Defaults.Exposed › Nastavenie › DNSSEC

Ako nastaviť DNSSEC na AWS Route 53

Aktivujte podpisovanie DNSSEC v Route 53 pomocou KMS kľúča a pridajte DS záznam u vášho registrátora, aby nikto nemohol falšovať vaše DNS odpovede.

Prečo je to dôležité pre vaše podnikanie

Keď niekto navštívi vašu webstránku alebo vám pošle e-mail, jeho počítač sa najprv opýta DNS systému na správnu adresu. Tieto odpovede zvyčajne cestujú nepodpísané, takže útočník schopný zasahovať do vyhľadávania môže ticho presmerovať vašich návštevníkov na falošnú stránku alebo odkloniť váš e-mail na vlastný server — pričom vaša skutočná doména stále zostáva zobrazená v adresnom riadku.

DNSSEC tomu zabraňuje. Kryptograficky podpisuje vaše DNS odpovede, takže ktokoľvek, kto vás vyhľadáva, môže dokázať, že odpoveď skutočne prišla od vás a nebola cestou zmenená. V praxi: blokuje únos domény a otravovanie cache, útoky, ktoré obracajú vašu vlastnú doménu proti vašim zákazníkom. Je zadarmo ako funkcia (podpisový kľúč používa malý AWS KMS kľúč, za ktorý sa platí malý mesačný poplatok) a je to jedna z najsilnejších ochrán, ktoré môžete aktivovať.

Ako DNSSEC funguje na Route 53

Route 53 rozdeľuje prácu spôsobom, ktorý stojí za pochopenie ešte pred začiatkom:

• Route 53 podpisuje vašu hosted zone pomocou kľúča uloženého v AWS KMS (Key Management Service). Zapnutím podpisovania sa zverejnia verejné kľúče (DNSKEY) a vytvorí sa DS záznam.
• Váš registrátor — spoločnosť, kde obnovujete doménu — musí potom zverejniť tento DS záznam do nadradenej zóny (napríklad .com), aby mu zvyšok internetu dôveroval.

Ak ste doménu zaregistrovali cez Route 53 (Amazon Registrar), krok registrátora je stále potrebný, ale robí sa v AWS konzole. Ak je váš registrátor iná spoločnosť, DS záznam tam skopírujete ručne.

Skutočné riziko — postupujte opatrne

DNSSEC môže celú vašu doménu odstaviť, ak je nesprávne nakonfigurovaná. Dve cesty, ktorými k tomu dôjde:

• DS záznam u registrátora, ktorý nezodpovedá kľúču, ktorým Route 53 podpisuje.
• Vypnutie podpisovania, zmazanie KMS kľúča alebo presun DNS od Route 53 bez predchádzajúceho odstránenia DS záznamu u registrátora — starý DS záznam naďalej vyžaduje podpisy, ktoré už neexistujú, a vyhľadávania zlyhávajú.

Dodržte poradie nižšie presne. A ak niekedy migrujete DNS od Route 53, najprv odstráňte DS záznam u registrátora a vypnite podpisovanie, potom presúvajte.

Overte, že Route 53 spravuje váš DNS

Toto funguje len vtedy, ak Route 53 odpovedá na DNS dotazy pre vašu doménu. Skontrolujte, že nameservery vašej domény ukazujú na štyri Route 53 nameservery uvedené vo vašej hosted zone. Otvorte konzolu Route 53, prejdite na Hosted zones, otvorte svoju doménu a poznačte si hodnoty záznamu NS — nastavenie nameserverov u vášho registrátora musí zodpovedať týmto hodnotám. Ak vaše nameservery ukazujú inde, aktivujte DNSSEC u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Postup na Route 53

1. Prihláste sa do AWS konzoly a otvorte Route 53.
2. Prejdite na Hosted zones a otvorte hosted zone pre vašu doménu.
3. Otvorte kartu DNSSEC signing a zvoľte Enable DNSSEC signing.
4. Pre key-signing key (KSK) musíte poskytnúť zákaznícky spravovaný KMS kľúč:
   • Zvoľte Create customer managed key (alebo vyberte existujúci vhodný).
   • Kľúč musí byť asymetrický s použitím Sign and verify, špecifikáciou ECC_NIST_P256, a musí byť v regióne US East (N. Virginia) us-east-1 — DNSSEC Route 53 vyžaduje kľúč v tomto regióne.
   • Pomenujte KSK.
5. Potvrďte a aktivujte podpisovanie. Route 53 teraz podpisuje hosted zone.
6. Stále na karte DNSSEC signing nájdite DS record / Establish a chain of trust. Route 53 zobrazí hodnoty, ktoré potrebujete, vrátane Key Tag, Signing algorithm, Digest algorithm a Digest (a často pripravený riadok DS záznamu).
7. Teraz prejdite k vášmu registrátorovi a pridajte DS záznam:
   • Ak je doména zaregistrovaná v Route 53 (Amazon Registrar): konzola vás môže sprevádzať cez nastavenia domény — alebo skopírujte hodnoty do sekcie DNSSEC domény.
   • Ak je váš registrátor iná spoločnosť: otvorte jeho sekciu DNSSEC / DS záznamu a zadajte hodnoty z kroku 6 presne — Key Tag, Algorithm (zvyčajne 13), Digest Type (zvyčajne 2) a Digest.
8. Uložte u registrátora. Reťazec dôvery je kompletný, keď registrátor prijme DS záznam do nadradenej zóny.

Čo ľudia na Route 53 robia zle

• KMS kľúč musí byť v us-east-1. DNSSEC Route 53 neprijme KSK kľúč z iného regiónu — toto ľudí zastaví ako prvé.
• Používajte správny typ kľúča. Musí to byť asymetrický, sign-and-verify, ECC_NIST_P256 KMS kľúč. Symetrický alebo kľúč so zlou špecifikáciou nebude fungovať ako KSK.
• Dva systémy, nie jeden. Samotné aktivovanie podpisovania v Route 53 samo o sebe nič neurobí — DS záznam musí tiež dosiahnuť registrátora. Ľudia sa zastavia po kroku 5 a čudujú sa, prečo to nikdy nevaliduje.
• Skopírujte digest presne. Jeden nesprávny znak v Digest znamená, že DS záznam registrátora nezodpovedá podpisovacím kľúčom Route 53 — presne tá nesprávna konfigurácia, ktorá odstavuje doménu. Vkladajte, nikdy neprepísujte.
• Nevymažte KMS kľúč, kým je podpisovanie aktívne. A nikdy neodstraňujte DS záznam u registrátora, kým Route 53 stále podpisuje.
• Vypnite v správnom poradí pred presunom DNS. Pre migráciu preč: odstráňte DS záznam u registrátora, počkajte kým sa vymaže, potom vypnite podpisovanie v Route 53 — nie naopak.
• Počkajte chvíľu. Zmeny DNSSEC môžu trvať niekoľko minút až deň, kým sa plne propagujú a validujú.

Overte, že to funguje

Keď je podpisovanie aktivované v Route 53 a DS záznam je zavedený u vášho registrátora, spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je DNSSEC správne zverejnený a dôveryhodný pre vašu doménu.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.