AWS Route 53'te DNSSEC nasıl kurulur

Route 53'te KMS anahtarıyla DNSSEC imzalamayı etkinleştirin ve DS kaydını kayıt şirketinize ekleyerek DNS yanıtlarınızın kimse tarafından taklit edilmesini önleyin.

Bu işletmeniz için neden önemlidir

Birisi web sitenizi ziyaret ettiğinde veya size e-posta gönderdiğinde bilgisayarı önce DNS sistemine doğru adresi sorar. Bu yanıtlar normalde imzasız iletilir; bu da aramayı kurcalayabilen bir saldırganın ziyaretçilerinizi sessizce sahte bir siteye yönlendirebileceği ya da e-postanızı kendi sunucusuna aktarabileceği anlamına gelir — gerçek alan adınız adres çubuğunda görünmeye devam eder.

DNSSEC bunu önler. DNS yanıtlarınızı kriptografik olarak imzalar; böylece sizi arayan herkes yanıtın gerçekten sizden geldiğini ve iletim sırasında değiştirilmediğini kanıtlayabilir. Açık söylemek gerekirse: müşterilerinizin alan adınızı ele çeviren saldırıları, yani alan adı ele geçirmeyi ve önbellek zehirlemeyi engeller. Özellik olarak ücretsizdir (imzalama anahtarı küçük bir AWS KMS anahtarı kullanır ve küçük bir aylık maliyet doğurur); etkinleştirebileceğiniz en güçlü korumalardan biridir.

Route 53’te DNSSEC nasıl çalışır

Route 53 işi başlamadan anlamaya değer bir şekilde böler:

Route 53, barındırma bölgenizi AWS KMS (Key Management Service) içinde saklanan bir anahtar kullanarak imzalar. İmzalamayı açmak genel anahtarları (DNSKEY) yayınlar ve bir DS kaydı üretir.
Kayıt şirketiniz — alan adını yenilediğiniz şirket — bu DS kaydını üst bölgeye (örn. .com) yüklemek zorundadır, böylece internet’in geri kalanı imzalara güvenebilir.

Alan adını Route 53 (Amazon Registrar) üzerinden kaydettiyseniz kayıt şirketi adımı hâlâ gereklidir, ancak AWS konsolu içinde yapılır. Kayıt şirketiniz farklı bir şirketse DS kaydını oraya elle kopyalarsınız.

Gerçek risk — bunu dikkatli yapın

DNSSEC yanlış yapılandırılırsa tüm alan adınızı çevrimdışı bırakabilir. Bu iki şekilde olur:

Kayıt şirketindeki DS kaydının Route 53’ün imzaladığı anahtarla eşleşmemesi.
İmzalamayı devre dışı bırakmak, KMS anahtarını silmek ya da DNS’i Route 53’ten taşımak sırasında kayıt şirketindeki DS kaydını önce kaldırmamak — eski DS kaydı artık var olmayan imzaları talep etmeye devam eder ve aramalar başarısız olur.

Aşağıdaki sırayı tam olarak takip edin. DNS’i Route 53’ten taşıyacaksanız önce kayıt şirketindeki DS kaydını kaldırıp imzalamayı devre dışı bırakın, sonra taşıyın.

Route 53’ün DNS’inizi yönettiğini doğrulayın

Bu yalnızca Route 53 alan adınız için DNS sorgularını yanıtlıyorsa işe yarar. Alan adınızın name server’larının barındırma bölgeniz için listelenen dört Route 53 name server’ına işaret ettiğini kontrol edin. Route 53 konsolunu açın, Hosted zones bölümüne gidin, alan adınızı açın ve NS kayıt değerlerini not edin — kayıt şirketinizdeki name server ayarı bunlarla eşleşmelidir. Name server’larınız başka bir yere işaret ediyorsa DNSSEC’i DNS’inizi yöneten sağlayıcıda etkinleştirin.

