Defaults.Exposed › הגדרה › DNSSEC

כיצד להגדיר DNSSEC ב-AWS Route 53

הפעל חתימת DNSSEC ב-Route 53 עם מפתח KMS והוסף את רשומת DS אצל הרשם שלך כדי שאף אחד לא יוכל לזייף את תשובות ה-DNS שלך.

למה זה חשוב לעסק שלך

כאשר מישהו מבקר באתר שלך או שולח לך דואר אלקטרוני, המחשב שלו שואל קודם את מערכת ה-DNS על הכתובת הנכונה. תשובות אלה מועברות בדרך כלל ללא חתימה, ולכן תוקף שמסוגל להתערב בבדיקה יכול בשקט להפנות את המבקרים שלך לאתר מזויף או להפנות את הדואר שלך לשרת שלו — בעוד שהדומיין האמיתי שלך עדיין מוצג בשורת הכתובת.

DNSSEC מונע זאת. הוא חותם קריפטוגרפית את תשובות ה-DNS שלך, כך שכל מי שמחפש אותך יכול להוכיח שהתשובה אכן הגיעה ממך ולא שונתה בדרך. במילים פשוטות: הוא חוסם חטיפת דומיינים והרעלת מטמון — ההתקפות שהופכות את הדומיין שלך עצמו לנשק כנגד הלקוחות שלך. זה ללא עלות נוספת כתכונה (מפתח החתימה משתמש במפתח KMS קטן ב-AWS, שמגיע עם עלות חודשית זעירה), והוא אחת ההגנות החזקות ביותר שתוכל להפעיל.

כיצד DNSSEC עובד ב-Route 53

Route 53 מחלק את העבודה בצורה ששווה להבין לפני שמתחילים:

• Route 53 חותם את ה-hosted zone שלך באמצעות מפתח המאוחסן ב-AWS KMS (Key Management Service). הפעלת החתימה מפרסמת את המפתחות הציבוריים (DNSKEY) ומייצרת רשומת DS.
• הרשם שלך — החברה שממנה אתה מחדש את הדומיין — חייב אז לפרסם את רשומת DS באזור האב (לדוגמה .com) כדי שהאינטרנט כולו יסמוך על החתימות.

אם רשמת את הדומיין דרך Route 53 (Amazon Registrar), שלב הרשם עדיין נדרש, אך הוא נעשה בתוך מסוף AWS. אם הרשם שלך הוא חברה אחרת, אתה מעתיק את רשומת ה-DS לשם ידנית.

הסיכון האמיתי — בצע זאת בזהירות

DNSSEC יכול להוציא את כל הדומיין שלך מהאוויר אם הוא מוגדר לא נכון. שתי הדרכים שבהן זה קורה:

• רשומת DS אצל הרשם שאינה תואמת למפתח שבו Route 53 חותם.
• השבתת החתימה, מחיקת מפתח ה-KMS, או מעבר ה-DNS מ-Route 53 מבלי להסיר קודם את רשומת ה-DS אצל הרשם — רשומת ה-DS הישנה ממשיכה לדרוש חתימות שכבר לא קיימות, והבדיקות נכשלות.

פעל לפי הסדר הבא בדיוק. ואם אי פעם תעבור DNS מ-Route 53, הסר את רשומת ה-DS אצל הרשם והשבת את החתימה קודם, ואז עבור.

וודא ש-Route 53 מנהל את ה-DNS שלך

זה יעבוד רק אם Route 53 הוא שמטפל ב-DNS של הדומיין שלך. בדוק ששרתי השמות של הדומיין שלך מצביעים לארבעת שרתי השמות של Route 53 המפורטים עבור ה-hosted zone שלך. פתח את מסוף Route 53, עבור ל-Hosted zones, פתח את הדומיין שלך ושים לב לערכי רשומת NS — הגדרת שרתי השמות של הרשם שלך חייבת להתאים לאלה. אם שרתי השמות שלך מצביעים למקום אחר, הפעל DNSSEC אצל הספק שמנהל את ה-DNS שלך.

