälschen kann.

Warum das für Ihr Geschäft wichtig ist

Wenn jemand Ihre Website besucht oder Ihnen eine E-Mail schickt, fragt sein Computer zuerst das DNS-System nach der richtigen Adresse. Diese Antworten reisen normalerweise unsigniert, sodass ein Angreifer, der die Abfrage manipulieren kann, Ihre Besucher unbemerkt auf eine gefälschte Seite umleiten oder Ihre E-Mails auf seinen eigenen Server umleiten kann — während Ihre echte Domain weiterhin in der Adresszeile erscheint.

DNSSEC (Domain Name System Security Extensions, die kryptografische Absicherung des DNS) verhindert dies. Es signiert Ihre DNS-Antworten kryptografisch, sodass jeder, der Sie nachschlägt, nachweisen kann, dass die Antwort wirklich von Ihnen stammt und unterwegs nicht verändert wurde. Im Klartext: Es blockiert Domain-Hijacking und Cache-Poisoning — die Angriffe, die Ihre eigene Domain gegen Ihre Kunden wenden. Die Funktion selbst ist kostenfrei (der Signier-Schlüssel nutzt einen kleinen AWS-KMS-Schlüssel, der geringe monatliche Kosten verursacht), und sie ist einer der stärksten Schutzmechanismen, die Sie aktivieren können.

Wie DNSSEC bei Route 53 funktioniert

Route 53 teilt die Aufgabe auf eine Weise auf, die man vor dem Start verstehen sollte:

• Route 53 signiert Ihre Hosted Zone mit einem in AWS KMS (Key Management Service) gespeicherten Schlüssel. Das Einschalten der Signierung veröffentlicht die öffentlichen Schlüssel (einen DNSKEY) und erzeugt einen DS-Eintrag (Delegation Signer).
• Ihr Registrar — das Unternehmen, bei dem Sie die Domain verlängern — muss dann diesen DS-Eintrag in der übergeordneten Zone (zum Beispiel .com) veröffentlichen, damit der Rest des Internets den Signaturen vertraut.

Wenn Sie die Domain über Route 53 (Amazon Registrar) registriert haben, ist der Registrar-Schritt weiterhin erforderlich, wird aber innerhalb der AWS-Konsole erledigt. Ist Ihr Registrar ein anderes Unternehmen, kopieren Sie den DS-Eintrag dort von Hand hinein.

Das eigentliche Risiko — gehen Sie sorgfältig vor

DNSSEC kann Ihre ganze Domain offline nehmen, wenn es falsch konfiguriert ist. Die zwei Wege dorthin:

• Ein DS-Eintrag beim Registrar, der nicht zu dem Schlüssel passt, mit dem Route 53 signiert.
• Das Deaktivieren der Signierung, das Löschen des KMS-Schlüssels oder das Verlagern des DNS von Route 53 weg ohne vorheriges Entfernen des DS-Eintrags beim Registrar — der veraltete DS-Eintrag verlangt weiterhin Signaturen, die es nicht mehr gibt, und Abfragen schlagen fehl.

Folgen Sie der Reihenfolge unten genau. Und wenn Sie das DNS jemals von Route 53 weg migrieren, entfernen Sie den DS-Eintrag beim Registrar und deaktivieren die Signierung zuerst, dann ziehen Sie um.

Prüfen Sie, ob Route 53 Ihr DNS betreibt

Das funktioniert nur, wenn Route 53 das DNS für Ihre Domain beantwortet. Prüfen Sie, ob die Nameserver Ihrer Domain auf die vier Route-53-Nameserver zeigen, die für Ihre Hosted Zone aufgeführt sind. Öffnen Sie die Route 53-Konsole, gehen Sie zu Hosted zones, öffnen Sie Ihre Domain und notieren Sie die NS-Eintragswerte — die Nameserver-Einstellung Ihres Registrars muss diesen entsprechen. Zeigen Ihre Nameserver woanders hin, aktivieren Sie DNSSEC bei dem Anbieter, der Ihr DNS betreibt.

