Konfiguration DNSSEC für eine Domain - Amazon Route 53
Überblick darüber, wie Ihre Domain DNSSEC geschützt wirdVoraussetzungen und Höchstwerte für die Konfiguration DNSSEC für eine DomainHinzufügen von öffentlichen Schlüsseln für eine DomäneLöschen von öffentlichen Schlüsseln für eine Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration DNSSEC für eine Domain

Manchmal kapern Angreifer den Datenverkehr zu Internet-Endpunkten wie Webservern, indem sie DNS Abfragen abfangen und ihre eigenen IP-Adressen anstelle der tatsächlichen IP-Adressen für diese Endpunkte an die DNS Resolver zurückgeben. Die Benutzer werden dann in die IP-Adressen aus der gefälschten Antwort der Angreifer geleitet, z. B. auf gefälschte Websites.

Sie können Ihre Domain vor dieser Art von Angriff schützen, der als DNS Spoofing oder man-in-the -Middle-Angriff bezeichnet wird, indem Sie Domain Name System Security Extensions (), ein Protokoll zur Sicherung des Datenverkehrs, konfigurieren. DNSSEC DNS

Wichtig

Amazon Route 53 unterstützt das DNSSEC Signieren und DNSSEC die Domainregistrierung. Wenn Sie das DNSSEC Signieren für eine Domain konfigurieren möchten, die bei Route 53 registriert ist, finden Sie weitere Informationen unterKonfiguration der DNSSEC Anmeldung in Amazon Route 53.

Überblick darüber, wie Ihre Domain DNSSEC geschützt wird

Bei der Konfiguration DNSSEC für Ihre Domain richtet ein DNS Resolver eine Vertrauenskette für Antworten von zwischengeschalteten Resolvern ein. Die Vertrauenskette beginnt mit der TLD Registrierung für die Domain (der übergeordneten Zone Ihrer Domain) und endet bei den autoritativen Nameservern bei Ihrem DNS Dienstanbieter. Nicht alle DNS Resolver unterstützen. DNSSEC Nur Resolver, die dies unterstützen, DNSSEC führen eine Signatur- oder Authentizitätsprüfung durch.

So konfigurieren DNSSEC Sie Domains, die bei Amazon Route 53 registriert sind, um Ihre Internet-Hosts vor DNS Spoofing zu schützen. Der Übersichtlichkeit halber wurde die Konfiguration vereinfacht:

  1. Verwenden Sie die von Ihrem DNS Dienstanbieter bereitgestellte Methode, um die Datensätze in Ihrer Hosting-Zone mit dem privaten Schlüssel in einem asymmetrischen key pair zu signieren.

    Wichtig

    Route 53 unterstützt das DNSSEC Signieren und DNSSEC die Domainregistrierung. Weitere Informationen hierzu finden Sie unter Konfiguration der DNSSEC Anmeldung in Amazon Route 53.

  2. Geben Sie den öffentlichen Schlüssel des Schlüsselpaares an die Domänenvergabestelle weiter, und geben Sie den Algorithmus an, der verwendet wurde, um das Schlüsselpaar zu generieren. Der Domain-Registrar leitet den öffentlichen Schlüssel und den Algorithmus an die Registry für die Top-Level-Domain weiter (). TLD

    Weitere Informationen darüber, wie Sie diesen Schritt für Domänen ausführen, die Sie mit Route 53 registriert haben, finden Sie unter Hinzufügen von öffentlichen Schlüsseln für eine Domäne.

Nach der Konfiguration DNSSEC wird Ihre Domain wie folgt vor Spoofing geschützt: DNS

  1. Senden Sie eine DNS Anfrage, indem Sie beispielsweise eine Website aufrufen oder eine E-Mail-Nachricht senden.

  2. Die Anfrage wird an einen DNS Resolver weitergeleitet. Auflöser sind zuständig für die Rückgabe des entsprechenden Werts an Kunden basierend auf der Anforderung, z. B. die IP-Adresse für den Host, auf dem ein Webserver oder ein E-Mail-Server ausgeführt wird.

  3. Wenn die IP-Adresse auf dem DNS Resolver zwischengespeichert ist, weil eine andere Person dieselbe DNS Anfrage bereits gesendet hat und der Resolver den Wert bereits erhalten hat, gibt der Resolver die IP-Adresse an den Client zurück, der die Anfrage gesendet hat. Der Client verwendet dann die IP-Adresse für den Zugriff auf den Host.

