Defaults.Exposed › Podešavanje › DNSSEC

Kako podesiti DNSSEC na AWS Route 53

Omogućite DNSSEC potpisivanje u Route 53 sa KMS ključem i dodajte DS zapis kod registrara kako niko ne bi mogao da falsifikuje vaše DNS odgovore.

Zašto je ovo važno za vaše poslovanje

Kada neko poseti vaš sajt ili vam šalje email, njihov računar najpre pita DNS sistem za pravu adresu. Ti odgovori normalno putuju bez potpisa, pa napadač koji može da presiretne pretragu može tiho preusmeriti vaše posetioce na lažni sajt ili skrenuti vašu poštu na sopstveni server — dok se vaš pravi domen i dalje vidi u adresnoj traci.

DNSSEC to sprečava. Kriptografski potpisuje vaše DNS odgovore, pa svako ko vas traži može dokazati da je odgovor zaista došao od vas i da nije izmenjen na putu. Jednostavno rečeno: blokira otmicu domena i trovanje keša, napade koji pretvaraju vaš sopstveni domen u oružje protiv vaših klijenata. Kao funkcija je besplatan (ključ za potpisivanje koristi mali AWS KMS ključ koji nosi minimalni mesečni trošak) i jedna je od najjačih zaštita koje možete omogućiti.

Kako DNSSEC funkcioniše na Route 53

Route 53 deli posao na način koji je vredno razumeti pre nego što počnete:

• Route 53 potpisuje vašu hosted zonu koristeći ključ pohranjen u AWS KMS (Key Management Service). Uključivanje potpisivanja objavljuje javne ključeve (DNSKEY) i generiše DS zapis.
• Vaš registrar — kompanija kod koje obnavljate domen — mora zatim objaviti taj DS zapis u roditeljsku zonu (na primer .com) kako bi ostatak interneta verovao potpisima.

Ako ste domen registrovali putem Route 53 (Amazon Registrar), korak kod registrara je i dalje obavezan, ali se obavlja unutar AWS konzole. Ako je vaš registrar druga kompanija, ručno kopirate DS zapis tamo.

Pravi rizik — uradite ovo pažljivo

DNSSEC može isključiti vaš ceo domen ako je pogrešno konfigurisano. Dva načina na koja se to dešava:

• DS zapis kod registrara koji ne odgovara ključu kojim Route 53 potpisuje.
• Onemogućavanje potpisivanja, brisanje KMS ključa ili premeštanje DNS-a sa Route 53 bez prethodnog uklanjanja DS zapisa kod registrara — zaostali DS zapis nastavlja da zahteva potpise koji više ne postoje, i pretrage propadaju.

Sledite redosled ispod tačno. I ako ikada migrirate DNS sa Route 53, uklonite DS zapis kod registrara i onemogućite potpisivanje pre nego što premestite.

Proverite da li Route 53 upravlja vašim DNS-om

Ovo funkcioniše samo ako Route 53 odgovara na DNS upite za vaš domen. Proverite da name serveri vašeg domena pokazuju na četiri Route 53 name servera navedena za vašu hosted zonu. Otvorite Route 53 konzolu, idite na Hosted zones, otvorite vaš domen i zabeležite vrednosti NS zapisa — podešavanja name servera kod vašeg registrara moraju da se podudaraju sa ovim vrednostima. Ako vaši name serveri pokazuju negde drugde, uključite DNSSEC kod provajdera koji zapravo upravlja vašim DNS-om.

Korak po korak na Route 53

1. Prijavite se na AWS konzolu i otvorite Route 53.
2. Idite na Hosted zones i otvorite hosted zonu za vaš domen.
3. Otvorite karticu DNSSEC signing i izaberite Enable DNSSEC signing.
4. Za key-signing key (KSK) morate obezbediti customer managed KMS ključ:
   • Izaberite Create customer managed key (ili odaberite postojeći odgovarajući).
   • Ključ mora biti asimetričan sa upotrebom Sign and verify, koristeći specifikaciju ECC_NIST_P256, i mora biti u regionu US East (N. Virginia) us-east-1 — Route 53 DNSSEC zahteva ključ u tom regionu.
   • Dajte KSK-u naziv.
5. Potvrdite i enable signing. Route 53 sada potpisuje hosted zonu.
6. Još uvek na kartici DNSSEC signing, pronađite DS record / Establish a chain of trust. Route 53 prikazuje vrednosti koje su vam potrebne, uključujući Key Tag, Signing algorithm, Digest algorithm i Digest (i često gotovu liniju DS zapisa).
7. Sada idite kod vašeg registrara i dodajte DS zapis:
   • Ako je domen registrovan u Route 53 (Amazon Registrar): konzola može da vas provede kroz to u podešavanjima domena — ili kopirajte vrednosti u DNSSEC sekciju domena.
   • Ako je vaš registrar druga kompanija: otvorite njenu DNSSEC / DS record sekciju i unesite vrednosti iz koraka 6 tačno — Key Tag, Algorithm (tipično 13), Digest Type (tipično 2) i Digest.
8. Sačuvajte kod registrara. Lanac poverenja je kompletiran kada DS zapis bude prihvaćen u roditeljskoj zoni.

Greške koje se često prave na Route 53

• KMS ključ mora biti u us-east-1. Route 53 DNSSEC neće prihvatiti KSK ključ iz drugog regiona — ovo je prva prepreka na koju ljudi nailaze.
• Koristite pravi tip ključa. Mora biti asimetričan, sign-and-verify, ECC_NIST_P256 KMS ključ. Simetričan ili pogrešan ključ neće raditi kao KSK.
• Dva sistema, ne jedan. Samo uključivanje potpisivanja u Route 53 samo po sebi ne radi ništa — DS zapis mora stići i do registrara. Ljudi stanu posle koraka 5 i čude se zašto nikad ne prolazi validaciju.
• Kopirajte digest tačno. Jedan pogrešan karakter u Digest-u znači da DS zapis registrara neće odgovarati Route 53-ovom ključu za potpisivanje — tačno ona pogrešna konfiguracija koja isključuje domen. Nalepite, nikad ne kucajte ručno.
• Nemojte brisati KMS ključ dok je potpisivanje aktivno. I nikad ne uklanjajte DS zapis kod registrara dok Route 53 još uvek potpisuje.
• Onemogućite pravilnim redosledom pre premeštanja DNS-a. Za migraciju: uklonite DS zapis kod registrara, sačekajte da se izbriše, pa onemogućite potpisivanje u Route 53 — ne obratno.
• Dajte mu vremena. DNSSEC izmene mogu potrajati od nekoliko minuta do celog dana da se potpuno propagiraju i validiraju.

Proverite da li je uspelo

Kada je potpisivanje omogućeno u Route 53 i DS zapis je na mestu kod registrara, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je DNSSEC pravilno objavljen i pouzdan za vaš domen.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.