Defaults.Exposed › Configuración › DNSSEC

Cómo configurar DNSSEC en AWS Route 53

Activa la firma DNSSEC en Route 53 con una clave KMS y añade el registro DS en tu registrador para que nadie pueda falsificar tus respuestas DNS.

Por qué le importa a tu negocio

Cuando alguien visita tu sitio web o te envía un correo, su ordenador pregunta primero al sistema DNS por la dirección correcta. Esas respuestas viajan normalmente sin firmar, así que un atacante capaz de manipular la consulta puede redirigir discretamente a tus visitantes a un sitio falso o desviar tu correo a su propio servidor, mientras tu dominio real sigue apareciendo en la barra de direcciones.

DNSSEC (Extensiones de Seguridad del DNS) previene esto. Firma criptográficamente tus respuestas DNS, de modo que quien te consulte puede probar que la respuesta vino realmente de ti y no se alteró por el camino. En palabras llanas: bloquea el secuestro de dominios y el envenenamiento de caché, los ataques que vuelven tu propio dominio contra tus clientes. Como prestación es gratuita (la clave de firma usa una pequeña clave de AWS KMS, que conlleva un coste mensual menor), y es una de las protecciones más fuertes que puedes activar.

Cómo funciona DNSSEC en Route 53

Route 53 reparte el trabajo de una forma que conviene entender antes de empezar:

• Route 53 firma tu hosted zone usando una clave almacenada en AWS KMS (Key Management Service). Activar la firma publica las claves públicas (un DNSKEY) y produce un registro DS.
• Tu registrador —la empresa con la que renuevas el dominio— debe entonces publicar ese registro DS en la zona superior (por ejemplo, .com) para que el resto de internet confíe en las firmas.

Si registraste el dominio a través de Route 53 (Amazon Registrar), el paso del registrador sigue siendo necesario, pero se hace dentro de la consola de AWS. Si tu registrador es otra empresa, copias el registro DS allí a mano.

El riesgo real: hazlo con cuidado

DNSSEC puede dejar todo tu dominio fuera de línea si se configura mal. Las dos formas en que ocurre:

• Un registro DS en el registrador que no coincide con la clave con la que Route 53 está firmando.
• Desactivar la firma, eliminar la clave KMS o mover el DNS fuera de Route 53 sin retirar antes el registro DS en el registrador: el registro DS obsoleto sigue exigiendo firmas que ya no existen, y las consultas fallan.

Sigue el orden de abajo exactamente. Y si alguna vez migras el DNS fuera de Route 53, retira el registro DS en el registrador y desactiva la firma primero, y luego muévelo.

Confirma que Route 53 gestiona tu DNS

Esto solo funciona si Route 53 responde al DNS de tu dominio. Comprueba que los servidores de nombres de tu dominio apuntan a los cuatro servidores de nombres de Route 53 listados para tu hosted zone. Abre la consola de Route 53, ve a Hosted zones, abre tu dominio y anota los valores del registro NS: el ajuste de servidores de nombres de tu registrador debe coincidir con ellos. Si tus servidores de nombres apuntan a otro sitio, activa DNSSEC en el proveedor que realmente gestione tu DNS.

Paso a paso en Route 53

1. Inicia sesión en la consola de AWS y abre Route 53.
2. Ve a Hosted zones y abre la hosted zone de tu dominio.
3. Abre la pestaña DNSSEC signing y elige Enable DNSSEC signing (Activar firma DNSSEC).
4. Para la key-signing key (KSK), debes proporcionar una clave KMS gestionada por el cliente:
   • Elige Create customer managed key (Crear clave gestionada por el cliente) o selecciona una existente que sea válida.
   • La clave debe ser asimétrica con uso Sign and verify (Firmar y verificar), con la especificación ECC_NIST_P256, y debe estar en la región US East (N. Virginia) us-east-1: DNSSEC de Route 53 exige la clave en esa región.
   • Dale un nombre a la KSK.
5. Confirma y activa la firma. Route 53 firma ahora la hosted zone.
6. Aún en la pestaña DNSSEC signing, busca DS record / Establish a chain of trust (Establecer una cadena de confianza). Route 53 muestra los valores que necesitas, incluidos Key Tag, Signing algorithm, Digest algorithm y el Digest (y a menudo una línea de registro DS ya preparada).
7. Ahora ve a tu registrador y añade el registro DS:
   • Si el dominio está registrado en Route 53 (Amazon Registrar): la consola puede guiarte en ello desde los ajustes del dominio, o copia los valores en la sección DNSSEC del dominio.
   • Si tu registrador es otra empresa: abre su sección de DNSSEC / registro DS e introduce los valores del paso 6 exactamente: Key Tag, Algorithm (normalmente 13), Digest Type (normalmente 2) y el Digest.
8. Guarda en el registrador. La cadena de confianza se completa una vez que el registro DS es aceptado en la zona superior.

Detalles de Route 53 que la gente falla

• La clave KMS debe estar en us-east-1. DNSSEC de Route 53 no aceptará una clave KSK de otra región: esto es lo primero que hace tropezar a la gente.
• Usa el tipo de clave correcto. Debe ser una clave KMS asimétrica, de firmar y verificar, ECC_NIST_P256. Una clave simétrica o con especificación incorrecta no funcionará como KSK.
• Dos sistemas, no uno. Activar la firma solo en Route 53 no hace nada por sí mismo: el registro DS también debe llegar al registrador. La gente se detiene tras el paso 5 y se pregunta por qué nunca valida.
• Copia el digest exactamente. Un carácter equivocado en el Digest significa que el registro DS del registrador no coincidirá con la clave de firma de Route 53: la mala configuración exacta que deja un dominio fuera de línea. Pega, nunca lo reescribas a mano.
• No elimines la clave KMS mientras la firma esté activa. Y nunca retires el registro DS en el registrador mientras Route 53 siga firmando.
• Desactiva en el orden correcto antes de mover el DNS. Para migrar: retira el registro DS en el registrador, espera a que desaparezca y luego desactiva la firma en Route 53, no al revés.
• Dale tiempo. Los cambios de DNSSEC pueden tardar desde unos minutos hasta un día en propagarse y validarse del todo.

Comprueba que funcionó

Una vez activada la firma en Route 53 y con el registro DS en su sitio en tu registrador, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si DNSSEC está correctamente publicado y se confía en él para tu dominio.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.