    Wenn die IP-Adresse nicht auf dem Resolver zwischengespeichert ist, sendet der DNS Resolver eine Anfrage an die übergeordnete Zone Ihrer Domain bei der Registry, die TLD zwei Werte zurückgibt:

    • Der Delegation Signer (DS)-Datensatz, bei dem es sich um einen öffentlichen Schlüssel handelt, der dem privaten Schlüssel entspricht, welcher zum Signieren des Datensatzes verwendet wurde.

    • Die IP-Adressen der autoritativen Namenserver für die Domäne.

  4. Der DNS Resolver sendet die ursprüngliche Anfrage an einen anderen Resolver. DNS Wenn dieser Resolver die IP-Adresse nicht hat, wiederholt er den Vorgang, bis ein Resolver die Anfrage an einen Nameserver bei Ihrem Dienstanbieter sendet. DNS Der Namenserver gibt zwei Werte zurück:

    • Den Datensatz für die Domäne, wie z. B. example.com. Im Allgemeinen enthält dieser die IP-Adresse eines Hosts.

    • Die Signatur für den Datensatz, den Sie bei der Konfiguration erstellt haben. DNSSEC

  5. Der DNS Resolver verwendet den öffentlichen Schlüssel, den Sie dem Domain-Registrar zur Verfügung gestellt haben und den der Registrar an die TLD Registry weitergeleitet hat, für zwei Zwecke:

    • Erstellen einer Vertrauenskette.

    • Stellen Sie sicher, dass die signierte Antwort des DNS Dienstanbieters legitim ist und nicht durch eine schlechte Antwort eines Angreifers ersetzt wurde.

  6. Wenn die Antwort authentisch ist, gibt der Auflöser den Wert an den Client zurück, der die Anforderung übermittelt hat.

    Wenn die Antwort nicht verifiziert werden kann, wird vom Auflöser ein Fehler an den Benutzer zurückgegeben.

    Wenn die TLD Registry für die Domain nicht über den öffentlichen Schlüssel für die Domain verfügt, beantwortet der Resolver die DNS Anfrage mit der Antwort, die er vom DNS Dienstanbieter erhalten hat.

Voraussetzungen und Höchstwerte für die Konfiguration DNSSEC für eine Domain

Um DNSSEC für eine Domain zu konfigurieren, müssen Ihre Domain und Ihr DNS Dienstanbieter die folgenden Voraussetzungen erfüllen:

  • Die Registry für die TLD muss unterstützenDNSSEC. Informationen darüber, ob die Registrierung für Sie TLD unterstütztDNSSEC, finden Sie unterDomains, die Sie mit Amazon Route 53 registrieren können.

  • Der DNS Dienstanbieter für die Domain muss unterstützenDNSSEC.

    Wichtig

    Route 53 unterstützt das DNSSEC Signieren und DNSSEC die Domainregistrierung. Weitere Informationen hierzu finden Sie unter Konfiguration der DNSSEC Anmeldung in Amazon Route 53.

  • Sie müssen die Konfiguration DNSSEC mit dem DNS Dienstanbieter für Ihre Domain vornehmen, bevor Sie öffentliche Schlüssel für die Domain zu Route 53 hinzufügen.

  • Die Anzahl der öffentlichen Schlüssel, die Sie einer Domain hinzufügen können, hängt von den folgenden Kriterien TLD für die Domain ab:

    • .com- und .net-Domänen – bis zu dreizehn Schlüssel

    • Alle anderen Domänen – bis zu vier Schlüssel

Hinzufügen von öffentlichen Schlüsseln für eine Domäne

Wenn Sie Schlüssel rotieren oder DNSSEC für eine Domain aktivieren, führen Sie nach der Konfiguration DNSSEC mit dem DNS Dienstanbieter für die Domain das folgende Verfahren durch.

So fügen Sie öffentliche Schlüssel für eine Domäne hinzu

  1. Wenn Sie die Konfiguration noch nicht DNSSEC bei Ihrem DNS Dienstanbieter vorgenommen haben, verwenden Sie zur Konfiguration die von Ihrem Dienstanbieter bereitgestellte MethodeDNSSEC.

