Defaults.Exposed › Cài đặt › DNSSEC

Cách thiết lập DNSSEC trên AWS Route 53

Bật ký DNSSEC trong Route 53 với khóa KMS và thêm bản ghi DS tại nhà đăng ký để không ai có thể giả mạo câu trả lời DNS của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Khi ai đó truy cập website của bạn hoặc gửi email cho bạn, máy tính của họ trước tiên hỏi hệ thống DNS về địa chỉ đúng. Những câu trả lời đó thường truyền đi mà không được ký, vì vậy kẻ tấn công có thể can thiệp vào tra cứu đó, âm thầm chuyển hướng khách truy cập của bạn đến một trang giả mạo hoặc chuyển hướng email của bạn đến máy chủ của chúng — trong khi tên miền thật của bạn vẫn xuất hiện trên thanh địa chỉ.

DNSSEC ngăn điều này. Nó ký điện tử vào các câu trả lời DNS của bạn, để bất kỳ ai tra cứu bạn đều có thể chứng minh câu trả lời thực sự đến từ bạn và không bị thay đổi trong quá trình truyền. Nói đơn giản: nó chặn chiếm quyền tên miền và đầu độc bộ nhớ cache, các cuộc tấn công biến tên miền của bạn thành vũ khí chống lại khách hàng của bạn. Đây là tính năng miễn phí (khóa ký dùng khóa AWS KMS nhỏ, với chi phí hàng tháng nhỏ), và là một trong những bảo vệ mạnh nhất bạn có thể bật.

DNSSEC hoạt động thế nào trên Route 53

Route 53 chia công việc theo cách đáng hiểu trước khi bắt đầu:

• Route 53 ký hosted zone của bạn bằng khóa lưu trong AWS KMS (Key Management Service). Bật ký sẽ công bố các khóa công khai (DNSKEY) và tạo ra bản ghi DS.
• Nhà đăng ký của bạn — công ty bạn gia hạn tên miền — sau đó phải công bố bản ghi DS đó trong zone cha (ví dụ .com) để phần còn lại của internet tin tưởng các chữ ký.

Nếu bạn đã đăng ký tên miền qua Route 53 (Amazon Registrar), bước nhà đăng ký vẫn bắt buộc, nhưng được thực hiện trong AWS console. Nếu nhà đăng ký của bạn là công ty khác, bạn sao chép bản ghi DS sang đó bằng tay.

Rủi ro thực sự — làm điều này cẩn thận

DNSSEC có thể đưa toàn bộ tên miền của bạn ngoại tuyến nếu cấu hình sai. Hai cách điều đó xảy ra:

• Bản ghi DS tại nhà đăng ký không khớp với khóa mà Route 53 đang ký.
• Vô hiệu hóa ký, xóa khóa KMS, hoặc chuyển DNS khỏi Route 53 mà không xóa bản ghi DS tại nhà đăng ký trước — bản ghi DS cũ tiếp tục đòi hỏi chữ ký không còn tồn tại, và các tra cứu thất bại.

Tuân theo thứ tự bên dưới chính xác. Và nếu bạn dự định di chuyển DNS khỏi Route 53, hãy xóa bản ghi DS tại nhà đăng ký và vô hiệu hóa ký trước, rồi mới chuyển.

Xác nhận Route 53 đang quản lý DNS của bạn

Điều này chỉ hoạt động nếu Route 53 đang trả lời DNS cho tên miền của bạn. Kiểm tra rằng nameservers của tên miền trỏ vào bốn nameservers Route 53 được liệt kê cho hosted zone của bạn. Mở console Route 53, vào Hosted zones, mở tên miền của bạn, và ghi lại các giá trị bản ghi NS — cài đặt nameserver của nhà đăng ký phải khớp với những giá trị này. Nếu nameservers trỏ đến nơi khác, hãy bật DNSSEC tại nhà cung cấp DNS đó.

Hướng dẫn từng bước trên Route 53

1. Đăng nhập vào AWS console và mở Route 53.
2. Vào Hosted zones và mở hosted zone cho tên miền của bạn.
3. Mở tab DNSSEC signing và chọn Enable DNSSEC signing.
4. Đối với key-signing key (KSK), bạn phải cung cấp khóa KMS do khách hàng quản lý:
   • Chọn Create customer managed key (hoặc chọn khóa đủ điều kiện hiện có).
   • Khóa phải là khóa asymmetric với mục đích Sign and verify, dùng spec ECC_NIST_P256, và phải ở vùng US East (N. Virginia) us-east-1 — DNSSEC Route 53 yêu cầu khóa ở vùng đó.
   • Đặt tên cho KSK.
5. Xác nhận và bật ký. Route 53 bây giờ ký hosted zone.
6. Vẫn trong tab DNSSEC signing, tìm DS record / Establish a chain of trust. Route 53 hiển thị các giá trị bạn cần, bao gồm Key Tag, Signing algorithm, Digest algorithm, và Digest (và thường cả dòng bản ghi DS đã sẵn sàng).
7. Bây giờ vào nhà đăng ký của bạn và thêm bản ghi DS:
   • Nếu tên miền đăng ký trong Route 53 (Amazon Registrar): console có thể hướng dẫn bạn qua đó trong cài đặt tên miền — hoặc sao chép các giá trị vào phần DNSSEC của tên miền.
   • Nếu nhà đăng ký là công ty khác: mở phần DNSSEC / bản ghi DS của họ và nhập chính xác các giá trị từ bước 6 — Key Tag, Algorithm (thường là 13), Digest Type (thường là 2), và Digest.
8. Lưu tại nhà đăng ký. Chuỗi tin cậy hoàn chỉnh khi bản ghi DS được chấp nhận trong zone cha.

Những lỗi phổ biến với Route 53

• Khóa KMS phải ở us-east-1. DNSSEC Route 53 sẽ không chấp nhận khóa KSK từ vùng khác — điều này làm nhiều người vấp ngã ngay từ đầu.
• Dùng đúng loại khóa. Phải là khóa KMS asymmetric, sign-and-verify, ECC_NIST_P256. Khóa symmetric hoặc sai spec sẽ không hoạt động như KSK.
• Hai hệ thống, không phải một. Bật ký trong Route 53 một mình không làm được gì — bản ghi DS cũng phải đến được nhà đăng ký. Nhiều người dừng ở bước 5 và tự hỏi tại sao nó không bao giờ được xác thực.
• Sao chép digest chính xác. Một ký tự sai trong Digest có nghĩa là bản ghi DS của nhà đăng ký sẽ không khớp với khóa ký của Route 53 — đây chính xác là cấu hình sai có thể đưa tên miền ngoại tuyến. Dán, không bao giờ gõ lại.
• Đừng xóa khóa KMS trong khi ký đang hoạt động. Và đừng bao giờ xóa bản ghi DS tại nhà đăng ký trong khi Route 53 vẫn đang ký.
• Vô hiệu hóa theo đúng thứ tự trước khi chuyển DNS. Để di chuyển: xóa bản ghi DS tại nhà đăng ký, chờ nó xóa sạch, sau đó vô hiệu hóa ký trong Route 53 — không phải theo chiều ngược lại.
• Chờ một chút. Thay đổi DNSSEC có thể mất từ vài phút đến một ngày để lan truyền đầy đủ và xác thực.

Xác minh thiết lập

Sau khi ký được bật trong Route 53 và bản ghi DS đã có mặt tại nhà đăng ký, hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu DNSSEC đã được công bố đúng và được tin cậy cho tên miền của bạn.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.