שלב אחר שלב ב-Route 53

1. היכנס למסוף AWS ופתח את Route 53.
2. עבור ל-Hosted zones ופתח את ה-hosted zone עבור הדומיין שלך.
3. פתח את לשונית DNSSEC signing ובחר Enable DNSSEC signing.
4. עבור key-signing key (KSK), עליך לספק מפתח KMS מנוהל על-ידי לקוח:
   • בחר Create customer managed key (או בחר קיים מתאים).
   • המפתח חייב להיות מפתח asymmetric עם שימוש Sign and verify, תוך שימוש במפרט ECC_NIST_P256, וחייב להיות באזור US East (N. Virginia) us-east-1 — DNSSEC של Route 53 דורש שהמפתח יהיה באזור זה.
   • תן שם ל-KSK.
5. אשר והפעל את החתימה. Route 53 חותם כעת את ה-hosted zone.
6. עדיין בלשונית DNSSEC signing, מצא את DS record / Establish a chain of trust. Route 53 מציג את הערכים שאתה צריך, כולל Key Tag, Signing algorithm, Digest algorithm ואת Digest (ולעיתים שורת DS מוכנה).
7. כעת עבור לרשם שלך והוסף את רשומת ה-DS:
   • אם הדומיין רשום ב-Route 53 (Amazon Registrar): המסוף יכול להדריך אותך דרך הגדרות הדומיין — או העתק את הערכים לקטע DNSSEC של הדומיין.
   • אם הרשם שלך הוא חברה אחרת: פתח את קטע DNSSEC / DS record שלו והזן את הערכים משלב 6 בדיוק — Key Tag, Algorithm (בדרך כלל 13), Digest Type (בדרך כלל 2) ואת Digest.
8. שמור אצל הרשם. שרשרת האמון מושלמת ברגע שרשומת ה-DS מתקבלת באזור האב.

טעויות נפוצות ב-Route 53

• מפתח ה-KMS חייב להיות ב-us-east-1. DNSSEC של Route 53 לא יקבל מפתח KSK מאזור אחר — זה מה שמפיל אנשים ראשון.
• השתמש בסוג המפתח הנכון. חייב להיות מפתח KMS asymmetric, sign-and-verify, ECC_NIST_P256. מפתח symmetric או מפרט שגוי לא יפעל כ-KSK.
• שתי מערכות, לא אחת. הפעלת חתימה ב-Route 53 לבדה אינה עושה כלום — רשומת ה-DS חייבת גם להגיע לרשם. אנשים עוצרים אחרי שלב 5 ותוהים מדוע זה לא מאמת.
• העתק את ה-Digest בדיוק. תו שגוי אחד ב-Digest מאמת ש-DS של הרשם לא יתאים למפתח החתימה של Route 53 — התצורה השגויה המדויקת שמוציאה דומיין מהאוויר. הדבק, לעולם אל תקליד מחדש.
• אל תמחק את מפתח ה-KMS בזמן שהחתימה פעילה. ולעולם אל תסיר את רשומת ה-DS אצל הרשם בזמן ש-Route 53 עדיין חותם.
• השבת בסדר הנכון לפני העברת DNS. כדי לעבור: הסר את רשומת ה-DS אצל הרשם, המתן עד שהיא תתנקה, ואז השבת חתימה ב-Route 53 — לא להפך.
• תן זמן. שינויי DNSSEC יכולים לקחת מספר דקות עד יום להתפשט ולאמת לחלוטין.

אמת שזה עבד

לאחר שהחתימה מופעלת ב-Route 53 ורשומת ה-DS קיימת אצל הרשם שלך, הפעל את הבדיקה החינמית באתר זה. היא תאמר לך בשפה ברורה האם DNSSEC מפורסם ואמין כראוי עבור הדומיין שלך.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.