  2. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  3. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

  4. Klicken Sie auf den Namen der Domäne, für die Sie Schlüssel hinzufügen möchten.

  5. Wählen Sie auf der Registerkarte DNSSECSchlüssel die Option Schlüssel hinzufügen aus.

  6. Geben Sie die folgenden Werte an:

    Schlüsseltyp

    Wählen Sie aus, ob Sie einen Schlüssel zur Schlüsselsignatur (KSK) oder einen Zonensignaturschlüssel () hochladen möchten. ZSK

    Algorithmus

    Wählen Sie den Algorithmus, den Sie zum Signieren der Datensätze für die gehostete Zone verwendet haben.

    Öffentlicher Schlüssel

    Geben Sie den öffentlichen Schlüssel aus dem asymmetrischen key pair an, das Sie DNSSEC bei Ihrem DNS Dienstanbieter konfiguriert haben.

    Beachten Sie Folgendes:

    • Geben Sie den öffentlichen Schlüssel an, nicht den Digest.

    • Sie müssen den Schlüssel im base64-Format angeben.

  7. Wählen Sie Hinzufügen aus.

    Anmerkung

    Sie können nur jeweils einen öffentlichen Schlüssel hinzufügen. Wenn Sie weitere Schlüssel hinzufügen möchten, warten Sie, bis Sie eine Bestätigungs-E-Mail von Route 53 erhalten haben.

  8. Wenn Route 53 eine Antwort von der Registrierungsstelle erhält, senden wir eine E-Mail an den Registrierenden für die Domäne. Die E-Mail bestätigt entweder, dass der öffentliche Schlüssel in der Registrierungsstelle zur Domäne hinzugefügt wurde oder erklärt, warum der Schlüssel nicht hinzugefügt werden konnte.

Löschen von öffentlichen Schlüsseln für eine Domäne

Wenn Sie Schlüssel rotieren oder DNSSEC für die Domain deaktivieren, löschen Sie öffentliche Schlüssel mit dem folgenden Verfahren, bevor Sie sie DNSSEC bei Ihrem DNS Dienstanbieter deaktivieren. Beachten Sie Folgendes:

  • Wenn Sie die öffentlichen Schlüssel wechseln, empfehlen wir, dass Sie bis zu drei Tage warten, nachdem Sie die neuen öffentlichen Schlüssel hinzugefügt haben, bevor Sie die alten öffentlichen Schlüssel löschen.

  • Wenn Sie die Option deaktivierenDNSSEC, löschen Sie zuerst die öffentlichen Schlüssel für die Domain. Wir empfehlen, bis zu drei Tage zu warten, bevor Sie DNSSEC den DNS Dienst für die Domain deaktivieren.

Wichtig

Wenn er für die Domain aktiviert DNSSEC ist und Sie ihn DNSSEC mit dem DNS Dienst deaktivieren, DNSSEC geben DNS Resolver, die ihn unterstützen, einen SERVFAIL Fehler an die Clients zurück, sodass die Clients nicht auf die Endgeräte zugreifen können, die der Domain zugeordnet sind.

So löschen Sie öffentliche Schlüssel für eine Domäne

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter. https://console.aws.amazon.com/route53/

  2. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

  3. Klicken Sie auf den Namen der Domäne, in der Sie Schlüssel löschen möchten.

  4. Wählen Sie auf der Registerkarte „DNSSECSchlüssel“ das Optionsfeld neben dem Schlüssel aus, den Sie löschen möchten, und wählen Sie dann Schlüssel löschen aus.

  5. Geben Sie im Dialogfeld DNSSEC Schlüssel löschen den Text Löschen in das Textfeld ein, um zu bestätigen, dass Sie den Schlüssel löschen möchten, und wählen Sie dann Löschen aus.

    Anmerkung

    Sie können nur jeweils einen öffentlichen Schlüssel löschen. Wenn Sie weitere Schlüssel löschen möchten, warten Sie, bis Sie eine Bestätigungs-E-Mail von Amazon Route 53 erhalten haben.

  6. Wenn Route 53 eine Antwort von der Registrierungsstelle erhält, senden wir eine E-Mail an den Registrierenden für die Domäne. Die E-Mail bestätigt entweder, dass der öffentliche Schlüssel in der Registrierungsstelle aus der Domäne gelöscht wurde oder erklärt, warum der Schlüssel nicht gelöscht werden konnte.