Defaults.Exposed › Oppsett › DNSSEC

Slik setter du opp DNSSEC på AWS Route 53

Aktiver DNSSEC-signering i Route 53 med en KMS-nøkkel og legg til DS-posten hos registraren din slik at ingen kan forfalske DNS-svarene dine.

Derfor er dette viktig for virksomheten din

Når noen besøker nettstedet ditt eller sender deg e-post, spør datamaskinen DNS-systemet om riktig adresse. Disse svarene reiser normalt usignert, slik at en angriper som kan forstyrre oppslaget, stille kan omdirigere besøkende dine til et falskt nettsted eller rute e-posten din til sin egen server — mens ditt ekte domene fortsatt vises i adressefeltet.

DNSSEC forhindrer dette. Det kryptografisk signerer DNS-svarene dine, slik at alle som slår deg opp, kan bevise at svaret virkelig kom fra deg og ikke ble endret underveis. Enkelt sagt: det blokkerer domenekaping og cache-forgiftning, angrepene som gjør ditt eget domene til et våpen mot kundene dine. Det er gratis som funksjon (signeringsnøkkelen bruker en liten AWS KMS-nøkkel, som har en liten månedlig kostnad), og det er en av de sterkeste beskyttelsene du kan aktivere.

Slik fungerer DNSSEC på Route 53

Route 53 deler jobben på en måte som er verdt å forstå før du starter:

• Route 53 signerer hosted zone-en din ved hjelp av en nøkkel lagret i AWS KMS (Key Management Service). Å slå på signering publiserer de offentlige nøklene (en DNSKEY) og produserer en DS-post.
• Registraren din — selskapet du fornyer domenet med — må deretter publisere den DS-posten i foreldresonen (for eksempel .com) slik at resten av internett stoler på signaturene.

Registrerte du domenet gjennom Route 53 (Amazon Registrar), kreves registrarsteget fortsatt, men det gjøres inne i AWS-konsollen. Er registraren din et annet selskap, kopierer du DS-posten dit manuelt.

Den reelle risikoen — gjør dette nøye

DNSSEC kan ta hele domenet ditt offline ved feilkonfigurasjon. De to måtene det skjer på:

• En DS-post hos registraren som ikke stemmer med nøkkelen Route 53 signerer med.
• Deaktivere signering, slette KMS-nøkkelen eller flytte DNS bort fra Route 53 uten å først fjerne DS-posten hos registraren — den foreldede DS-posten fortsetter å kreve signaturer som ikke lenger finnes, og oppslag feiler.

Følg rekkefølgen nedenfor nøyaktig. Og planlegger du noen gang å migrere DNS vekk fra Route 53, fjern DS-posten hos registraren og deaktiver signering først, og flytt deretter.

Bekreft at Route 53 håndterer DNS-en din

Dette fungerer bare hvis Route 53 svarer på DNS for domenet ditt. Sjekk at domenet ditt sine nameservere peker på de fire Route 53-nameserverne som er oppført for hosted zone-en din. Åpne Route 53-konsollen, gå til Hosted zones, åpne domenet ditt og noter NS-post-verdiene — registrarens nameserver-innstilling må stemme overens med disse. Peker nameserverne andre steder, aktiver DNSSEC hos den leverandøren som håndterer DNS-en din i stedet.

Steg for steg på Route 53

1. Logg inn på AWS-konsollen og åpne Route 53.
2. Gå til Hosted zones og åpne hosted zone-en for domenet ditt.
3. Åpne DNSSEC signing-fanen og velg Enable DNSSEC signing.
4. For key-signing key (KSK) må du oppgi en kundehåndtert KMS-nøkkel:
   • Velg Create customer managed key (eller velg en eksisterende egnet nøkkel).
   • Nøkkelen må være en asymmetrisk nøkkel med bruken Sign and verify, ved hjelp av ECC_NIST_P256-spesifikasjonen, og den må være i regionen US East (N. Virginia) us-east-1 — Route 53 DNSSEC krever nøkkelen i den regionen.
   • Gi KSK-en et navn.
5. Bekreft og aktiver signering. Route 53 signerer nå hosted zone-en.
6. Fortsatt på DNSSEC signing-fanen, finn DS record / Establish a chain of trust. Route 53 viser verdiene du trenger, inkludert Key Tag, Signing algorithm, Digest algorithm og Digest (og ofte en ferdig DS-postlinje).
7. Gå nå til registraren din og legg til DS-posten:
   • Hvis domenet er registrert i Route 53 (Amazon Registrar): konsollen kan lede deg gjennom det under domenets innstillinger — eller kopier verdiene inn i domenets DNSSEC-seksjon.
   • Hvis registraren din er et annet selskap: åpne dens DNSSEC / DS-post-seksjon og skriv inn verdiene fra steg 6 nøyaktig — Key Tag, Algorithm (vanligvis 13), Digest Type (vanligvis 2) og Digest.
8. Lagre hos registraren. Tillitskjeden er komplett når DS-posten er godtatt i foreldresonen.

Vanlige feil på Route 53

• KMS-nøkkelen må være i us-east-1. Route 53 DNSSEC godtar ikke en KSK-nøkkel fra en annen region — dette snubler folk over først.
• Bruk riktig nøkkeltype. Det må være en asymmetrisk, sign-and-verify, ECC_NIST_P256 KMS-nøkkel. En symmetrisk eller feil-spesifikasjon-nøkkel fungerer ikke som KSK.
• To systemer, ikke ett. Å aktivere signering i Route 53 alene gjør ingenting på egen hånd — DS-posten må også nå registraren. Folk stopper etter steg 5 og lurer på hvorfor det aldri validerer.
• Kopier digest nøyaktig. Ett feil tegn i Digest betyr at registrarens DS-post ikke vil stemme med Route 53s signeringsnøkkel — den eksakte feilkonfigurasjonen som tar et domene offline. Lim inn, skriv aldri av for hånd.
• Ikke slett KMS-nøkkelen mens signering er aktiv. Og fjern aldri DS-posten hos registraren mens Route 53 fortsatt signerer.
• Deaktiver i riktig rekkefølge før du flytter DNS. For å migrere: fjern DS-posten hos registraren, vent til den har ryddet seg, og deaktiver deretter signering i Route 53 — ikke omvendt.
• Gi det tid. DNSSEC-endringer kan ta fra minutter til en dag å spre seg fullt ut og validere.

Bekreft at det fungerte

Når signering er aktivert i Route 53 og DS-posten er på plass hos registraren din, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om DNSSEC er korrekt publisert og klarert for domenet ditt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.