Defaults.Exposed › Konfiguracja › DNSSEC

Jak skonfigurować DNSSEC w AWS Route 53

Włącz podpisywanie DNSSEC w Route 53 za pomocą klucza KMS i dodaj rekord DS u swojego rejestratora, aby nikt nie mógł sfałszować odpowiedzi Twojego DNS.

Dlaczego to ważne dla Twojej firmy

Gdy ktoś odwiedza Twoją witrynę lub wysyła do Ciebie e-mail, jego komputer najpierw pyta system DNS o właściwy adres. Zwykle te odpowiedzi podróżują niepodpisane, więc atakujący zdolny zmodyfikować zapytanie może po cichu przekierować Twoich odwiedzających na fałszywą stronę lub Twoją pocztę na własny serwer — a w pasku adresu wciąż widnieje Twoja prawdziwa domena.

DNSSEC temu zapobiega. Kryptograficznie podpisuje odpowiedzi Twojego DNS, więc każdy, kto sprawdza Twój adres, może udowodnić, że odpowiedź naprawdę pochodzi od Ciebie i nie została zmieniona w drodze. Mówiąc prościej: blokuje przejęcie domeny i zatrucie pamięci podręcznej — ataki, które obracają Twoją własną domenę przeciwko klientom. Sama funkcja jest darmowa (klucz podpisujący korzysta z niewielkiego klucza AWS KMS, który niesie drobny miesięczny koszt) i jest jednym z najsilniejszych zabezpieczeń, jakie możesz włączyć.

Jak działa DNSSEC w Route 53

Route 53 dzieli zadanie w sposób, który warto zrozumieć przed startem:

• Route 53 podpisuje Twoją strefę hostowaną przy użyciu klucza przechowywanego w AWS KMS (Key Management Service). Włączenie podpisywania publikuje klucze publiczne (DNSKEY) i wytwarza rekord DS (Delegation Signer).
• Twój rejestrator — firma, u której odnawiasz domenę — musi następnie opublikować ten rekord DS w strefie nadrzędnej (na przykład .com), aby reszta internetu ufała podpisom.

Jeśli zarejestrowałeś domenę przez Route 53 (Amazon Registrar), krok rejestratora wciąż jest wymagany, ale wykonuje się go w konsoli AWS. Jeśli Twoim rejestratorem jest inna firma, kopiujesz tam rekord DS ręcznie.

Prawdziwe ryzyko — zrób to ostrożnie

Źle skonfigurowany DNSSEC może wyłączyć całą Twoją domenę. Dzieje się to na dwa sposoby:

• Rekord DS u rejestratora, który nie pasuje do klucza, którym podpisuje Route 53.
• Wyłączenie podpisywania, usunięcie klucza KMS lub przeniesienie DNS poza Route 53 bez uprzedniego usunięcia rekordu DS u rejestratora — nieaktualny rekord DS nadal wymaga podpisów, których już nie ma, i zapytania zawodzą.

Postępuj dokładnie według poniższej kolejności. A jeśli kiedykolwiek migrujesz DNS poza Route 53, najpierw usuń rekord DS u rejestratora i wyłącz podpisywanie, a dopiero potem migruj.

Sprawdź, czy DNS obsługuje Route 53

Zadziała to tylko wtedy, gdy to Route 53 odpowiada za DNS Twojej domeny. Sprawdź, czy serwery nazw (nameservery) Twojej domeny wskazują na cztery nameservery Route 53 wymienione dla Twojej hosted zone (strefy hostowanej). Otwórz konsolę Route 53, przejdź do Hosted zones, otwórz swoją domenę i odnotuj wartości rekordu NS — ustawienie nameserverów u Twojego rejestratora musi do nich pasować. Jeśli Twoje nameservery wskazują gdzie indziej, włącz DNSSEC u tego dostawcy, który faktycznie obsługuje Twój DNS.

Krok po kroku w Route 53

1. Zaloguj się do konsoli AWS i otwórz Route 53.
2. Przejdź do Hosted zones i otwórz strefę hostowaną dla swojej domeny.
3. Otwórz zakładkę DNSSEC signing i wybierz Enable DNSSEC signing.
4. Dla klucza podpisującego klucze (KSK) musisz dostarczyć zarządzany przez klienta klucz KMS:
   • Wybierz Create customer managed key (lub wskaż istniejący kwalifikujący się).
   • Klucz musi być kluczem asymetrycznym z przeznaczeniem Sign and verify, w specyfikacji ECC_NIST_P256, i musi znajdować się w regionie US East (N. Virginia) us-east-1 — DNSSEC Route 53 wymaga klucza w tym regionie.
   • Nadaj KSK nazwę.
5. Potwierdź i włącz podpisywanie. Route 53 podpisuje teraz strefę hostowaną.
6. Wciąż na zakładce DNSSEC signing znajdź DS record / Establish a chain of trust. Route 53 wyświetli potrzebne wartości, w tym Key Tag, Signing algorithm, Digest algorithm oraz Digest (a często też gotową linię rekordu DS).
7. Teraz przejdź do swojego rejestratora i dodaj rekord DS:
   • Jeśli domena jest zarejestrowana w Route 53 (Amazon Registrar): konsola może przeprowadzić Cię przez to w ustawieniach domeny — albo skopiuj wartości do sekcji DNSSEC domeny.
   • Jeśli Twoim rejestratorem jest inna firma: otwórz jej sekcję DNSSEC / rekordu DS i wprowadź wartości z kroku 6 dokładnie — Key Tag, Algorithm (zwykle 13), Digest Type (zwykle 2) oraz Digest.
8. Zapisz u rejestratora. Łańcuch zaufania jest domknięty, gdy rekord DS zostanie zaakceptowany w strefie nadrzędnej.

Pułapki Route 53, w które ludzie wpadają

• Klucz KMS musi być w us-east-1. DNSSEC Route 53 nie zaakceptuje klucza KSK z innego regionu — to pierwsza rzecz, o którą ludzie się potykają.
• Użyj właściwego typu klucza. Musi to być klucz KMS asymetryczny, sign-and-verify, ECC_NIST_P256. Klucz symetryczny lub o złej specyfikacji nie zadziała jako KSK.
• Dwa systemy, nie jeden. Samo włączenie podpisywania w Route 53 nic nie daje — rekord DS musi też dotrzeć do rejestratora. Ludzie zatrzymują się po kroku 5 i zastanawiają, czemu nigdy się nie waliduje.
• Skopiuj digest dokładnie. Jeden błędny znak w Digest oznacza, że rekord DS u rejestratora nie będzie pasować do klucza podpisującego Route 53 — dokładnie ta wadliwa konfiguracja, która wyłącza domenę. Wklejaj, nigdy nie przepisuj.
• Nie usuwaj klucza KMS, gdy podpisywanie jest aktywne. I nigdy nie usuwaj rekordu DS u rejestratora, gdy Route 53 wciąż podpisuje.
• Wyłączaj we właściwej kolejności przed przeniesieniem DNS. Aby migrować: usuń rekord DS u rejestratora, poczekaj, aż zniknie, a potem wyłącz podpisywanie w Route 53 — nie odwrotnie.
• Daj temu czas. Zmiany DNSSEC mogą się w pełni propagować i walidować od kilku minut do jednego dnia.

Sprawdź, czy zadziałało

Gdy podpisywanie jest włączone w Route 53, a rekord DS jest na miejscu u Twojego rejestratora, uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy DNSSEC jest poprawnie opublikowany i zaufany dla Twojej domeny.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.