Defaults.Exposed › Konfiguration › DNSSEC

Så konfigurerar du DNSSEC på AWS Route 53

Aktivera DNSSEC-signering i Route 53 med en KMS-nyckel och lägg till DS-recordet hos din registrar så att ingen kan förfalska dina DNS-svar.

Det här betyder för din verksamhet

När någon besöker din webbplats eller skickar e-post till dig frågar deras dator först DNS-systemet efter rätt adress. Dessa svar färdas normalt sett osignerade, så en angripare som kan manipulera uppslaget kan tyst omdirigera dina besökare till en falsk webbplats eller omdirigera din e-post till sin egen server — medan din riktiga domän fortfarande visas i adressfältet.

DNSSEC förhindrar detta. Det kryptografiskt signerar dina DNS-svar, så att alla som slår upp dig kan bevisa att svaret verkligen kom från dig och inte ändrades under transport. Enkelt uttryckt: det blockerar domänkapning och cache-förgiftning, de attacker som vänder din egen domän mot dina kunder. Det är kostnadsfritt som funktion (signeringsnyckeln använder en liten AWS KMS-nyckel som har en liten månadskostnad), och det är ett av de starkaste skydden du kan aktivera.

Hur DNSSEC fungerar på Route 53

Route 53 delar upp jobbet på ett sätt som är värt att förstå innan du börjar:

• Route 53 signerar din hosted zone med en nyckel lagrad i AWS KMS (Key Management Service). Att slå på signering publicerar de publika nycklarna (en DNSKEY) och producerar ett DS-record.
• Din registrar — företaget du förnyar domänen hos — måste sedan publicera det DS-recordet i föräldrazonen (till exempel .com) så att resten av internet litar på signaturer.

Om du registrerade domänen via Route 53 (Amazon Registrar) krävs registrarsteget fortfarande, men det görs inom AWS-konsolen. Om din registrar är ett annat företag kopierar du DS-recordet dit för hand.

Den verkliga risken — gör detta noggrant

DNSSEC kan ta hela din domän offline om det är felkonfigurerat. Det sker på två sätt:

• Ett DS-record hos registraren som inte matchar den nyckel Route 53 signerar med.
• Att inaktivera signering, ta bort KMS-nyckeln eller flytta DNS bort från Route 53 utan att först ta bort DS-recordet hos registraren — det gamla DS-recordet kräver fortsatt signaturer som inte längre finns, och uppslag misslyckas.

Följ ordningen nedan exakt. Och om du någonsin migrerar DNS bort från Route 53, ta bort DS-recordet hos registraren och inaktivera signering först, flytta sedan.

Bekräfta att Route 53 hanterar din DNS

Det här fungerar bara om Route 53 svarar på DNS för din domän. Kontrollera att din domäns namnservrar pekar på de fyra Route 53-namnservrar som anges för din hosted zone. Öppna Route 53-konsolen, gå till Hosted zones, öppna din domän och notera NS-recordvärdena — din registrars namnserverinställning måste matcha dessa. Pekar dina namnservrar någon annanstans, aktivera DNSSEC hos den leverantör som hanterar din DNS i stället.

Steg för steg på Route 53

1. Logga in på AWS-konsolen och öppna Route 53.
2. Gå till Hosted zones och öppna hosted zone:n för din domän.
3. Öppna fliken DNSSEC signing och välj Enable DNSSEC signing.
4. För key-signing key (KSK) måste du tillhandahålla en kundagehanterad KMS-nyckel:
   • Välj Create customer managed key (eller välj en befintlig lämplig).
   • Nyckeln måste vara en asymmetrisk nyckel med användningen Sign and verify, med specifikationen ECC_NIST_P256, och den måste finnas i regionen US East (N. Virginia) us-east-1 — Route 53 DNSSEC kräver nyckeln i den regionen.
   • Ge KSK ett namn.
5. Bekräfta och aktivera signering. Route 53 signerar nu hosted zone:n.
6. Fortfarande på fliken DNSSEC signing, hitta DS record / Establish a chain of trust. Route 53 visar de värden du behöver, inklusive Key Tag, Signing algorithm, Digest algorithm och Digest (och ofta en färdig DS-record-rad).
7. Gå nu till din registrar och lägg till DS-recordet:
   • Om domänen är registrerad i Route 53 (Amazon Registrar): konsolen kan guida dig genom det under domänens inställningar — eller kopiera värdena till domänens DNSSEC-avsnitt.
   • Om din registrar är ett annat företag: öppna dess DNSSEC/DS-record-avsnitt och ange värdena från steg 6 exakt — Key Tag, Algorithm (vanligtvis 13), Digest Type (vanligtvis 2) och Digest.
8. Spara hos registraren. Förtroendekedjan är komplett när DS-recordet accepteras i föräldrazonen.

Vanliga misstag på Route 53

• KMS-nyckeln måste finnas i us-east-1. Route 53 DNSSEC accepterar inte en KSK-nyckel från en annan region — det här är ett vanligt problem.
• Använd rätt nyckeltyp. Det måste vara en asymmetrisk, sign-and-verify, ECC_NIST_P256 KMS-nyckel. En symmetrisk eller fel-spec-nyckel fungerar inte som KSK.
• Två system, inte ett. Att aktivera signering i Route 53 ensamt gör ingenting på egen hand — DS-recordet måste också nå registraren. Många stannar efter steg 5 och undrar varför det aldrig valideras.
• Kopiera digest:en exakt. Ett fel tecken i Digest innebär att registrarens DS-record inte matchar Route 53:s signeringsnyckel — den exakta felkonfiguration som tar en domän offline. Klistra in, skriv aldrig om.
• Ta inte bort KMS-nyckeln medan signering är aktiv. Och ta aldrig bort DS-recordet hos registraren medan Route 53 fortfarande signerar.
• Inaktivera i rätt ordning innan du byter DNS. För att migrera bort: ta bort DS-recordet hos registraren, vänta tills det rensats, inaktivera sedan signering i Route 53 — inte tvärtom.
• Ge det tid. DNSSEC-ändringar kan ta från minuter upp till en dag att spridas helt och valideras.

Verifiera att det fungerade

När signering är aktiverat i Route 53 och DS-recordet finns på plats hos din registrar, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om DNSSEC är korrekt publicerat och betrott för din domän.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.