Defaults.Exposed › Nastavitev › DNSSEC

Kako nastaviti DNSSEC na AWS Route 53

Omogočite podpisovanje DNSSEC v Route 53 s ključem KMS in dodajte zapis DS pri registrarju, da nihče ne more ponarejati vaših odgovorov DNS.

Zakaj je to pomembno za vaše podjetje

Ko nekdo obišče vašo spletno stran ali vam pošlje e-pošto, njegov računalnik najprej vpraša sistem DNS za pravi naslov. Ti odgovori ponavadi potujejo brez podpisa, zato napadalec, ki jih lahko prestrezne, tiho preusmeri vaše obiskovalce na lažno spletišče ali preusmeri vašo e-pošto na lasten strežnik — medtem ko se vaša prava domena še vedno prikazuje v naslovni vrstici.

DNSSEC to prepreči. Kriptografsko podpiše vaše odgovore DNS, tako da si vsak, ki vas poišče, lahko dokaže, da je odgovor res prišel od vas in ni bil spremenjen med prenosom. Povedano preprosteje: blokira ugrabitev domene in zastrupitev predpomnilnika, napade, ki vaše lastno domeno obrnejo proti vašim strankam. Kot funkcija je brezplačen (podpisovalni ključ uporablja majhen ključ AWS KMS, ki ima majhne mesečne stroške) in je ena najmočnejših zaščit, ki jo lahko omogočite.

Kako DNSSEC deluje na Route 53

Route 53 razdeli nalogo na način, ki je vredno razumeti, preden začnete:

• Route 53 podpiše vašo hosted zone z ključem, shranjenim v AWS KMS (Key Management Service). Vklop podpisovanja objavi javne ključe (DNSKEY) in ustvari zapis DS.
• Vaš registrar — podjetje, pri katerem obnavljate domeno — mora nato ta zapis DS objaviti v nadrejeno cono (na primer .com), da mu ostali internet zaupa.

Če ste domeno registrirali prek Route 53 (Amazon Registrar), je korak registrarja še vedno potreben, toda izvede se znotraj konzole AWS. Če je vaš registrar drugo podjetje, tja ročno kopirate zapis DS.

Resnično tveganje — naredite to previdno

DNSSEC lahko vašo celotno domeno postavi offline, če je napačno konfiguriran. To se zgodi na dva načina:

• Zapis DS pri registrarju, ki se ne ujema s ključem, s katerim Route 53 podpisuje.
• Onemogočanje podpisovanja, brisanje ključa KMS ali premik DNS stran od Route 53 brez predhodne odstranitve zapisa DS pri registrarju — zastareli zapis DS še naprej zahteva podpise, ki ne obstajajo več, in poizvedbe spodletijo.

Sledite spodnjemu vrstnemu redu natančno. In če kadarkoli migrirate DNS stran od Route 53, najprej odstranite zapis DS pri registrarju in onemogočite podpisovanje, nato pa se preselite.

Potrdite, da Route 53 upravlja vaš DNS

To deluje le, če Route 53 odgovarja na poizvedbe DNS za vašo domeno. Preverite, da imenski strežniki vaše domene kažejo na štiri imenskie strežnike Route 53, navedene za vašo hosted zone. Odprite konzolo Route 53, pojdite na Hosted zones, odprite svojo domeno in si zabeležite vrednosti zapisa NS — nastavitve imenskih strežnikov pri vašem registrarju se morajo ujemati s temi. Če vaši imenski strežniki kažejo drugam, omogočite DNSSEC pri tistem ponudniku, ki upravlja vaš DNS.

Korak za korakom na Route 53

1. Prijavite se v konzolo AWS in odprite Route 53.
2. Pojdite na Hosted zones in odprite hosted zone za svojo domeno.
3. Odprite zavihek DNSSEC signing in izberite Enable DNSSEC signing.
4. Za key-signing key (KSK) morate zagotoviti ključ KMS v upravljanju stranke:
   • Izberite Create customer managed key (ali izberite obstoječega primernega).
   • Ključ mora biti asimetričen z uporabo Sign and verify, specifikacija ECC_NIST_P256, in mora biti v regiji US East (N. Virginia) us-east-1 — DNSSEC Route 53 zahteva ključ v tej regiji.
   • Poimenujte KSK.
5. Potrdite in omogočite podpisovanje. Route 53 zdaj podpiše hosted zone.
6. Še na zavihku DNSSEC signing poiščite DS record / Establish a chain of trust. Route 53 prikaže vrednosti, ki jih potrebujete, vključno z Key Tag, Signing algorithm, Digest algorithm in Digest (in pogosto pripravljeno vrstico DS zapisa).
7. Zdaj pojdite k svojemu registrarju in dodajte zapis DS:
   • Če je domena registrirana v Route 53 (Amazon Registrar): konzola vas lahko popelje skozi postopek v nastavitvah domene — ali kopirajte vrednosti v razdelek DNSSEC domene.
   • Če je vaš registrar drugo podjetje: odprite razdelek DNSSEC / DS record in vnesite vrednosti iz 6. koraka natančno — Key Tag, Algorithm (ponavadi 13), Digest Type (ponavadi 2) in Digest.
8. Shranite pri registrarju. Veriga zaupanja je dokončana, ko je zapis DS sprejet v nadrejeno cono.

Pogoste napake na Route 53

• Ključ KMS mora biti v us-east-1. DNSSEC Route 53 ne bo sprejel ključa KSK iz druge regije — to je pogost zaplet.
• Uporabite pravo vrsto ključa. Biti mora asimetričen ključ KMS za podpisovanje in preverjanje (ECC_NIST_P256). Simetričen ali ključ z napačno specifikacijo ne bo deloval kot KSK.
• Dva sistema, ne eden. Samo omogočanje podpisovanja v Route 53 samo po sebi ne naredi ničesar — zapis DS mora doseči tudi registrarja. Mnogi se ustavijo po 5. koraku in se sprašujejo, zakaj nikoli ne potrdi.
• Kopirajte digest natančno. En napačen znak v Digest pomeni, da se zapis DS registrarja ne bo ujemala s podpisovalnim ključem Route 53 — natanko tista napačna konfiguracija, ki domeno postavi offline. Prilepite, nikoli ne vpisujte ročno.
• Ne brišite ključa KMS, medtem ko je podpisovanje aktivno. In nikoli ne odstranite zapisa DS pri registrarju, medtem ko Route 53 še vedno podpisuje.
• Onemogočite v pravem vrstnem redu pred selitvijo DNS-a. Za migracijo: odstranite zapis DS pri registrarju, počakajte, da se počisti, nato onemogočite podpisovanje v Route 53 — ne obratno.
• Dajte mu čas. Spremembe DNSSEC lahko trajajo od minut do dneva, da se popolnoma razširijo in potrdijo.

Preverite, ali je delovalo

Ko je podpisovanje omogočeno v Route 53 in je zapis DS na mestu pri vašem registrarju, zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je DNSSEC pravilno objavljen in zaupan za vašo domeno.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.