Defaults.Exposed › การตั้งค่า › DNSSEC
วิธีตั้งค่า DNSSEC บน AWS Route 53
เปิด DNSSEC signing ใน Route 53 ด้วย KMS key และเพิ่ม DS record ที่ registrar ของคุณเพื่อป้องกันการปลอมแปลงคำตอบ DNS ของคุณ
เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ
เมื่อมีคนเยี่ยมชมเว็บไซต์ของคุณหรือส่งอีเมลถึงคุณ คอมพิวเตอร์ของพวกเขาจะถาม DNS system ก่อนเพื่อหาที่อยู่ที่ถูกต้อง คำตอบเหล่านั้นปกติเดินทางโดยไม่มีลายเซ็น ดังนั้นผู้โจมตีที่สามารถดัดแปลงการค้นหาได้จะเปลี่ยนเส้นทางผู้เยี่ยมชมของคุณไปยังเว็บไซต์ปลอมอย่างเงียบ ๆ หรือเปลี่ยนเส้นทางอีเมลของคุณไปยังเซิร์ฟเวอร์ของตัวเอง — ในขณะที่โดเมนจริงของคุณยังแสดงในแถบที่อยู่
DNSSEC ป้องกันสิ่งนี้ มันเซ็น DNS answers ของคุณด้วยวิธีการเข้ารหัส ดังนั้นทุกคนที่ค้นหาคุณสามารถพิสูจน์ได้ว่าคำตอบมาจากคุณจริง ๆ และไม่ได้ถูกแก้ไขระหว่างทาง พูดให้เข้าใจง่าย: มันบล็อกการแย่งชิงโดเมนและ cache poisoning การโจมตีที่เปลี่ยนโดเมนของคุณเองให้ต่อต้านลูกค้าของคุณ ฟรีในฐานะฟีเจอร์ (signing key ใช้ AWS KMS key เล็กน้อยซึ่งมีค่าใช้จ่ายรายเดือนเล็กน้อย) และเป็นหนึ่งในการป้องกันที่แข็งแกร่งที่สุดที่คุณสามารถเปิดได้
DNSSEC ทำงานอย่างไรบน Route 53
Route 53 แบ่งงานในแบบที่ควรเข้าใจก่อนเริ่ม:
- Route 53 เซ็น hosted zone ของคุณโดยใช้ key ที่เก็บใน AWS KMS (Key Management Service) การเปิด signing จะเผยแพร่ public keys (DNSKEY) และผลิต DS record
- Registrar ของคุณ — บริษัทที่คุณต่ออายุโดเมนด้วย — จะต้องเผยแพร่ DS record นั้นใน parent zone (เช่น
.com) เพื่อให้อินเทอร์เน็ตส่วนที่เหลือเชื่อถือลายเซ็น
หากคุณลงทะเบียนโดเมนผ่าน Route 53 (Amazon Registrar) ขั้นตอน registrar ยังต้องทำ แต่ทำได้ภายใน AWS console หาก registrar ของคุณเป็นบริษัทอื่น คุณคัดลอก DS record ไปที่นั่นด้วยมือ
ความเสี่ยงจริง — ทำสิ่งนี้อย่างระมัดระวัง
DNSSEC สามารถทำให้โดเมนทั้งหมดของคุณออฟไลน์ได้หากกำหนดค่าผิด สองวิธีที่เกิดขึ้นได้:
- DS record ที่ registrar ที่ ไม่ตรงกับ key ที่ Route 53 เซ็นด้วย
- ปิด signing ลบ KMS key หรือย้าย DNS ออกจาก Route 53 โดยไม่ลบ DS record ที่ registrar ก่อน — DS record เก่ายังคงต้องการลายเซ็นที่ไม่มีอยู่แล้ว และการค้นหาล้มเหลว
ทำตามลำดับด้านล่างให้ตรงทุกอย่าง และหากคุณย้าย DNS ออกจาก Route 53 ลบ DS record ที่ registrar และปิด signing ก่อน จากนั้นค่อยย้าย
ยืนยันว่า Route 53 รัน DNS ของคุณ
สิ่งนี้จะทำงานได้ก็ต่อเมื่อ Route 53 ตอบ DNS สำหรับโดเมนของคุณ ตรวจสอบว่า nameservers ของโดเมนของคุณชี้ไปยัง Route 53 nameservers สี่รายการที่แสดงสำหรับ hosted zone ของคุณ เปิด Route 53 console ไปที่ Hosted zones เปิดโดเมนของคุณ และจดค่า NS record — การตั้งค่า nameserver ของ registrar ของคุณต้องตรงกับค่าเหล่านี้ หาก nameservers ชี้ไปที่อื่น ให้เปิด DNSSEC ที่ผู้ให้บริการที่รัน DNS ของคุณแทน