Route 53’te adım adım

AWS konsoluna giriş yapın ve Route 53’ü açın.
Hosted zones bölümüne gidin ve alan adınızın barındırma bölgesini açın.
DNSSEC signing sekmesini açın ve Enable DNSSEC signing seçeneğini belirleyin.
Anahtar imzalama anahtarı (KSK) için müşteri tarafından yönetilen bir KMS anahtarı sağlamanız gerekir:
- Create customer managed key seçin (veya mevcut uygun bir tane seçin).
- Anahtar asimetrik olmalı, kullanımı Sign and verify, spesifikasyonu ECC_NIST_P256 ve US East (N. Virginia) us-east-1 bölgesinde olmalıdır — Route 53 DNSSEC anahtarın o bölgede olmasını zorunlu kılar.
- KSK’ya bir ad verin.
Onaylayın ve imzalamayı etkinleştirin. Route 53 artık barındırma bölgesini imzalamaktadır.
Hâlâ DNSSEC signing sekmesindeyken DS record / Establish a chain of trust bölümünü bulun. Route 53, ihtiyacınız olan değerleri — Key Tag, Signing algorithm, Digest algorithm ve Digest (ve genellikle hazır bir DS kaydı satırı) — gösterir.
Şimdi kayıt şirketinize gidin ve DS kaydını ekleyin:
- Alan adı Route 53’te (Amazon Registrar) kayıtlıysa: konsol sizi alan adı ayarları altında buna yönlendirebilir — ya da değerleri alan adının DNSSEC bölümüne kopyalayın.
- Kayıt şirketiniz farklı bir şirketse: DNSSEC / DS kaydı bölümünü açın ve 6. adımdaki değerleri tam olarak girin — Key Tag, Algorithm (genellikle 13), Digest Type (genellikle 2) ve Digest.
Kayıt şirketinde kaydedin. DS kaydı üst bölgeye kabul edildiğinde güven zinciri tamamlanmış olur.

Route 53’te insanların sık yaptığı hatalar

KMS anahtarı us-east-1’de olmalıdır. Route 53 DNSSEC, başka bir bölgedeki bir KSK anahtarını kabul etmez — insanları ilk tuzağa düşüren bu olur.
Doğru anahtar türünü kullanın. Asimetrik, imzala-ve-doğrula, ECC_NIST_P256 KMS anahtarı olmalıdır. Simetrik veya yanlış spesifikasyondaki bir anahtar KSK olarak çalışmaz.
İki sistem, tek değil. Route 53’te imzalamayı etkinleştirmek tek başına hiçbir şey yapmaz — DS kaydının kayıt şirketine de ulaşması gerekir. İnsanlar 5. adımdan sonra durup neden hiçbir zaman doğrulanamadığını merak eder.
Özeti tam olarak kopyalayın. Digest’teki tek yanlış karakter, kayıt şirketinin DS kaydının Route 53’ün imzalama anahtarıyla eşleşmeyeceği anlamına gelir — alan adını çevrimdışı bırakan tam yanlış yapılandırma. Yapıştırın, asla yeniden yazmayın.
İmzalama etkinken KMS anahtarını silmeyin. Ve kayıt şirketindeki DS kaydını Route 53 hâlâ imzalıyorken kaldırmayın.
DNS’i taşımadan önce doğru sırayla devre dışı bırakın. Geçiş yapmak için: kayıt şirketindeki DS kaydını kaldırın, temizlenmesini bekleyin, ardından Route 53’te imzalamayı devre dışı bırakın — tersine değil.
Süre tanıyın. DNSSEC değişikliklerinin tam yayılması ve doğrulanması birkaç dakika ile bir güne kadar sürebilir.

Çalıştığını doğrulayın

Route 53’te imzalama etkinleştirildikten ve DS kaydı kayıt şirketinizde yerindeyken bu sitedeki ücretsiz kontrolü çalıştırın. DNSSEC’in alan adınız için doğru yayınlanıp yayınlanmadığını ve güvenilip güvenilmediğini sade bir dille size söyler.

Tamam mı? Alan adınızı ücretsiz kontrol edin çalıştığını onaylamak — ve 34 kontrolün tamamında tam derecenizi görmek için.