Defaults.Exposed › Configurazione › DNSSEC

Come configurare il DNSSEC su AWS Route 53

Attiva la firma DNSSEC in Route 53 con una chiave KMS e aggiungi il record DS presso il tuo registrar così nessuno può falsificare le tue risposte DNS.

Perché è importante per la tua azienda

Quando qualcuno visita il tuo sito o ti invia un’email, il suo computer chiede prima al sistema DNS l’indirizzo corretto. Quelle risposte normalmente viaggiano senza firma, perciò un malintenzionato in grado di manomettere la richiesta può silenziosamente reindirizzare i tuoi visitatori verso un sito falso o reindirizzare la tua email al proprio server — mentre il tuo vero dominio compare ancora nella barra degli indirizzi.

Il DNSSEC previene tutto questo. Firma crittograficamente le tue risposte DNS, così chiunque ti cerchi può dimostrare che la risposta proviene davvero da te e non è stata alterata in transito. In parole semplici: blocca il dirottamento del dominio e il cache poisoning, gli attacchi che rivoltano il tuo stesso dominio contro i tuoi clienti. È gratuito come funzionalità (la chiave di firma usa una piccola chiave AWS KMS, che comporta un modesto costo mensile) ed è una delle protezioni più forti che puoi attivare.

Come funziona il DNSSEC su Route 53

Route 53 suddivide il lavoro in un modo che vale la pena capire prima di iniziare:

• Route 53 firma la tua hosted zone usando una chiave conservata in AWS KMS (Key Management Service). Attivare la firma pubblica le chiavi pubbliche (un DNSKEY) e produce un record DS.
• Il tuo registrar — l’azienda con cui rinnovi il dominio — deve poi pubblicare quel record DS nella zona genitore (per esempio .com) così il resto di internet si fida delle firme.

Se hai registrato il dominio tramite Route 53 (Amazon Registrar), il passaggio del registrar è comunque necessario, ma si fa all’interno della console AWS. Se il tuo registrar è un’azienda diversa, copi lì il record DS a mano.

Il rischio reale — fallo con attenzione

Il DNSSEC può mettere offline l’intero dominio se è configurato male. I due modi in cui ciò accade:

• Un record DS presso il registrar che non corrisponde alla chiave con cui Route 53 sta firmando.
• Disattivare la firma, eliminare la chiave KMS o spostare il DNS lontano da Route 53 senza rimuovere prima il record DS presso il registrar — il record DS obsoleto continua a richiedere firme che non esistono più, e le ricerche falliscono.

Segui esattamente l’ordine qui sotto. E se mai migri il DNS via da Route 53, rimuovi il record DS presso il registrar e disattiva la firma prima, poi sposta.

Verifica che sia Route 53 a gestire il tuo DNS

Funziona solo se è Route 53 a rispondere al DNS per il tuo dominio. Controlla che i nameserver del tuo dominio puntino ai quattro nameserver Route 53 elencati per la tua hosted zone. Apri la console Route 53, vai su Hosted zones, apri il tuo dominio e annota i valori del record NS — l’impostazione dei nameserver presso il tuo registrar deve corrispondere a questi. Se i tuoi nameserver puntano altrove, attiva il DNSSEC presso il provider che gestisce davvero il tuo DNS.

Passo dopo passo su Route 53

1. Accedi alla console AWS e apri Route 53.
2. Vai su Hosted zones e apri la hosted zone del tuo dominio.
3. Apri la scheda DNSSEC signing e scegli Enable DNSSEC signing.
4. Per la key-signing key (KSK), devi fornire una chiave KMS customer managed:
   • Scegli Create customer managed key (oppure seleziona una esistente idonea).
   • La chiave deve essere una chiave asimmetrica con utilizzo Sign and verify, con specifica ECC_NIST_P256, e deve trovarsi nella regione US East (N. Virginia) us-east-1 — il DNSSEC di Route 53 richiede la chiave in quella regione.
   • Assegna un nome alla KSK.
5. Conferma e attiva la firma. Route 53 ora firma la hosted zone.
6. Sempre nella scheda DNSSEC signing, trova DS record / Establish a chain of trust. Route 53 mostra i valori che ti servono, inclusi Key Tag, Signing algorithm, Digest algorithm e il Digest (e spesso una riga di record DS già pronta).
7. Ora vai dal tuo registrar e aggiungi il record DS:
   • Se il dominio è registrato in Route 53 (Amazon Registrar): la console può guidarti nelle impostazioni del dominio — oppure copia i valori nella sezione DNSSEC del dominio.
   • Se il tuo registrar è un’azienda diversa: apri la sua sezione DNSSEC / record DS e inserisci esattamente i valori del passaggio 6 — Key Tag, Algorithm (di solito 13), Digest Type (di solito 2) e il Digest.
8. Salva presso il registrar. La catena di fiducia è completa quando il record DS è accettato nella zona genitore.

Errori frequenti su Route 53

• La chiave KMS deve essere in us-east-1. Il DNSSEC di Route 53 non accetta una chiave KSK di un’altra regione — è la prima cosa che fa inciampare.
• Usa il tipo di chiave giusto. Deve essere una chiave KMS asimmetrica, sign-and-verify, ECC_NIST_P256. Una chiave simmetrica o con specifica errata non funzionerà come KSK.
• Due sistemi, non uno. Attivare la firma solo in Route 53 non fa nulla da solo — il record DS deve raggiungere anche il registrar. Le persone si fermano dopo il passaggio 5 e si chiedono perché non si convalida mai.
• Copia il digest esattamente. Un carattere sbagliato nel Digest significa che il record DS del registrar non corrisponderà alla chiave di firma di Route 53 — l’esatta configurazione errata che mette un dominio offline. Incolla, non riscrivere mai.
• Non eliminare la chiave KMS mentre la firma è attiva. E non rimuovere mai il record DS presso il registrar mentre Route 53 sta ancora firmando.
• Disattiva nell’ordine giusto prima di spostare il DNS. Per migrare via: rimuovi il record DS presso il registrar, attendi che si propaghi, poi disattiva la firma in Route 53 — non il contrario.
• Dagli tempo. Le modifiche DNSSEC possono richiedere da pochi minuti fino a un giorno per propagarsi e convalidarsi del tutto.

Verifica che abbia funzionato

Una volta attivata la firma in Route 53 e con il record DS in posizione presso il tuo registrar, esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il DNSSEC è pubblicato e considerato attendibile correttamente per il tuo dominio.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.