ขั้นตอนบน Route 53
- ลงชื่อเข้าใช้ AWS console และเปิด Route 53
- ไปที่ Hosted zones และเปิด hosted zone สำหรับโดเมนของคุณ
- เปิดแท็บ DNSSEC signing และเลือก Enable DNSSEC signing
- สำหรับ key-signing key (KSK) คุณต้องระบุ KMS key ที่จัดการโดยลูกค้า:
- เลือก Create customer managed key (หรือเลือกรายการที่มีอยู่แล้วที่เหมาะสม)
- Key ต้องเป็น key asymmetric ที่มีการใช้งาน Sign and verify โดยใช้ spec ECC_NIST_P256 และต้องอยู่ใน region US East (N. Virginia)
us-east-1— DNSSEC ของ Route 53 ต้องการ key ใน region นั้น - ตั้งชื่อ KSK
- ยืนยันและ enable signing Route 53 จะเซ็น hosted zone แล้ว
- ยังอยู่บนแท็บ DNSSEC signing ค้นหา DS record / Establish a chain of trust Route 53 แสดงค่าที่คุณต้องการ รวมถึง Key Tag, Signing algorithm, Digest algorithm และ Digest (และมักเป็น DS record line พร้อมใช้)
- ตอนนี้ไปที่ registrar ของคุณและเพิ่ม DS record:
- หากโดเมนลงทะเบียนใน Route 53 (Amazon Registrar): console สามารถพาคุณผ่านได้ภายใต้การตั้งค่าของโดเมน — หรือคัดลอกค่าไปยังส่วน DNSSEC ของโดเมน
- หาก registrar ของคุณเป็นบริษัทอื่น: เปิดส่วน DNSSEC / DS record ของมันและป้อนค่าจากขั้นตอนที่ 6 ให้ตรงทุกอักขระ — Key Tag, Algorithm (โดยทั่วไป
13), Digest Type (โดยทั่วไป2) และ Digest
- บันทึกที่ registrar ห่วงโซ่ความน่าเชื่อถือสมบูรณ์เมื่อ DS record ถูกยอมรับใน parent zone
ข้อผิดพลาดที่มักเกิดขึ้นบน Route 53
- KMS key ต้องอยู่ใน
us-east-1DNSSEC ของ Route 53 จะไม่ยอมรับ KSK key จาก region อื่น — สิ่งนี้ทำให้คนสะดุดตั้งแต่แรก - ใช้ประเภท key ที่ถูกต้อง ต้องเป็น KMS key แบบ asymmetric, sign-and-verify, ECC_NIST_P256 Key แบบ symmetric หรือ spec ผิดจะไม่ทำงานเป็น KSK
- สองระบบ ไม่ใช่หนึ่ง การเปิด signing ใน Route 53 เพียงอย่างเดียวไม่มีผลใด ๆ — DS record ต้องถึง registrar ด้วย คนหยุดหลังจากขั้นตอนที่ 5 และสงสัยว่าทำไมมันไม่ validate
- คัดลอก digest ให้ตรงทุกอักขระ อักขระผิดเพียงตัวเดียวใน Digest หมายความว่า DS record ของ registrar จะไม่ตรงกับ signing key ของ Route 53 — ปัญหาที่ทำให้โดเมนออฟไลน์พอดี วาง อย่าพิมพ์ใหม่
- อย่าลบ KMS key ขณะ signing ยังทำงาน และอย่าลบ DS record ที่ registrar ขณะที่ Route 53 ยังเซ็นอยู่
- ปิดตามลำดับที่ถูกต้องก่อนย้าย DNS เพื่อย้ายออก: ลบ DS record ที่ registrar รอให้มันหาย จากนั้นปิด signing ใน Route 53 — ไม่ใช่ทางกลับกัน
- ให้เวลามัน การเปลี่ยนแปลง DNSSEC อาจใช้เวลาตั้งแต่นาทีถึงหนึ่งวันเพื่อแพร่กระจายและ validate อย่างสมบูรณ์
ตรวจสอบว่าได้ผล
เมื่อเปิด signing ใน Route 53 และ DS record อยู่ที่ registrar ของคุณแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า DNSSEC ถูกเผยแพร่และน่าเชื่อถือสำหรับโดเมนของคุณหรือไม่
เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