Defaults.Exposed › Налаштування › DNSSEC

Як налаштувати DNSSEC на AWS Route 53

Увімкніть підпис DNSSEC у Route 53 за допомогою KMS-ключа і додайте DS-запис у вашого реєстратора, щоб ніхто не міг підробити ваші DNS-відповіді.

Чому це важливо для вашого бізнесу

Коли хтось відвідує ваш сайт або надсилає вам листа, його комп’ютер спочатку запитує у DNS-системи правильну адресу. Ці відповіді зазвичай передаються без підпису, тому зловмисник, здатний втрутитися в пошук, може непомітно перенаправити ваших відвідувачів на підроблений сайт або переслати вашу пошту на свій сервер — а ваш реальний домен все одно відображається в адресному рядку.

DNSSEC запобігає цьому. Він криптографічно підписує ваші DNS-відповіді, тому будь-хто, хто вас шукає, може переконатися, що відповідь дійсно прийшла від вас і не була змінена при передачі. Простими словами: він блокує захоплення домену та отруєння кешу — атаки, що перетворюють ваш власний домен на зброю проти ваших клієнтів. Це безкоштовно як функція (підписувальний ключ використовує невеликий ключ AWS KMS з незначною місячною вартістю) і є одним із найпотужніших захисних заходів, який ви можете увімкнути.

Як DNSSEC працює на Route 53

Route 53 розділяє завдання на частини, які варто розуміти перед початком:

• Route 53 підписує вашу хостинг-зону за допомогою ключа, що зберігається в AWS KMS (Key Management Service). Увімкнення підпису публікує відкриті ключі (DNSKEY) і створює DS-запис.
• Ваш реєстратор — компанія, де ви поновлюєте домен — повинен потім опублікувати цей DS-запис у батьківській зоні (наприклад, .com), щоб решта інтернету довіряла підписам.

Якщо ви реєстрували домен через Route 53 (Amazon Registrar), крок реєстратора все одно потрібен, але він виконується в консолі AWS. Якщо ваш реєстратор — інша компанія, ви копіюєте DS-запис туди вручну.

Реальний ризик — дійте обережно

DNSSEC може вивести весь ваш домен з мережі при неправильній конфігурації. Це відбувається двома способами:

• DS-запис у реєстратора, який не збігається з ключем, яким підписує Route 53.
• Вимкнення підпису, видалення KMS-ключа або перенесення DNS з Route 53 без попереднього видалення DS-запису у реєстратора — застарілий DS-запис продовжує вимагати підписи, яких більше немає, і пошук провалюється.

Дотримуйтесь наведеного нижче порядку точно. І якщо ви коли-небудь плануєте перенести DNS з Route 53 — спочатку видаліть DS-запис у реєстратора і вимкніть підпис, потім переносьте.

Перевірте, чи Route 53 обслуговує ваш DNS

Це працює лише тоді, коли Route 53 відповідає на DNS-запити для вашого домену. Перевірте, що сервери імен вашого домену вказують на чотири сервери Route 53, перелічені у вашій хостинг-зоні. Відкрийте консоль Route 53, перейдіть до Hosted zones, відкрийте ваш домен і запишіть значення NS-запису — налаштування серверів імен у вашого реєстратора повинні збігатися з ними. Якщо сервери імен вказують деінде — увімкніть DNSSEC у того провайдера, який керує вашим DNS.

Покрокова інструкція для Route 53

1. Увійдіть до консолі AWS і відкрийте Route 53.
2. Перейдіть до Hosted zones і відкрийте хостинг-зону для вашого домену.
3. Відкрийте вкладку DNSSEC signing і виберіть Enable DNSSEC signing.
4. Для key-signing key (KSK) вам потрібно надати ключ KMS, яким керує клієнт:
   • Виберіть Create customer managed key (або оберіть вже наявний відповідний).
   • Ключ повинен бути асиметричним із використанням Sign and verify та специфікацією ECC_NIST_P256, і він повинен знаходитися в регіоні US East (N. Virginia) us-east-1 — DNSSEC Route 53 вимагає ключ саме в цьому регіоні.
   • Дайте KSK назву.
5. Підтвердьте і увімкніть підпис. Route 53 тепер підписує хостинг-зону.
6. На вкладці DNSSEC signing знайдіть DS record / Establish a chain of trust. Route 53 відображає потрібні вам значення, включаючи Key Tag, Signing algorithm, Digest algorithm і Digest (і часто готовий рядок DS-запису).
7. Тепер перейдіть до вашого реєстратора і додайте DS-запис:
   • Якщо домен зареєстровано в Route 53 (Amazon Registrar): консоль може провести вас через це в налаштуваннях домену — або скопіюйте значення в розділ DNSSEC домену.
   • Якщо ваш реєстратор — інша компанія: відкрийте його розділ DNSSEC / DS-записів і введіть значення з кроку 6 точно — Key Tag, Algorithm (зазвичай 13), Digest Type (зазвичай 2) і Digest.
8. Збережіть у реєстратора. Ланцюг довіри завершено після прийняття DS-запису в батьківській зоні.

Типові помилки на Route 53

• KMS-ключ повинен бути в us-east-1. DNSSEC Route 53 не прийме KSK-ключ з іншого регіону — це перша пастка для людей.
• Використовуйте правильний тип ключа. Це повинен бути асиметричний, sign-and-verify, ECC_NIST_P256 KMS-ключ. Симетричний або неправильний ключ не спрацює як KSK.
• Два системи, а не одна. Увімкнення підпису в Route 53 само по собі нічого не робить — DS-запис також має дійти до реєстратора. Люди зупиняються після кроку 5 і дивуються, чому DNSSEC ніколи не валідується.
• Копіюйте digest точно. Один неправильний символ у Digest означає, що DS-запис реєстратора не відповідатиме підписувальному ключу Route 53 — саме та неправильна конфігурація, яка виводить домен з мережі. Вставляйте, ніколи не передруковуйте.
• Не видаляйте KMS-ключ, поки підпис активний. І ніколи не видаляйте DS-запис у реєстратора, поки Route 53 ще підписує.
• Вимикайте в правильному порядку перед переносом DNS. Для міграції: видаліть DS-запис у реєстратора, зачекайте, поки він очиститься, потім вимкніть підпис у Route 53 — а не навпаки.
• Дайте час. Зміни DNSSEC можуть займати від кількох хвилин до доби для повного поширення і валідації.

Перевірте результат

Після увімкнення підпису в Route 53 і наявності DS-запису у вашого реєстратора запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи DNSSEC правильно опублікований і довірений для вашого домену.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.