Defaults.Exposed › Asennus › DNSSEC

DNSSEC:n käyttöönotto AWS Route 53:ssa

Ota DNSSEC-allekirjoitus käyttöön Route 53:ssa KMS-avaimella ja lisää DS-tietue rekisteröijällesi, jotta kukaan ei pysty väärentämään DNS-vastauksiasi.

Miksi tämä on tärkeää yrityksellesi

Kun joku vierailee verkkosivustollasi tai lähettää sinulle sähköpostia, heidän tietokoneensa kyselee ensin DNS-järjestelmältä oikeaa osoitetta. Nämä vastaukset kulkevat normaalisti allekirjoittamattomina, joten hyökkääjä, joka pystyy manipuloimaan hakua, voi hiljaa ohjata vierailijasi väärennetylle sivustolle tai uudelleenohjata sähköpostisi omalle palvelimelleen — samalla kun oikea verkkotunnuksesi näkyy edelleen osoiterivillä.

DNSSEC estää tämän. Se allekirjoittaa DNS-vastauksesi kryptografisesti, joten sinua etsivä voi todistaa, että vastaus tuli oikeasti sinulta eikä sitä muutettu siirron aikana. Käytännössä: se estää verkkotunnuksen kaappaamisen ja välimuistimyrkytyksen — hyökkäykset, jotka kääntävät oman verkkotunnuksesi asiakkaitasi vastaan. Se on ominaisuutena maksuton (allekirjoitusavain käyttää pientä AWS KMS -avainta, josta koituu vähäinen kuukausikustannus), ja se on yksi vahvimmista suojauksista, jonka voit ottaa käyttöön.

Miten DNSSEC toimii Route 53:ssa

Route 53 jakaa työn tavalla, jonka ymmärtäminen ennen aloittamista on hyödyllistä:

• Route 53 allekirjoittaa isäntävyöhykkeesi AWS KMS:ään (Key Management Service) tallennetulla avaimella. Allekirjoituksen käyttöönotto julkaisee julkiset avaimet (DNSKEY) ja tuottaa DS-tietueen.
• Rekisteröijäsi — yritys, jolla uusit verkkotunnuksen — täytyy sitten julkaista tämä DS-tietue ylätason vyöhykkeeseen (esimerkiksi .com), jotta muu internet luottaa allekirjoituksiin.

Jos rekisteröit verkkotunnuksen Route 53:n kautta (Amazon Registrar), rekisteröijävaihe on edelleen tarpeen, mutta se tehdään AWS-konsolin sisällä. Jos rekisteröijäsi on eri yritys, kopioit DS-tietueen sinne käsin.

Todellinen riski — tee tämä huolellisesti

DNSSEC voi poistaa koko verkkotunnuksesi käytöstä, jos se on väärin konfiguroitu. Kaksi tapaa, joilla tämä tapahtuu:

• Rekisteröijällä oleva DS-tietue, joka ei vastaa avainta, jolla Route 53 allekirjoittaa.
• Allekirjoituksen poistaminen käytöstä, KMS-avaimen poistaminen tai DNS:n siirtäminen pois Route 53:sta poistamatta ensin DS-tietuetta rekisteröijältä — vanha DS-tietue vaatii edelleen allekirjoituksia, joita ei enää ole, ja haut epäonnistuvat.

Seuraa alla olevaa järjestystä täsmälleen. Ja jos aiot siirtää DNS:n pois Route 53:sta, poista DS-tietue rekisteröijältä ja poista allekirjoitus käytöstä ensin, sitten siirrä.

Varmista, että Route 53 hallinnoi DNS:äsi

Tämä toimii vain, jos Route 53 vastaa verkkotunnuksesi DNS-kyselyihin. Tarkista, että verkkotunnuksesi nimipalvelimet osoittavat neljään Route 53 -nimipalvelimeen, jotka on lueteltu isäntävyöhykkeessäsi. Avaa Route 53 -konsoli, siirry Hosted zones -kohtaan, avaa verkkotunnuksesi ja tarkista NS-tietueen arvot — rekisteröijäsi nimipalvelinasetus täytyy vastata näitä. Jos nimipalvelimesi osoittavat muualle, ota DNSSEC käyttöön sillä palveluntarjoajalla, joka hallinnoi DNS:äsi.

