Defaults.Exposed › Instellen › DNSSEC

DNSSEC instellen bij AWS Route 53

Schakel DNSSEC-ondertekening in bij Route 53 met een KMS-sleutel en voeg het DS-record toe bij uw registrar, zodat niemand uw DNS-antwoorden kan vervalsen.

Waarom dit belangrijk is voor uw bedrijf

Wanneer iemand uw website bezoekt of u een e-mail stuurt, vraagt zijn computer eerst het DNS-systeem om het juiste adres. Die antwoorden reizen normaal gesproken ondertekenloos, dus een aanvaller die de opzoeking kan manipuleren, kan uw bezoekers ongemerkt omleiden naar een nepsite of uw e-mail omleiden naar zijn eigen server — terwijl uw echte domein nog steeds in de adresbalk verschijnt.

DNSSEC (DNS Security Extensions, een laag die DNS-antwoorden ondertekent) voorkomt dit. Het ondertekent uw DNS-antwoorden cryptografisch, zodat iedereen die u opzoekt kan bewijzen dat het antwoord echt van u kwam en onderweg niet is gewijzigd. Eenvoudig gezegd: het blokkeert domeinkaping en cache-vergiftiging, de aanvallen die uw eigen domein tegen uw klanten keren. Het is als functie gratis (de ondertekeningssleutel gebruikt een kleine AWS KMS-sleutel, die kleine maandelijkse kosten met zich meebrengt), en het is een van de sterkste beschermingen die u kunt inschakelen.

Hoe DNSSEC werkt bij Route 53

Route 53 verdeelt de klus op een manier die de moeite waard is om te begrijpen voordat u begint:

• Route 53 ondertekent uw hosted zone met een sleutel die in AWS KMS (Key Management Service) is opgeslagen. Ondertekening inschakelen publiceert de openbare sleutels (een DNSKEY) en levert een DS-record op.
• Uw registrar — het bedrijf waar u het domein verlengt — moet dat DS-record vervolgens publiceren in de bovenliggende zone (bijvoorbeeld .com) zodat de rest van het internet de handtekeningen vertrouwt.

Heeft u het domein via Route 53 (Amazon Registrar) geregistreerd, dan is de registrar-stap nog steeds nodig, maar wordt die binnen de AWS-console gedaan. Is uw registrar een ander bedrijf, dan kopieert u het DS-record daar handmatig naartoe.

Het echte risico — doe dit zorgvuldig

DNSSEC kan uw hele domein offline halen als het verkeerd is geconfigureerd. De twee manieren waarop dat gebeurt:

• Een DS-record bij de registrar dat niet overeenkomt met de sleutel waarmee Route 53 ondertekent.
• Ondertekening uitschakelen, de KMS-sleutel verwijderen of DNS weg van Route 53 verplaatsen zonder eerst het DS-record bij de registrar te verwijderen — het verouderde DS-record blijft handtekeningen eisen die niet meer bestaan, en opzoekingen mislukken.

Volg de onderstaande volgorde precies. En migreert u ooit DNS weg van Route 53, verwijder dan eerst het DS-record bij de registrar en schakel ondertekening uit, en verplaats daarna.

Controleer of Route 53 uw DNS beheert

Dit werkt alleen als Route 53 de DNS voor uw domein beantwoordt. Controleer of de naamservers van uw domein naar de vier Route 53-naamservers wijzen die voor uw hosted zone zijn vermeld. Open de Route 53-console, ga naar Hosted zones, open uw domein en noteer de waarden van het NS-record — de naamserverinstelling van uw registrar moet hiermee overeenkomen. Wijzen uw naamservers ergens anders heen, schakel DNSSEC dan in bij de provider die uw DNS beheert.

Stap voor stap bij Route 53

1. Log in bij de AWS-console en open Route 53.
2. Ga naar Hosted zones en open de hosted zone voor uw domein.
3. Open het tabblad DNSSEC signing en kies Enable DNSSEC signing.
4. Voor de key-signing key (KSK) moet u een customer managed KMS-sleutel opgeven:
   • Kies Create customer managed key (of selecteer een bestaande geschikte sleutel).
   • De sleutel moet een asymmetrische sleutel zijn met gebruik Sign and verify, met de spec ECC_NIST_P256, en moet zich in de regio US East (N. Virginia) us-east-1 bevinden — Route 53 DNSSEC vereist de sleutel in die regio.
   • Geef de KSK een naam.
5. Bevestig en schakel ondertekening in. Route 53 ondertekent nu de hosted zone.
6. Zoek nog steeds op het tabblad DNSSEC signing naar DS record / Establish a chain of trust. Route 53 toont de waarden die u nodig heeft, waaronder Key Tag, Signing algorithm, Digest algorithm en de Digest (en vaak een kant-en-klare DS-recordregel).
7. Ga nu naar uw registrar en voeg het DS-record toe:
   • Is het domein in Route 53 geregistreerd (Amazon Registrar): de console kan u erdoorheen leiden onder de instellingen van het domein — of kopieer de waarden naar het DNSSEC-gedeelte van het domein.
   • Is uw registrar een ander bedrijf: open het DNSSEC- / DS-record-gedeelte daar en voer de waarden uit stap 6 exact in — Key Tag, Algorithm (doorgaans 13), Digest Type (doorgaans 2) en de Digest.
8. Sla op bij de registrar. De vertrouwensketen is compleet zodra het DS-record in de bovenliggende zone is geaccepteerd.

Route 53-valkuilen waar mensen instappen

• De KMS-sleutel moet in us-east-1 staan. Route 53 DNSSEC accepteert geen KSK-sleutel uit een andere regio — hier struikelen mensen het eerst over.
• Gebruik het juiste sleuteltype. Het moet een asymmetrische, sign-and-verify, ECC_NIST_P256 KMS-sleutel zijn. Een symmetrische of verkeerd-spec sleutel werkt niet als KSK.
• Twee systemen, niet één. Ondertekening alleen in Route 53 inschakelen doet op zichzelf niets — het DS-record moet ook bij de registrar terechtkomen. Mensen stoppen na stap 5 en vragen zich af waarom het nooit valideert.
• Kopieer de digest exact. Eén verkeerd teken in de Digest betekent dat het DS-record van de registrar niet overeenkomt met de ondertekeningssleutel van Route 53 — precies de misconfiguratie die een domein offline haalt. Plakken, nooit overtypen.
• Verwijder de KMS-sleutel niet terwijl ondertekening actief is. En verwijder het DS-record bij de registrar nooit terwijl Route 53 nog ondertekent.
• Schakel uit in de juiste volgorde voordat u DNS verplaatst. Om weg te migreren: verwijder het DS-record bij de registrar, wacht tot het is verdwenen, en schakel daarna ondertekening uit in Route 53 — niet andersom.
• Geef het tijd. DNSSEC-wijzigingen kunnen van minuten tot een dag duren om volledig door te voeren en te valideren.

Controleer of het gelukt is

Zodra ondertekening is ingeschakeld in Route 53 en het DS-record bij uw registrar op zijn plaats staat, voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of DNSSEC correct is gepubliceerd en vertrouwd voor uw domein.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.