Desactivar la firma DNSSEC - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Desactivar la firma DNSSEC

Los pasos para deshabilitar el inicio de DNSSEC sesión en Route 53 varían en función de la cadena de confianza de la que forme parte la zona alojada.

Por ejemplo, la zona alojada puede tener una zona principal que tenga un registro de Delegation Signer (DS) como parte de una cadena de confianza. La zona alojada también puede ser en sí misma una zona principal para las zonas secundarias que tienen habilitada la DNSSEC firma, que es otra parte de la cadena de confianza. Investiga y determina toda la cadena de confianza de tu zona alojada antes de tomar las medidas necesarias para deshabilitar la DNSSEC firma.

La cadena de confianza de la zona alojada que permite la DNSSEC firma se debe deshacer cuidadosamente al deshabilitar la firma. Para eliminar la zona alojada de la cadena de confianza, elimine todos los registros de DS que haya en la cadena de confianza que incluye esta zona alojada. Debe hacer lo siguiente, en orden:

  1. Elimine todos los registros de DS que esta zona alojada tenga para las zonas secundarias que forman parte de una cadena de confianza.

  2. Elimine el registro de DS desde la zona principal. Si tiene una isla de confianza (no hay registros de DS en la zona principal ni registros de DS para zonas secundarias en esta zona), puede omitir este paso.

  3. Si no puede eliminar los registros de DS, para eliminar la zona de la cadena de confianza, elimine los registros de NS de la zona principal. Para obtener más información, consulte Adición o modificación de servidores de nombres y registros de conexión de un dominio.

Los siguientes pasos incrementales le permiten supervisar la eficacia de los pasos individuales para evitar problemas de DNS disponibilidad en su zona.

Para deshabilitar la DNSSEC firma

  1. Supervisar la disponibilidad de zonas.

    Puede supervisar la zona para comprobar la disponibilidad de sus nombres de dominio. Esto puede ayudarte a solucionar cualquier problema que pudiera justificar dar un paso atrás después de activar la DNSSEC firma. Puede supervisar los nombres de dominio con la mayor parte del tráfico mediante el registro de consultas. Para obtener más información sobre la configuración del registro de consultas, consulte Monitoreo de Amazon Route 53.

    La supervisión se puede realizar a través de un script de shell o mediante un servicio de pago. Sin embargo, no debería ser la única señal para determinar si se requiere una reversión. Es posible que también reciba comentarios de sus clientes debido a que un dominio no está disponible.

  2. Busca el DS actualTTL.

    Puede encontrar el DS TTL ejecutando el siguiente comando de Unix:

    dig -t DS example.com example.com

  3. Encuentre el NS máximo. TTL

    Hay 2 conjuntos de registros NS asociados a sus zonas:

    • El registro NS de la delegación: es el registro NS de su zona mantenida por la zona principal. Puede encontrarlo ejecutando los siguientes comandos de Unix:

      Busque primero el NS de su zona principal (si su zona es ejemplo.com, la zona principal es com):

      dig -t NS com

      Elija uno de los registros NS y, a continuación, ejecute lo siguiente:

      dig @one of the NS records of your parent zone -t NS example.com

      Por ejemplo:

      dig @b.gtld-servers.net. -t NS example.com

    • El registro NS de la zona: es el registro NS de su zona. Puede encontrarlo ejecutando el siguiente comando Unix:

      dig @one of the NS records of your zone -t NS example.com

      Por ejemplo:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Anote el máximo TTL para ambas zonas.

  4. Elimine el registro de DS desde la zona principal.

    Póngase en contacto con el propietario de la zona principal para eliminar el registro DS.

    Reversión: vuelva a insertar el registro DS, confirme que la inserción DS es efectiva y espere a que se alcance el máximo de NS (no DS) TTL antes de que todos los resolutores comiencen a validar de nuevo.

  5. Confirme que la eliminación del DS es efectiva.

    Si la zona principal está en el DNS servicio Route 53, el propietario de la zona principal puede confirmar la propagación completa a través de. GetChangeAPI

    De lo contrario, puede sondear periódicamente la zona principal del registro DS y esperar otros 10 minutos después para aumentar la probabilidad de que la eliminación del registro DS se propague por completo. Tenga en cuenta que algunos registradores han programado la retirada del DS, por ejemplo, una vez al día.

  6. Espere a que aparezca el DSTTL.

    Espere a que todos los solucionadores hayan caducado el registro DS de sus cachés.

  7. Desactive la DNSSEC firma y desactive la clave de firma (). KSK

    CLI

    Llama y. DisableHostedZoneDNSSECDeactivateKeySigningKeyAPIs

    Por ejemplo:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Para deshabilitar la DNSSEC firma

    1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

    2. En el panel de navegación, elija Zonas alojadas y, a continuación, elija una zona alojada en la que desee deshabilitar DNSSEC el registro.

    3. En la pestaña de DNSSECfirma, selecciona Desactivar la DNSSEC firma.

    4. En la página Inhabilitar la DNSSEC firma, elige una de las siguientes opciones, según el escenario de la zona en la que vayas a inhabilitar la DNSSEC firma.

      • Parent zone only (Solo la zona principal) — Esta zona tiene una zona principal con un registro de DS. En este escenario, debe eliminar el registro de DS de la zona principal.

      • Child zones only (Solo las zonas secundarias) — Esta zona tiene un registro de DS para una cadena de confianza con una o más zonas secundarias. En este escenario, debe eliminar los registros de DS de la zona.

      • Parent and child zones (Zonas principales y secundarias) — Esta zona tiene un registro de DS para una cadena de confianza con una o más zonas secundarias y una zona principal con un registro de DS. En este escenario, haga lo siguiente en orden:

        1. Elimine los registros de DS de la zona.

        2. Elimine el registro de DS de la zona principal.

        Si tiene una isla de confianza, puede omitir este paso.

    5. Determina cuál TTL es el valor de cada registro DS que elimines en el paso 4. , Asegúrese de que haya expirado el TTL período más largo.

    6. Seleccione la casilla de verificación para confirmar que ha seguido los pasos en orden.

    7. Escriba disable (desactivar) en el campo, como se muestra, y elija Disable (Desactivar).

    Para desactivar la clave de firma () KSK

    1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en. https://console.aws.amazon.com/route53/

    2. En el panel de navegación, elija Zonas alojadas y, a continuación, elija una zona alojada en la que desee desactivar la clave de firma ()KSK.

    3. En la sección Claves de firma clave (KSKs), elige la KSK que deseas desactivar y, en Acciones, elige Editar, establece el KSKestado como Inactivo yKSK, a continuación, selecciona Guardar. KSK

    Revertir: llama y. ActivateKeySigningKeyEnableHostedZoneDNSSECAPIs

    Por ejemplo:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Confirme que la desactivación de la firma de zona es efectiva.

    Use el identificador de la EnableHostedZoneDNSSEC() llamada GetChangepara ejecutar y asegurarse de que todos los DNS servidores de Route 53 hayan dejado de firmar las respuestas (status =INSYNC).

  9. Observe la resolución de nombres.

    Debe observar que no hay problemas que provoquen que los solucionadores validen su zona. Deje pasar entre 1 y 2 semanas para tener en cuenta el tiempo necesario para que sus clientes le comuniquen los problemas.

  10. (Opcional) Limpieza.

    Si no va a volver a activar la firma, puede limpiar DeleteKeySigningKeyy eliminar la clave correspondiente gestionada KSKs por el cliente para ahorrar costes.