Defaults.Exposed › Postavljanje › DNSSEC

Kako postaviti DNSSEC na AWS Route 53

Omogućite DNSSEC potpisivanje u Route 53 s KMS ključem i dodajte DS zapis kod registrara kako nitko ne bi mogao krivotvoriti vaše DNS odgovore.

Zašto je ovo važno za vaše poslovanje

Kada netko posjeti vašu stranicu ili vam pošalje e-poštu, njegovo računalo prvo pita DNS sustav za pravu adresu. Ti odgovori normalno putuju bez potpisa, pa napadač koji može manipulirati pretraživanjem može tiho preusmjeriti vaše posjetitelje na lažnu stranicu ili preoteti vašu e-poštu na vlastiti poslužitelj — dok se vaša prava domena i dalje pojavljuje u adresnoj traci.

DNSSEC to sprječava. Kriptografski potpisuje vaše DNS odgovore, pa svako ko vas traži može dokazati da je odgovor zaista došao od vas i nije bio izmijenjen u prijenosu. Jednostavno rečeno: blokira otmicu domene i trovanje priručne memorije, napade koji vašu vlastitu domenu koriste against vaše klijente. Kao značajka je besplatan (ključ za potpisivanje koristi mali AWS KMS ključ koji nosi mali mjesečni trošak), a jedna je od najjačih zaštita koje možete omogućiti.

Kako DNSSEC funkcionira na Route 53

Route 53 dijeli posao na način koji vrijedi razumjeti prije nego počnete:

• Route 53 potpisuje vašu hosted zonu koristeći ključ pohranjen u AWS KMS (Key Management Service). Uključivanje potpisivanja objavljuje javne ključeve (DNSKEY) i producira DS zapis.
• Vaš registrar — tvrtka kod koje obnavljate domenu — mora zatim objaviti taj DS zapis u nadređenoj zoni (na primjer .com) kako bi ostatak interneta vjerovao potpisima.

Ako ste domenu registrirali putem Route 53 (Amazon Registrar), korak s registrarom je još uvijek potreban, ali se obavlja unutar AWS konzole. Ako je vaš registrar druga tvrtka, DS zapis kopirate tamo ručno.

Pravi rizik — radite ovo pažljivo

DNSSEC može srušiti cijelu vašu domenu ako je pogrešno konfiguriran. Dva načina na koje se to događa:

• DS zapis kod registrara koji se ne podudara s ključem kojim Route 53 potpisuje.
• Onemogućivanje potpisivanja, brisanje KMS ključa ili premještanje DNS-a s Route 53 bez prethodnog uklanjanja DS zapisa kod registrara — zaostali DS zapis nastavlja zahtijevati potpise koji više ne postoje, i pretraživanja ne uspijevaju.

Slijedite redoslijed ispod točno. I ako ikad migrirate DNS s Route 53, uklonite DS zapis kod registrara i onemogućite potpisivanje, zatim se preselite.

Potvrdite da Route 53 upravlja vašim DNS-om

Ovo funkcionira samo ako Route 53 odgovara na DNS upite za vašu domenu. Provjerite da nameserveri vaše domene pokazuju na četiri Route 53 nameservera navedena za vašu hosted zonu. Otvorite Route 53 konzolu, idite na Hosted zones, otvorite svoju domenu i zabilježite vrijednosti NS zapisa — postavka nameservera kod vašeg registrara mora odgovarati ovim vrijednostima. Ako nameserveri pokazuju drugamo, omogućite DNSSEC kod pružatelja koji zapravo upravlja vašim DNS-om.

Korak po korak na Route 53

1. Prijavite se na AWS konzolu i otvorite Route 53.
2. Idite na Hosted zones i otvorite hosted zonu za svoju domenu.
3. Otvorite karticu DNSSEC signing i odaberite Enable DNSSEC signing.
4. Za key-signing key (KSK) morate navesti customer managed KMS ključ:
   • Odaberite Create customer managed key (ili odaberite postojeći prihvatljivi).
   • Ključ mora biti asimetrični ključ s upotrebom Sign and verify, koji koristi specifikaciju ECC_NIST_P256, i mora biti u regiji US East (N. Virginia) us-east-1 — Route 53 DNSSEC zahtijeva ključ u toj regiji.
   • Dajte KSK-u naziv.
5. Potvrdite i omogućite potpisivanje. Route 53 sada potpisuje hosted zonu.
6. Još uvijek na kartici DNSSEC signing, pronađite DS record / Establish a chain of trust. Route 53 prikazuje vrijednosti koje trebate, uključujući Key Tag, Signing algorithm, Digest algorithm i Digest (i često gotov redak DS zapisa).
7. Sada idite kod svog registrara i dodajte DS zapis:
   • Ako je domena registrirana u Route 53 (Amazon Registrar): konzola vas može provesti kroz to pod postavkama domene — ili kopirajte vrijednosti u odjeljak DNSSEC domene.
   • Ako je vaš registrar druga tvrtka: otvorite njezin odjeljak DNSSEC / DS zapisa i unesite vrijednosti iz koraka 6 točno — Key Tag, Algorithm (obično 13), Digest Type (obično 2) i Digest.
8. Spremite kod registrara. Lanac povjerenja je potpun kada DS zapis bude prihvaćen u nadređenoj zoni.

Česte greške na Route 53

• KMS ključ mora biti u us-east-1. Route 53 DNSSEC neće prihvatiti KSK ključ iz druge regije — ovo ljude iznenađuje prvo.
• Koristite pravu vrstu ključa. Mora biti asimetrični, sign-and-verify, ECC_NIST_P256 KMS ključ. Simetrični ili ključ pogrešne specifikacije neće raditi kao KSK.
• Dva sustava, ne jedan. Samo uključivanje potpisivanja u Route 53 samo po sebi ne radi ništa — DS zapis mora i stići do registrara. Ljudi stanu nakon koraka 5 i pitaju se zašto nikad ne prođe provjeru valjanosti.
• Kopirajte digest točno. Jedan pogrešan znak u Digestu znači da DS zapis registrara neće odgovarati Route 53 ključu za potpisivanje — točno ona pogreška koja domenu stavlja izvan mreže. Zalijepite, nikad ne prepisujte.
• Ne brišite KMS ključ dok je potpisivanje aktivno. I nikad ne uklanjajte DS zapis kod registrara dok Route 53 još uvijek potpisuje.
• Onemogućite u pravom redoslijedu prije premještanja DNS-a. Za migraciju: uklonite DS zapis kod registrara, pričekajte da se očisti, zatim onemogućite potpisivanje u Route 53 — ne obratno.
• Dajte mu vremena. DNSSEC promjene mogu potrajati od nekoliko minuta do dana da se u potpunosti propagiraju i provjere valjanosti.

Provjerite je li uspjelo

Kada je potpisivanje omogućeno u Route 53 i DS zapis je na svom mjestu kod registrara, pokrenite besplatnu provjeru na ovoj stranici. Reći će vam jasno je li DNSSEC ispravno objavljen i pouzdano postavljen za vašu domenu.

Gotovo? Provjerite svoju domenu besplatno kako biste potvrdili da je uspjelo — i vidjeli svoju cjelovitu ocjenu prema svih 34 provjera.