Defaults.Exposed › Configuração › DNSSEC

Como configurar o DNSSEC no AWS Route 53

Ative a assinatura DNSSEC no Route 53 com uma chave KMS e adicione o registo DS no seu registador para que ninguém possa falsificar as suas respostas de DNS.

Porque é que isto importa para o seu negócio

Quando alguém visita o seu site ou lhe envia um email, o computador pergunta primeiro ao sistema de DNS qual o endereço certo. Normalmente essas respostas viajam sem assinatura, por isso um atacante capaz de adulterar a consulta pode, em silêncio, redirecionar os seus visitantes para um site falso ou desviar o seu email para o servidor dele — enquanto o seu domínio verdadeiro continua a aparecer na barra de endereços.

O DNSSEC previne isto. Assina criptograficamente as suas respostas de DNS, para que quem o consulta possa provar que a resposta veio mesmo de si e não foi alterada pelo caminho. Em termos simples: bloqueia o sequestro de domínios e o envenenamento de cache, os ataques que viram o seu próprio domínio contra os seus clientes. Enquanto funcionalidade não tem custo (a chave de assinatura usa uma pequena chave AWS KMS, que tem um pequeno custo mensal), e é uma das proteções mais fortes que pode ativar.

Como funciona o DNSSEC no Route 53

O Route 53 divide o trabalho de uma forma que vale a pena compreender antes de começar:

• O Route 53 assina a sua hosted zone usando uma chave guardada no AWS KMS (Key Management Service). Ativar a assinatura publica as chaves públicas (uma DNSKEY) e produz um registo DS (DS, Delegation Signer).
• O seu registador — a empresa com quem renova o domínio — tem depois de publicar esse registo DS na zona-pai (por exemplo .com) para que o resto da internet confie nas assinaturas.

Se registou o domínio através do Route 53 (Amazon Registrar), o passo do registador continua a ser necessário, mas é feito dentro da consola da AWS. Se o seu registador for uma empresa diferente, copia o registo DS para lá à mão.

O risco real — faça isto com cuidado

O DNSSEC pode deixar o seu domínio inteiro offline se for mal configurado. As duas formas de isso acontecer:

• Um registo DS no registador que não corresponde à chave com que o Route 53 está a assinar.
• Desativar a assinatura, apagar a chave KMS ou mudar o DNS para fora do Route 53 sem remover primeiro o registo DS no registador — o registo DS obsoleto continua a exigir assinaturas que já não existem, e as consultas falham.

Siga a ordem abaixo exatamente. E se algum dia migrar o DNS para fora do Route 53, remova o registo DS no registador e desative a assinatura primeiro, depois mude.

Confirme que é o Route 53 que gere o seu DNS

Isto só funciona se for o Route 53 a responder ao DNS do seu domínio. Verifique se os servidores de nomes (nameservers) do seu domínio apontam para os quatro servidores de nomes do Route 53 listados na sua hosted zone. Abra a consola do Route 53, vá a Hosted zones, abra o seu domínio e anote os valores do registo NS — a definição de servidores de nomes do seu registador tem de corresponder a estes. Se os seus servidores de nomes apontarem para outro lado, ative o DNSSEC no fornecedor que efetivamente gere o seu DNS.

Passo a passo no Route 53

1. Inicie sessão na consola da AWS e abra o Route 53.
2. Vá a Hosted zones e abra a hosted zone do seu domínio.
3. Abra o separador DNSSEC signing e escolha Enable DNSSEC signing.
4. Para a key-signing key (KSK), tem de fornecer uma chave KMS gerida pelo cliente:
   • Escolha Create customer managed key (ou selecione uma existente que seja elegível).
   • A chave tem de ser uma chave assimétrica com utilização Sign and verify, usando a especificação ECC_NIST_P256, e tem de estar na região US East (N. Virginia) us-east-1 — o DNSSEC do Route 53 exige a chave nessa região.
   • Dê um nome à KSK.
5. Confirme e ative a assinatura (enable signing). O Route 53 passa agora a assinar a hosted zone.
6. Ainda no separador DNSSEC signing, localize DS record / Establish a chain of trust. O Route 53 mostra os valores de que precisa, incluindo Key Tag, Signing algorithm, Digest algorithm e o Digest (e, muitas vezes, uma linha de registo DS já pronta).
7. Agora vá ao seu registador e adicione o registo DS:
   • Se o domínio estiver registado no Route 53 (Amazon Registrar): a consola pode guiá-lo nas definições do domínio — ou copie os valores para a secção de DNSSEC do domínio.
   • Se o seu registador for uma empresa diferente: abra a secção de DNSSEC / registo DS dele e introduza os valores do passo 6 exatamente — Key Tag, Algorithm (normalmente 13), Digest Type (normalmente 2) e o Digest.
8. Guarde no registador. A cadeia de confiança fica completa assim que o registo DS for aceite na zona-pai.

Erros que as pessoas cometem no Route 53

• A chave KMS tem de estar em us-east-1. O DNSSEC do Route 53 não aceita uma chave KSK de outra região — é o que mais tropeça as pessoas logo de início.
• Use o tipo de chave certo. Tem de ser uma chave KMS assimétrica, sign-and-verify, ECC_NIST_P256. Uma chave simétrica ou com especificação errada não funcionará como KSK.
• São dois sistemas, não um. Ativar a assinatura só no Route 53 não faz nada por si só — o registo DS tem também de chegar ao registador. As pessoas param no passo 5 e perguntam-se porque é que nunca valida.
• Copie o digest exatamente. Um carácter errado no Digest significa que o registo DS do registador não corresponderá à chave de assinatura do Route 53 — exatamente a má configuração que deixa um domínio offline. Cole, nunca volte a escrever à mão.
• Não apague a chave KMS enquanto a assinatura estiver ativa. E nunca remova o registo DS no registador enquanto o Route 53 ainda estiver a assinar.
• Desative pela ordem certa antes de mudar de DNS. Para migrar: remova o registo DS no registador, espere que limpe e só depois desative a assinatura no Route 53 — não ao contrário.
• Dê-lhe tempo. As alterações de DNSSEC podem demorar de alguns minutos até um dia a propagar-se por completo e a validar.

Confirme que funcionou

Assim que a assinatura estiver ativa no Route 53 e o registo DS estiver em vigor no seu registador, execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o DNSSEC está corretamente publicado e validado para o seu domínio.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.