Vaiheittaiset ohjeet Route 53:ssa

1. Kirjaudu AWS-konsoliin ja avaa Route 53.
2. Siirry Hosted zones -kohtaan ja avaa verkkotunnuksesi isäntävyöhyke.
3. Avaa DNSSEC signing -välilehti ja valitse Enable DNSSEC signing.
4. Avainten allekirjoitusavain (KSK) -kohtaan sinun täytyy antaa asiakkaanhallittu KMS-avain:
   • Valitse Create customer managed key (tai valitse olemassa oleva sopiva).
   • Avaimen täytyy olla asymmetrinen avain, jonka käyttötarkoitus on Sign and verify ja spec on ECC_NIST_P256, ja sen täytyy sijaita US East (N. Virginia) us-east-1 -alueella — Route 53 DNSSEC vaatii avaimen tällä alueella.
   • Anna KSK:lle nimi.
5. Vahvista ja ota allekirjoitus käyttöön. Route 53 allekirjoittaa nyt isäntävyöhykkeen.
6. Edelleen DNSSEC signing -välilehdellä, etsi DS record / Establish a chain of trust. Route 53 näyttää tarvitsemasi arvot, mukaan lukien Key Tag, Signing algorithm, Digest algorithm ja Digest (ja usein valmiin DS-tietuerivin).
7. Siirry nyt rekisteröijällesi ja lisää DS-tietue:
   • Jos verkkotunnus on rekisteröity Route 53:ssa (Amazon Registrar): konsoli voi opastaa sinut sen läpi verkkotunnuksen asetusten kautta — tai kopioi arvot verkkotunnuksen DNSSEC-osioon.
   • Jos rekisteröijäsi on eri yritys: avaa sen DNSSEC / DS record -osio ja syötä vaiheen 6 arvot täsmälleen — Key Tag, Algorithm (tyypillisesti 13), Digest Type (tyypillisesti 2) ja Digest.
8. Tallenna rekisteröijällä. Luottamusketju on täydellinen, kun DS-tietue on hyväksytty ylätason vyöhykkeessä.

Route 53 -erityiset virheet

• KMS-avaimen täytyy olla us-east-1-alueella. Route 53 DNSSEC ei hyväksy KSK-avainta toiselta alueelta — tämä aiheuttaa monille ongelmia ensimmäisenä.
• Käytä oikeaa avaintyyppiä. Sen täytyy olla asymmetrinen, sign-and-verify, ECC_NIST_P256 KMS-avain. Symmetrinen tai väärän spesifikaation avain ei toimi KSK:na.
• Kaksi järjestelmää, ei yksi. Allekirjoituksen käyttöönotto Route 53:ssa yksinään ei tee mitään — DS-tietue täytyy myös toimittaa rekisteröijälle. Monet pysähtyvät vaiheen 5 jälkeen ja ihmettelevät, miksi se ei koskaan validoidu.
• Kopioi digest täsmälleen. Yksikin väärä merkki Digestissä tarkoittaa, että rekisteröijän DS-tietue ei vastaa Route 53:n allekirjoitusavainta — juuri se virheellinen konfiguraatio, joka poistaa verkkotunnuksen käytöstä. Liitä, älä kirjoita uudelleen.
• Älä poista KMS-avainta allekirjoituksen ollessa aktiivisena. Äläkä koskaan poista DS-tietuetta rekisteröijältä, kun Route 53 allekirjoittaa edelleen.
• Poista käytöstä oikeassa järjestyksessä ennen DNS:n siirtoa. Siirron yhteydessä: poista DS-tietue rekisteröijältä, odota sen poistumista, sitten poista allekirjoitus käytöstä Route 53:ssa — ei toisin päin.
• Anna muutoksille aikaa. DNSSEC-muutokset voivat kestää muutamasta minuutista vuorokauteen ennen kuin ne leviävät täysin ja validoituvat.

Tarkista, että se toimi

Kun allekirjoitus on otettu käyttöön Route 53:ssa ja DS-tietue on rekisteröijälläsi, aja ilmainen tarkistus tällä sivustolla. Se kertoo selkokielellä, onko DNSSEC julkaistu ja luotettu verkkotunnuksellesi oikein.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.