Defaults.Exposed › Seadistamine › DNSSEC

Kuidas seadistada DNSSEC AWS Route 53-s

Luba Route 53-s DNSSEC-allkirjastamine KMS-võtmega ja lisa DS-kirje oma registripidaja juures, et keegi ei saaks sinu DNS-vastuseid võltsida.

Miks see on teie ettevõtte jaoks oluline

Kui keegi külastab teie veebisaiti või saadab teile meili, küsib nende arvuti esmalt DNS-süsteemilt õiget aadressi. Need vastused liiguvad tavaliselt allkirjastamata, nii et otsingut häirida suutev ründaja saab vaikselt suunata teie külastajad võltsveebisaidile või ümber suunata teie meilid oma serverisse — samal ajal kui teie päris domeen on ikka nähtav aadressiribal.

DNSSEC takistab seda. See krüptograafiliselt allkirjastab teie DNS-vastused, nii et teie otsija saab tõendada, et vastus tuli tõesti teilt ja seda pole teel muudetud. Lihtsalt öeldes: see blokeerib domeeni kaaperdamise ja vahemälu mürgitamise, rünnakud, mis muudavad teie enda domeeni teie klientide vastu. See on funktsioonina tasuta (allkirjastamisvõti kasutab väikest AWS KMS-võtit, millel on väike igakuine kulu) ja üks tugevamaid kaitsemeetmeid, mida saate lubada.

Kuidas DNSSEC Route 53-s toimib

Route 53 jagab töö viisil, mida tasub enne alustamist mõista:

• Route 53 allkirjastab teie hostitud tsooni, kasutades AWS KMS-is (Key Management Service) talletatud võtit. Allkirjastamise sisselülitamine avaldab avalikud võtmed (DNSKEY) ja loob DS-kirje.
• Teie registripidaja — ettevõte, kus te domeeni uuendate — peab seejärel avaldama selle DS-kirje ülemises tsoonis (näiteks .com), nii et ülejäänud internet usaldab allkirju.

Kui registreerisite domeeni Route 53 kaudu (Amazon Registrar), on registripidaja samm siiski vajalik, kuid see tehakse AWS-i konsoolis. Kui teie registripidaja on mõni teine ettevõte, kopeerite DS-kirje sinna käsitsi.

Tegelik risk — tehke seda hoolikalt

DNSSEC võib vale seadistuse korral kogu teie domeeni veebist eemaldada. Seda juhtub kahel viisil:

• Registripidaja juures olev DS-kirje, mis ei vasta võtmele, millega Route 53 allkirjastab.
• Allkirjastamise keelamine, KMS-võtme kustutamine või DNS-i Route 53-st eemale kolimine ilma DS-kirjet registripidaja juures esmalt eemaldamata — vana DS-kirje nõuab jätkuvalt allkirju, mida enam pole, ja otsingud ebaõnnestuvad.

Järgige allolevat järjekorda täpselt. Ja kui kunagi migreerite DNS-i Route 53-st eemale, eemaldage DS-kirje registripidaja juures ja keelake allkirjastamine esmalt, seejärel kolite.

Kinnita, et Route 53 haldab sinu DNS-i

See töötab ainult siis, kui Route 53 vastab sinu domeeni DNS-päringutele. Kinnitage, et teie domeeni nimeserverid osutavad neljale Route 53 nimeserverile, mis on loetletud teie hostitud tsooni jaoks. Avage Route 53 konsool, minge jaotisse Hosted zones, avage oma domeen ja märkige kirje NS väärtused — teie registripidaja nimeserveri seadistus peab nendega vastama. Kui nimeserverid osutavad mujale, lubage DNSSEC selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Samm-sammuline juhend Route 53-s

1. Logige AWS-i konsooli sisse ja avage Route 53.
2. Minge jaotisse Hosted zones ja avage oma domeeni hostitud tsoon.
3. Avage vahekaart DNSSEC signing ja valige Enable DNSSEC signing.
4. Võtmeallakirjastamise võtme (KSK) jaoks peate esitama kliendi hallatava KMS-võtme:
   • Valige Create customer managed key (või valige olemasolev sobiv).
   • Võti peab olema asümmeetriline võti kasutusega Sign and verify, kasutades spetsifikatsiooni ECC_NIST_P256, ja see peab olema piirkonnas US East (N. Virginia) us-east-1 — Route 53 DNSSEC nõuab võtit selles piirkonnas.
   • Andke KSK-le nimi.
5. Kinnitage ja lubage allkirjastamine. Route 53 allkirjastab nüüd hostitud tsooni.
6. Jätkates vahekaardil DNSSEC signing, leidke DS record / Establish a chain of trust. Route 53 kuvab vajalikud väärtused, sealhulgas Key Tag, Signing algorithm, Digest algorithm ja Digest (ja sageli valmis DS-kirje rea).
7. Minge nüüd oma registripidaja juurde ja lisage DS-kirje:
   • Kui domeen on registreeritud Route 53-s (Amazon Registrar): konsool saab teid sellest läbi juhatada domeeni seadetes — või kopeerige väärtused domeeni DNSSEC sektsiooni.
   • Kui registripidaja on mõni teine ettevõte: avage selle DNSSEC / DS-kirje jaotis ja sisestage 6. sammust saadud väärtused täpselt — Key Tag, Algorithm (tavaliselt 13), Digest Type (tavaliselt 2) ja Digest.
8. Salvestage registripidaja juures. Usaldusahel on täielik, kui DS-kirje on ülemises tsoonis vastu võetud.

Levinud vead Route 53-s

• KMS-võti peab olema us-east-1-s. Route 53 DNSSEC ei aktsepteeri KSK-võtit muust piirkonnast — see on esimene komistuskoht.
• Kasutage õiget võtmetüüpi. See peab olema asümmeetriline, allkirjasta-ja-kontrolli, ECC_NIST_P256 KMS-võti. Sümmeetriline või vale spetsifikatsiooniga võti ei tööta KSK-na.
• Kaks süsteemi, mitte üks. Route 53-s allkirjastamise lubamine üksi ei tee midagi — DS-kirje peab jõudma ka registripidajani. Inimesed peatuvad pärast 5. sammu ja imestavad, miks see kunagi valideerimist ei läbi.
• Kopeerige digest täpselt. Üks vale märk Digest-is tähendab, et registripidaja DS-kirje ei vasta Route 53-e allkirjastamisvõtmele — see on täpselt see väärkonfiguratsioon, mis domeeni veebist eemaldab. Kleepige, ärge kunagi sisestage käsitsi.
• Ärge kustutage KMS-võtit, kui allkirjastamine on aktiivne. Ja ärge kunagi eemaldage DS-kirjet registripidaja juures, kui Route 53 veel allkirjastab.
• Keelake õiges järjekorras enne DNS-i kolimist. Migreerimiseks: eemaldage DS-kirje registripidaja juures, oodake selle levimist, seejärel keelake allkirjastamine Route 53-s — mitte vastupidi.
• Andke aega. DNSSEC-muudatused võivad täieliku levimise ja valideerimiseni võtta mõnest minutist kuni ühe päevani.

Kontrolli, kas see töötas

Kui allkirjastamine on Route 53-s lubatud ja DS-kirje on registripidaja juures paigas, käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas DNSSEC on sinu domeeni jaoks korrektselt avaldatud ja usaldusväärne.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.