Defaults.Exposed › Pengaturan › DNSSEC

Cara mengatur DNSSEC di AWS Route 53

Aktifkan penandatanganan DNSSEC di Route 53 dengan kunci KMS dan tambahkan DS record di registrar Anda agar tidak ada yang bisa memalsukan jawaban DNS Anda.

Mengapa ini penting bagi bisnis Anda

Saat seseorang mengunjungi website Anda atau mengirim email kepada Anda, komputer mereka terlebih dahulu bertanya kepada sistem DNS untuk mendapatkan alamat yang tepat. Jawaban tersebut biasanya berjalan tanpa tanda tangan, sehingga penyerang yang dapat merusak pencarian bisa diam-diam mengalihkan pengunjung Anda ke situs palsu atau mengalihkan email Anda ke server mereka sendiri — sementara domain Anda yang asli tetap terlihat di address bar.

DNSSEC mencegah ini. Ia menandatangani jawaban DNS Anda secara kriptografis, sehingga siapa pun yang mencari Anda dapat membuktikan bahwa jawabannya benar-benar berasal dari Anda dan tidak diubah dalam perjalanan. Singkatnya: ini memblokir pembajakan domain dan keracunan cache, serangan yang menggunakan domain Anda sendiri untuk melawan pelanggan Anda. Gratis sebagai fitur (kunci penandatanganan menggunakan kunci AWS KMS kecil, yang membawa biaya bulanan kecil), dan ini adalah salah satu perlindungan terkuat yang bisa Anda aktifkan.

Cara DNSSEC bekerja di Route 53

Route 53 membagi pekerjaan dengan cara yang layak dipahami sebelum Anda mulai:

• Route 53 menandatangani hosted zone Anda menggunakan kunci yang disimpan di AWS KMS (Key Management Service). Mengaktifkan penandatanganan menerbitkan kunci publik (sebuah DNSKEY) dan menghasilkan DS record.
• Registrar Anda — perusahaan tempat Anda memperbarui domain — kemudian harus menerbitkan DS record tersebut ke zone induk (misalnya .com) agar internet lainnya mempercayai tanda tangan.

Jika Anda mendaftarkan domain melalui Route 53 (Amazon Registrar), langkah registrar masih diperlukan, tetapi dilakukan dalam konsol AWS. Jika registrar Anda adalah perusahaan lain, Anda menyalin DS record ke sana secara manual.

Risiko nyata — lakukan ini dengan hati-hati

DNSSEC dapat membuat seluruh domain Anda offline jika salah dikonfigurasi. Dua cara itu terjadi:

• DS record di registrar yang tidak cocok dengan kunci yang digunakan Route 53 untuk menandatangani.
• Menonaktifkan penandatanganan, menghapus kunci KMS, atau memindahkan DNS dari Route 53 tanpa terlebih dahulu menghapus DS record di registrar — DS record basi terus menuntut tanda tangan yang sudah tidak ada, dan pencarian gagal.

Ikuti urutan di bawah ini dengan tepat. Dan jika Anda pernah bermigrasi DNS keluar dari Route 53, hapus DS record di registrar dan nonaktifkan penandatanganan terlebih dahulu, lalu pindah.

Pastikan Route 53 mengelola DNS Anda

Ini hanya berfungsi jika Route 53 yang menjawab permintaan DNS untuk domain Anda. Periksa bahwa nameserver domain Anda mengarah ke empat nameserver Route 53 yang terdaftar untuk hosted zone Anda. Buka konsol Route 53, pergi ke Hosted zones, buka domain Anda, dan catat nilai record NS — pengaturan nameserver di registrar Anda harus cocok dengan ini. Jika nameserver Anda mengarah ke tempat lain, aktifkan DNSSEC di penyedia yang mengelola DNS Anda.

Langkah-langkah di Route 53

1. Masuk ke konsol AWS dan buka Route 53.
2. Pergi ke Hosted zones dan buka hosted zone untuk domain Anda.
3. Buka tab DNSSEC signing dan pilih Enable DNSSEC signing.
4. Untuk key-signing key (KSK), Anda harus menyediakan kunci KMS yang dikelola pelanggan:
   • Pilih Create customer managed key (atau pilih yang sudah ada yang memenuhi syarat).
   • Kunci harus berupa kunci asimetris dengan penggunaan Sign and verify, menggunakan spesifikasi ECC_NIST_P256, dan harus berada di region US East (N. Virginia) us-east-1 — DNSSEC Route 53 membutuhkan kunci di region tersebut.
   • Berikan nama KSK.
5. Konfirmasi dan aktifkan penandatanganan. Route 53 sekarang menandatangani hosted zone.
6. Masih di tab DNSSEC signing, temukan DS record / Establish a chain of trust. Route 53 menampilkan nilai yang Anda butuhkan, termasuk Key Tag, Signing algorithm, Digest algorithm, dan Digest (dan sering sebuah baris DS record siap pakai).
7. Sekarang pergi ke registrar Anda dan tambahkan DS record:
   • Jika domain terdaftar di Route 53 (Amazon Registrar): konsol dapat memandu Anda melaluinya di bawah pengaturan domain — atau salin nilai ke bagian DNSSEC domain.
   • Jika registrar Anda adalah perusahaan lain: buka bagian DNSSEC / DS record-nya dan masukkan nilai dari langkah 6 dengan tepat — Key Tag, Algorithm (biasanya 13), Digest Type (biasanya 2), dan Digest.
8. Simpan di registrar. Rantai kepercayaan selesai setelah DS record diterima di zone induk.

Kesalahan umum di Route 53

• Kunci KMS harus berada di us-east-1. DNSSEC Route 53 tidak akan menerima kunci KSK dari region lain — ini yang pertama kali menjebak orang.
• Gunakan tipe kunci yang tepat. Harus berupa kunci KMS asimetris, sign-and-verify, ECC_NIST_P256. Kunci simetris atau yang spesifikasinya salah tidak akan berfungsi sebagai KSK.
• Dua sistem, bukan satu. Mengaktifkan penandatanganan di Route 53 saja tidak melakukan apa pun sendiri — DS record juga harus mencapai registrar. Orang-orang berhenti setelah langkah 5 dan bertanya-tanya mengapa tidak pernah tervalidasi.
• Salin digest dengan tepat. Satu karakter yang salah di Digest berarti DS record registrar tidak akan cocok dengan kunci penandatanganan Route 53 — konfigurasi yang salah persis yang membuat domain offline. Tempel, jangan ketik ulang.
• Jangan hapus kunci KMS saat penandatanganan aktif. Dan jangan pernah hapus DS record di registrar saat Route 53 masih menandatangani.
• Nonaktifkan dalam urutan yang tepat sebelum memindahkan DNS. Untuk bermigrasi: hapus DS record di registrar, tunggu sampai bersih, lalu nonaktifkan penandatanganan di Route 53 — bukan sebaliknya.
• Berikan waktu. Perubahan DNSSEC bisa memakan waktu dari beberapa menit hingga sehari untuk sepenuhnya tersebar dan tervalidasi.

Verifikasi bahwa ini berhasil

Setelah penandatanganan diaktifkan di Route 53 dan DS record sudah terpasang di registrar Anda, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah DNSSEC sudah diterbitkan dengan benar dan dipercaya untuk domain Anda.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.