Schritt für Schritt bei Route 53

1. Melden Sie sich an der AWS-Konsole an und öffnen Sie Route 53.
2. Gehen Sie zu Hosted zones und öffnen Sie die Hosted Zone für Ihre Domain.
3. Öffnen Sie den Reiter DNSSEC signing und wählen Sie Enable DNSSEC signing.
4. Für den Key-Signing-Key (KSK) müssen Sie einen vom Kunden verwalteten KMS-Schlüssel bereitstellen:
   • Wählen Sie Create customer managed key (oder wählen Sie einen vorhandenen geeigneten).
   • Der Schlüssel muss ein asymmetrischer Schlüssel mit der Verwendung Sign and verify sein, die Spezifikation ECC_NIST_P256 nutzen und in der Region US East (N. Virginia) us-east-1 liegen — Route 53 DNSSEC verlangt den Schlüssel in dieser Region.
   • Geben Sie dem KSK einen Namen.
5. Bestätigen Sie und aktivieren Sie die Signierung. Route 53 signiert nun die Hosted Zone.
6. Suchen Sie weiterhin auf dem Reiter DNSSEC signing nach DS record / Establish a chain of trust. Route 53 zeigt die benötigten Werte an, darunter Key Tag, Signing algorithm, Digest algorithm und den Digest (und oft eine fertige DS-Eintrag-Zeile).
7. Gehen Sie nun zu Ihrem Registrar und fügen Sie den DS-Eintrag hinzu:
   • Wenn die Domain in Route 53 (Amazon Registrar) registriert ist: Die Konsole kann Sie unter den Einstellungen der Domain durch den Vorgang führen — oder kopieren Sie die Werte in den DNSSEC-Abschnitt der Domain.
   • Wenn Ihr Registrar ein anderes Unternehmen ist: Öffnen Sie dessen DNSSEC- / DS-Eintrag-Abschnitt und geben Sie die Werte aus Schritt 6 exakt ein — Key Tag, Algorithm (typischerweise 13), Digest Type (typischerweise 2) und den Digest.
8. Speichern Sie beim Registrar. Die Vertrauenskette ist vollständig, sobald der DS-Eintrag in der übergeordneten Zone akzeptiert ist.

Route-53-Eigenheiten, die häufig falsch gemacht werden

• Der KMS-Schlüssel muss in us-east-1 liegen. Route 53 DNSSEC akzeptiert keinen KSK-Schlüssel aus einer anderen Region — das bringt viele zuerst aus dem Tritt.
• Verwenden Sie den richtigen Schlüsseltyp. Es muss ein asymmetrischer, Sign-and-verify-, ECC_NIST_P256-KMS-Schlüssel sein. Ein symmetrischer oder falsch spezifizierter Schlüssel funktioniert nicht als KSK.
• Zwei Systeme, nicht eines. Die Signierung allein in Route 53 zu aktivieren, bewirkt für sich nichts — der DS-Eintrag muss auch den Registrar erreichen. Manche hören nach Schritt 5 auf und wundern sich, warum es nie validiert.
• Kopieren Sie den Digest exakt. Ein falsches Zeichen im Digest bedeutet, dass der DS-Eintrag des Registrars nicht zum Signier-Schlüssel von Route 53 passt — genau die Fehlkonfiguration, die eine Domain offline nimmt. Einfügen, nie abtippen.
• Löschen Sie den KMS-Schlüssel nicht, solange die Signierung aktiv ist. Und entfernen Sie den DS-Eintrag beim Registrar niemals, solange Route 53 noch signiert.
• Deaktivieren Sie in der richtigen Reihenfolge, bevor Sie das DNS verlagern. Zum Migrieren: Entfernen Sie den DS-Eintrag beim Registrar, warten Sie, bis er verschwunden ist, und deaktivieren Sie dann die Signierung in Route 53 — nicht umgekehrt.
• Geben Sie ihm Zeit. DNSSEC-Änderungen können von Minuten bis zu einem Tag brauchen, bis sie vollständig verteilt sind und validieren.

Prüfen, ob es funktioniert hat

Sobald die Signierung in Route 53 aktiviert ist und der DS-Eintrag beim Registrar vorhanden ist, führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob DNSSEC für Ihre Domain korrekt veröffentlicht ist und vertraut wird.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.