Defaults.Exposed

Defaults.Exposed › การตั้งค่า › DNSSEC

วิธีตั้งค่า DNSSEC บน AWS Route 53

เปิด DNSSEC signing ใน Route 53 ด้วย KMS key และเพิ่ม DS record ที่ registrar ของคุณเพื่อป้องกันการปลอมแปลงคำตอบ DNS ของคุณ

เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ

เมื่อมีคนเยี่ยมชมเว็บไซต์ของคุณหรือส่งอีเมลถึงคุณ คอมพิวเตอร์ของพวกเขาจะถาม DNS system ก่อนเพื่อหาที่อยู่ที่ถูกต้อง คำตอบเหล่านั้นปกติเดินทางโดยไม่มีลายเซ็น ดังนั้นผู้โจมตีที่สามารถดัดแปลงการค้นหาได้จะเปลี่ยนเส้นทางผู้เยี่ยมชมของคุณไปยังเว็บไซต์ปลอมอย่างเงียบ ๆ หรือเปลี่ยนเส้นทางอีเมลของคุณไปยังเซิร์ฟเวอร์ของตัวเอง — ในขณะที่โดเมนจริงของคุณยังแสดงในแถบที่อยู่

DNSSEC ป้องกันสิ่งนี้ มันเซ็น DNS answers ของคุณด้วยวิธีการเข้ารหัส ดังนั้นทุกคนที่ค้นหาคุณสามารถพิสูจน์ได้ว่าคำตอบมาจากคุณจริง ๆ และไม่ได้ถูกแก้ไขระหว่างทาง พูดให้เข้าใจง่าย: มันบล็อกการแย่งชิงโดเมนและ cache poisoning การโจมตีที่เปลี่ยนโดเมนของคุณเองให้ต่อต้านลูกค้าของคุณ ฟรีในฐานะฟีเจอร์ (signing key ใช้ AWS KMS key เล็กน้อยซึ่งมีค่าใช้จ่ายรายเดือนเล็กน้อย) และเป็นหนึ่งในการป้องกันที่แข็งแกร่งที่สุดที่คุณสามารถเปิดได้

DNSSEC ทำงานอย่างไรบน Route 53

Route 53 แบ่งงานในแบบที่ควรเข้าใจก่อนเริ่ม:

หากคุณลงทะเบียนโดเมนผ่าน Route 53 (Amazon Registrar) ขั้นตอน registrar ยังต้องทำ แต่ทำได้ภายใน AWS console หาก registrar ของคุณเป็นบริษัทอื่น คุณคัดลอก DS record ไปที่นั่นด้วยมือ

ความเสี่ยงจริง — ทำสิ่งนี้อย่างระมัดระวัง

DNSSEC สามารถทำให้โดเมนทั้งหมดของคุณออฟไลน์ได้หากกำหนดค่าผิด สองวิธีที่เกิดขึ้นได้:

ทำตามลำดับด้านล่างให้ตรงทุกอย่าง และหากคุณย้าย DNS ออกจาก Route 53 ลบ DS record ที่ registrar และปิด signing ก่อน จากนั้นค่อยย้าย

ยืนยันว่า Route 53 รัน DNS ของคุณ

สิ่งนี้จะทำงานได้ก็ต่อเมื่อ Route 53 ตอบ DNS สำหรับโดเมนของคุณ ตรวจสอบว่า nameservers ของโดเมนของคุณชี้ไปยัง Route 53 nameservers สี่รายการที่แสดงสำหรับ hosted zone ของคุณ เปิด Route 53 console ไปที่ Hosted zones เปิดโดเมนของคุณ และจดค่า NS record — การตั้งค่า nameserver ของ registrar ของคุณต้องตรงกับค่าเหล่านี้ หาก nameservers ชี้ไปที่อื่น ให้เปิด DNSSEC ที่ผู้ให้บริการที่รัน DNS ของคุณแทน

ขั้นตอนบน Route 53

  1. ลงชื่อเข้าใช้ AWS console และเปิด Route 53
  2. ไปที่ Hosted zones และเปิด hosted zone สำหรับโดเมนของคุณ
  3. เปิดแท็บ DNSSEC signing และเลือก Enable DNSSEC signing
  4. สำหรับ key-signing key (KSK) คุณต้องระบุ KMS key ที่จัดการโดยลูกค้า:
    • เลือก Create customer managed key (หรือเลือกรายการที่มีอยู่แล้วที่เหมาะสม)
    • Key ต้องเป็น key asymmetric ที่มีการใช้งาน Sign and verify โดยใช้ spec ECC_NIST_P256 และต้องอยู่ใน region US East (N. Virginia) us-east-1 — DNSSEC ของ Route 53 ต้องการ key ใน region นั้น
    • ตั้งชื่อ KSK
  5. ยืนยันและ enable signing Route 53 จะเซ็น hosted zone แล้ว
  6. ยังอยู่บนแท็บ DNSSEC signing ค้นหา DS record / Establish a chain of trust Route 53 แสดงค่าที่คุณต้องการ รวมถึง Key Tag, Signing algorithm, Digest algorithm และ Digest (และมักเป็น DS record line พร้อมใช้)
  7. ตอนนี้ไปที่ registrar ของคุณและเพิ่ม DS record:
    • หากโดเมนลงทะเบียนใน Route 53 (Amazon Registrar): console สามารถพาคุณผ่านได้ภายใต้การตั้งค่าของโดเมน — หรือคัดลอกค่าไปยังส่วน DNSSEC ของโดเมน
    • หาก registrar ของคุณเป็นบริษัทอื่น: เปิดส่วน DNSSEC / DS record ของมันและป้อนค่าจากขั้นตอนที่ 6 ให้ตรงทุกอักขระ — Key Tag, Algorithm (โดยทั่วไป 13), Digest Type (โดยทั่วไป 2) และ Digest
  8. บันทึกที่ registrar ห่วงโซ่ความน่าเชื่อถือสมบูรณ์เมื่อ DS record ถูกยอมรับใน parent zone

ข้อผิดพลาดที่มักเกิดขึ้นบน Route 53

ตรวจสอบว่าได้ผล

เมื่อเปิด signing ใน Route 53 และ DS record อยู่ที่ registrar ของคุณแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า DNSSEC ถูกเผยแพร่และน่าเชื่อถือสำหรับโดเมนของคุณหรือไม่

เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