Defaults.Exposed › Persediaan › DNSSEC

Cara menyediakan DNSSEC di AWS Route 53

Hidupkan penandatanganan DNSSEC di Route 53 dengan kunci KMS dan tambah rekod DS di pendaftar anda supaya tiada siapa yang boleh memalsukan jawapan DNS anda.

Mengapa ini penting untuk perniagaan anda

Apabila seseorang melawat laman web anda atau menghantar emel kepada anda, komputer mereka terlebih dahulu bertanya sistem DNS untuk alamat yang betul. Jawapan tersebut biasanya bergerak tanpa tandatangan, jadi penyerang yang mampu mengganggu carian boleh secara senyap mengalihkan pelawat anda ke laman palsu atau mengalihkan emel anda ke pelayan mereka sendiri — sementara domain sebenar anda masih terpapar dalam bar alamat.

DNSSEC mencegah ini. Ia menandatangani jawapan DNS anda secara kriptografi, supaya sesiapa yang mencari anda boleh membuktikan jawapan itu benar-benar datang dari anda dan tidak diubah dalam transit. Dalam bahasa mudah: ia menyekat rampasan domain dan keracunan cache, serangan yang menggunakan domain anda sendiri untuk menyerang pelanggan anda. Ia percuma sebagai ciri (kunci penandatanganan menggunakan kunci AWS KMS kecil, yang membawa kos bulanan kecil), dan ia adalah salah satu perlindungan terkuat yang boleh anda hidupkan.

Cara DNSSEC berfungsi di Route 53

Route 53 membahagikan tugas dengan cara yang berbaloi untuk difahami sebelum anda mula:

• Route 53 menandatangani zon hos anda menggunakan kunci yang disimpan dalam AWS KMS (Key Management Service). Menghidupkan penandatanganan menerbitkan kunci awam (DNSKEY) dan menghasilkan rekod DS.
• Pendaftar anda — syarikat yang anda perbaharui domain dengannya — kemudian mesti menerbitkan rekod DS tersebut dalam zon induk (contohnya .com) supaya seluruh internet mempercayai tandatangan.

Jika anda mendaftarkan domain melalui Route 53 (Amazon Registrar), langkah pendaftar masih diperlukan, tetapi ia dilakukan dalam konsol AWS. Jika pendaftar anda adalah syarikat berbeza, anda menyalin rekod DS ke sana secara manual.

Risiko sebenar — lakukan ini dengan berhati-hati

DNSSEC boleh membawa domain anda sepenuhnya offline jika dikonfigurasi dengan salah. Dua cara itu berlaku:

• Rekod DS di pendaftar yang tidak sepadan dengan kunci yang ditandatangani Route 53.
• Melumpuhkan penandatanganan, memadam kunci KMS, atau memindahkan DNS dari Route 53 tanpa dahulu membuang rekod DS di pendaftar — rekod DS basi terus menuntut tandatangan yang tidak lagi wujud, dan carian gagal.

Ikut urutan di bawah dengan tepat. Dan jika anda pernah berhijrah DNS dari Route 53, buang rekod DS di pendaftar dan lumpuhkan penandatanganan dahulu, kemudian baru pindah.

Sahkan Route 53 menguruskan DNS anda

Ini hanya berfungsi jika Route 53 menjawab DNS untuk domain anda. Semak bahawa nameserver domain anda menunjuk ke empat nameserver Route 53 yang disenaraikan untuk zon hos anda. Buka konsol Route 53, pergi ke Hosted zones, buka domain anda, dan perhatikan nilai rekod NS — tetapan nameserver pendaftar anda mesti sepadan dengan ini. Jika nameserver anda menunjuk ke tempat lain, hidupkan DNSSEC di penyedia yang menguruskan DNS anda.

Langkah demi langkah di Route 53

1. Log masuk ke konsol AWS dan buka Route 53.
2. Pergi ke Hosted zones dan buka zon hos untuk domain anda.
3. Buka tab DNSSEC signing dan pilih Enable DNSSEC signing.
4. Untuk key-signing key (KSK), anda mesti menyediakan kunci KMS yang diuruskan pelanggan:
   • Pilih Create customer managed key (atau pilih yang sedia ada yang layak).
   • Kunci mesti merupakan kunci asimetri dengan penggunaan Sign and verify, menggunakan spesifikasi ECC_NIST_P256, dan ia mesti berada di rantau US East (N. Virginia) us-east-1 — DNSSEC Route 53 memerlukan kunci dalam rantau tersebut.
   • Berikan KSK nama.
5. Sahkan dan hidupkan penandatanganan. Route 53 kini menandatangani zon hos.
6. Masih pada tab DNSSEC signing, cari DS record / Establish a chain of trust. Route 53 memaparkan nilai yang anda perlukan, termasuk Key Tag, Signing algorithm, Digest algorithm, dan Digest (dan sering baris rekod DS yang sudah siap).
7. Sekarang pergi ke pendaftar anda dan tambah rekod DS:
   • Jika domain didaftarkan di Route 53 (Amazon Registrar): konsol boleh membimbing anda melaluinya di bawah tetapan domain — atau salin nilai ke bahagian DNSSEC domain.
   • Jika pendaftar anda adalah syarikat berbeza: buka bahagian DNSSEC / rekod DS-nya dan masukkan nilai dari langkah 6 dengan tepat — Key Tag, Algorithm (biasanya 13), Digest Type (biasanya 2), dan Digest.
8. Simpan di pendaftar. Rantai kepercayaan lengkap setelah rekod DS diterima dalam zon induk.

Kesilapan lazim di Route 53

• Kunci KMS mesti berada di us-east-1. DNSSEC Route 53 tidak akan menerima kunci KSK dari rantau lain — ini menjerat orang ramai pada mulanya.
• Gunakan jenis kunci yang betul. Ia mesti merupakan kunci KMS asimetri, tandatangan-dan-sahkan, ECC_NIST_P256. Kunci simetri atau spesifikasi salah tidak akan berfungsi sebagai KSK.
• Dua sistem, bukan satu. Menghidupkan penandatanganan di Route 53 sahaja tidak membuat apa-apa kesan sendiri — rekod DS juga mesti sampai ke pendaftar. Orang ramai berhenti selepas langkah 5 dan tertanya-tanya mengapa ia tidak pernah mengesahkan.
• Salin digest dengan tepat. Satu aksara yang salah dalam Digest bermakna rekod DS pendaftar tidak akan sepadan dengan kunci penandatanganan Route 53 — konfigurasi salah yang tepat yang membawa domain offline. Tampal, jangan taip semula.
• Jangan padam kunci KMS semasa penandatanganan aktif. Dan jangan sekali-kali buang rekod DS di pendaftar semasa Route 53 masih menandatangani.
• Lumpuhkan dalam urutan yang betul sebelum memindahkan DNS. Untuk berhijrah: buang rekod DS di pendaftar, tunggu ia kosong, kemudian lumpuhkan penandatanganan di Route 53 — bukan sebaliknya.
• Beri masa. Perubahan DNSSEC boleh mengambil dari beberapa minit hingga sehari untuk disebarkan sepenuhnya dan disahkan.

Sahkan ia berfungsi

Setelah penandatanganan dihidupkan di Route 53 dan rekod DS sudah ada di pendaftar anda, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada DNSSEC diterbitkan dengan betul dan dipercayai untuk domain anda.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.