Defaults.Exposed › Configurare › DNSSEC
Cum configurezi DNSSEC pe AWS Route 53
Activează semnarea DNSSEC în Route 53 cu o cheie KMS și adaugă recordul DS la registrar-ul tău pentru ca nimeni să nu poată falsifica răspunsurile DNS.
De ce contează asta pentru afacerea ta
Când cineva vizitează site-ul tău sau îți trimite un email, calculatorul lui întreabă mai întâi sistemul DNS care este adresa corectă. Aceste răspunsuri călătoresc de obicei nesemnate, deci un atacator care poate manipula căutarea poate redirecționa liniștit vizitatorii tăi la un site fals sau redirecționa emailul tău spre serverul lui — în timp ce domeniul tău real apare în continuare în bara de adrese.
DNSSEC previne asta. Semnează criptografic răspunsurile DNS, astfel încât oricine te caută poate dovedi că răspunsul a venit cu adevărat de la tine și nu a fost modificat în tranzit. Pe scurt: blochează deturnarea domeniilor și otrăvirea cache-ului, atacurile care îți întorc propriul domeniu împotriva clienților tăi. Este gratuit ca funcționalitate (cheia de semnare folosește o cheie KMS AWS mică, cu un cost lunar minor) și este una dintre cele mai puternice protecții pe care le poți activa.
Cum funcționează DNSSEC pe Route 53
Route 53 împarte munca într-un mod care merită înțeles înainte de a începe:
- Route 53 semnează hosted zone-ul tău folosind o cheie stocată în AWS KMS (Key Management Service). Activarea semnării publică cheile publice (un DNSKEY) și produce un record DS.
- Registrar-ul tău — compania la care reînnoiești domeniul — trebuie apoi să publice acel record DS în zona părintele (de exemplu
.com) astfel încât restul internetului să aibă încredere în semnături.
Dacă ai înregistrat domeniul prin Route 53 (Amazon Registrar), pasul cu registrar-ul este în continuare necesar, dar se face în interiorul consolei AWS. Dacă registrar-ul tău este o altă companie, copiezi recordul DS acolo manual.
Riscul real — fă asta cu atenție
DNSSEC poate scoate offline tot domeniul tău dacă este configurat greșit. Cele două moduri prin care se întâmplă:
- Un record DS la registrar care nu corespunde cheii cu care semnează Route 53.
- Dezactivarea semnării, ștergerea cheii KMS sau mutarea DNS-ului de la Route 53 fără a elimina mai întâi recordul DS la registrar — recordul DS vechi continuă să ceară semnături care nu mai există, iar căutările eșuează.
Urmează ordinea de mai jos exact. Și dacă vreodată migrezi DNS-ul de la Route 53, elimină recordul DS la registrar și dezactivează semnarea mai întâi, apoi mută.
Confirmă că Route 53 gestionează DNS-ul tău
Aceasta funcționează doar dacă Route 53 răspunde pentru domeniu. Verifică că nameservere-le domeniului tău indică spre cele patru nameserver-e Route 53 listate pentru hosted zone-ul tău. Deschide consola Route 53, mergi la Hosted zones, deschide domeniu și notează valorile recordului NS — setarea nameserver a registrar-ului tău trebuie să corespundă acestora. Dacă nameserver-ele indică altundeva, activează DNSSEC la furnizorul care gestionează DNS-ul tău.
Pași în Route 53
- Autentifică-te în consola AWS și deschide Route 53.
- Mergi la Hosted zones și deschide hosted zone-ul pentru domeniu.
- Deschide tab-ul DNSSEC signing și alege Enable DNSSEC signing.
- Pentru key-signing key (KSK), trebuie să furnizezi o cheie KMS gestionată de client:
- Alege Create customer managed key (sau selectează una existentă eligibilă).
- Cheia trebuie să fie asimetrică, cu utilizare Sign and verify, folosind spec-ul ECC_NIST_P256, și trebuie să fie în regiunea US East (N. Virginia)
us-east-1— DNSSEC Route 53 necesită cheia în acea regiune. - Dă un nume KSK-ului.
- Confirmă și activează semnarea. Route 53 semnează acum hosted zone-ul.
- Rămâi pe tab-ul DNSSEC signing, găsește DS record / Establish a chain of trust. Route 53 afișează valorile de care ai nevoie, inclusiv Key Tag, Signing algorithm, Digest algorithm și Digest (și adesea o linie de record DS gata de folosit).
- Mergi acum la registrar-ul tău și adaugă recordul DS:
- Dacă domeniul este înregistrat în Route 53 (Amazon Registrar): consola te poate ghida prin setările domeniului — sau copiază valorile în secțiunea DNSSEC a domeniului.
- Dacă registrar-ul tău este o altă companie: deschide secțiunea DNSSEC / record DS și introdu exact valorile de la pasul 6 — Key Tag, Algorithm (de obicei
13), Digest Type (de obicei2) și Digest.
- Salvează la registrar. Lanțul de încredere este complet odată ce recordul DS este acceptat în zona părintele.
Greșeli frecvente pe Route 53
- Cheia KMS trebuie să fie în
us-east-1. DNSSEC Route 53 nu acceptă o cheie KSK din altă regiune — acesta este primul obstacol pentru mulți. - Folosește tipul corect de cheie. Trebuie să fie o cheie KMS asimetrică, sign-and-verify, ECC_NIST_P256. O cheie simetrică sau cu specificații greșite nu va funcționa ca KSK.
- Două sisteme, nu unul. Activarea semnării în Route 53 singur nu face nimic de sine stătător — recordul DS trebuie să ajungă și la registrar. Mulți se opresc după pasul 5 și se întreabă de ce nu validează niciodată.
- Copiază digest-ul exact. Un singur caracter greșit în Digest înseamnă că recordul DS al registrar-ului nu va corespunde cheii de semnare Route 53 — exact configurarea greșită care scoate offline un domeniu. Lipește, nu retasta niciodată.
- Nu șterge cheia KMS cât timp semnarea este activă. Și nu elimina niciodată recordul DS la registrar cât timp Route 53 semnează.
- Dezactivează în ordinea corectă înainte de a muta DNS-ul. Pentru a migra: elimină recordul DS la registrar, așteaptă să se curețe, apoi dezactivează semnarea în Route 53 — nu invers.
- Acordă timp. Modificările DNSSEC pot dura de la câteva minute până la o zi pentru a se propaga complet și a valida.
Verifică dacă a funcționat
Odată ce semnarea este activată în Route 53 și recordul DS este la locul lui la registrar-ul tău, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă DNSSEC este publicat și de încredere corect pentru domeniul tău.
Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.