Désactivation DNSSEC de la signature - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désactivation DNSSEC de la signature

Les étapes à suivre pour désactiver DNSSEC la signature dans Route 53 varient en fonction de la chaîne de confiance à laquelle appartient votre zone hébergée.

Par exemple, il est possible que votre zone hébergée dispose d'une zone parent dotée d'un registre Delegation Signer (DS), ce qui constitue une partie d'une chaîne d'approbation. Votre zone hébergée peut également être elle-même une zone parent pour les zones enfants qui ont activé la DNSSEC signature, ce qui constitue un autre élément de la chaîne de confiance. Examinez et déterminez la chaîne de confiance complète de votre zone hébergée avant de prendre les mesures nécessaires pour désactiver la DNSSEC signature.

La chaîne de confiance de votre zone hébergée qui permet DNSSEC la signature doit être soigneusement annulée lorsque vous désactivez la signature. Pour supprimer votre zone hébergée de la chaîne d'approbation, supprimez tous les registres DS en place pour la chaîne d'approbation qui inclut cette zone hébergée. Cela signifie que vous devez effectuer les tâches suivantes, dans l'ordre :

  1. Supprimez tous les registres DS que cette zone hébergée possède pour les zones enfant qui font partie d'une chaîne d'approbation.

  2. Supprimez le registre DS de la zone parent. Ignorez cette étape si vous disposez d'une île d'approbation (aucun registre DS dans la zone parent et aucun registre DS pour les zones enfant dans cette zone).

  3. Si vous ne parvenez pas à supprimer des enregistrements DS, afin de supprimer la zone de la chaîne d'approbation, supprimez les enregistrements NS de la zone parent. Pour de plus amples informations, veuillez consulter Ajout ou modification de serveurs de noms et d'enregistrements de type glue pour un domaine.

Les étapes progressives suivantes vous permettent de contrôler l'efficacité des différentes étapes afin d'éviter les problèmes de DNS disponibilité dans votre zone.

Pour désactiver DNSSEC la signature

  1. Contrôlez la disponibilité de la zone.

    Vous pouvez contrôler la zone de disponibilité des noms de domaine. Cela peut vous aider à résoudre les problèmes susceptibles de justifier l'annulation d'une étape une fois que vous avez activé DNSSEC la signature. Vous pouvez contrôler les noms de domaine ayant le plus de trafic à l'aide de la journalisation des requêtes. Pour plus d'informations sur la configuration de la journalisation des requêtes, consultez Surveillance d'Amazon Route 53.

    La surveillance peut être effectuée via un script shell ou via un service payant. Il ne devrait toutefois pas s'agir du seul signal permettant de déterminer si une restauration est nécessaire. Vous recevrez peut-être également des commentaires de vos clients en raison de l'indisponibilité d'un domaine.

  2. Trouvez le DS actuelTTL.

    Vous pouvez trouver le DS TTL en exécutant la commande Unix suivante :

    dig -t DS example.com example.com

  3. Trouvez le maximum de NSTTL.

    2 jeux de registres NS sont associés à vos zones :

    • Registre NS de délégation : il s'agit du registre NS de votre zone détenu par la zone parent. Pour le trouver, exécutez les commandes Unix suivantes :

      Commencez par trouver le NS de votre zone parent (si votre zone est exemple.com, la zone parent est com) :

      dig -t NS com

      Choisissez l'un des registres NS, puis exécutez les éléments suivants :

      dig @one of the NS records of your parent zone -t NS example.com

      Par exemple :

      dig @b.gtld-servers.net. -t NS example.com

    • Registre NS dans la zone : il s'agit du registre NS de votre zone. Pour le trouver, exécutez la commande Unix suivante :

      dig @one of the NS records of your zone -t NS example.com

      Par exemple :

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Notez le maximum TTL pour les deux zones.

  4. Supprimez le registre DS de la zone parent.

    Contactez le propriétaire de la zone parent pour supprimer le registre DS.

    Annulation : réinsérez l'enregistrement DS, confirmez que l'insertion DS est effective et attendez le maximum de NS (et non de DS) TTL avant que tous les résolveurs recommencent à valider.

  5. Vérifiez que la suppression de DS est effective.

    Si la zone parent est desservie par le DNS service Route 53, le propriétaire de la zone parent peut confirmer la propagation complète via le GetChangeAPI.

    Sinon, vous pouvez rechercher périodiquement le registre DS dans la zone parent, puis attendre ensuite 10 minutes de plus pour augmenter la probabilité de propagation complète de la suppression du registre DS. Notez que certains bureaux d'enregistrement ont planifié la suppression de DS, par exemple une fois par jour.

  6. Attendez la DSTTL.

    Attendez que tous les résolveurs aient expiré le registre DS de leurs caches.

  7. Désactivez DNSSEC la signature et désactivez la clé de signature par clé (). KSK

    CLI

    Appelez DisableHostedZoneDNSSECet DeactivateKeySigningKeyAPIs.

    Par exemple :

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Pour désactiver DNSSEC la signature

    1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

    2. Dans le volet de navigation, choisissez Zones hébergées, puis choisissez une zone hébergée pour laquelle vous souhaitez désactiver DNSSEC la signature.

    3. Dans l'onglet DNSSECSignature, choisissez Désactiver DNSSEC la signature.

    4. Sur la page Désactiver la DNSSEC signature, choisissez l'une des options suivantes, en fonction de votre scénario pour la zone pour laquelle vous désactivez DNSSEC la signature.

      • Parent zone only (Zone parent uniquement) : cette zone comporte une zone parent avec un registre DS. Dans ce scénario, vous devez supprimer le registre DS de la zone parent.

      • Child zones only (Zones enfants uniquement) : cette zone comporte un registre DS pour une chaîne d'approbation avec une ou plusieurs zones enfants. Dans ce scénario, vous devez supprimer les registres DS de la zone.

      • Parent and child zones (Zones parent et enfants) : cette zone comporte à la fois un registre DS pour une chaîne d'approbation avec une ou plusieurs zones enfants et une zone parent avec un registre DS. Dans ce scénario, procédez comme suit, dans l'ordre :

        1. Supprimez les registres DS de la zone.

        2. Supprimez le registre DS de la zone parent.

        Si vous disposez d'une île d'approbation, vous pouvez ignorer cette étape.

    5. Déterminez la TTL valeur de chaque enregistrement DS que vous supprimez à l'étape 4. , Assurez-vous que la TTL période la plus longue a expiré.

    6. Cochez cette case pour confirmer que vous avez effectué les étapes dans l'ordre indiqué.

    7. Saisissez disable dans le champ, comme illustré, puis choisissez Disable (Désactiver).

    Pour désactiver la clé de signature () KSK

    1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

    2. Dans le volet de navigation, choisissez Zones hébergées, puis choisissez une zone hébergée pour laquelle vous souhaitez désactiver la clé de signature ()KSK.

    3. Dans la section Clés de signature par clé (KSKs), choisissez celles que KSK vous souhaitez désactiver, puis sous Actions, choisissez Modifier KSK, définissez le KSKstatut sur Inactif, puis sélectionnez Enregistrer. KSK

    Annulation : appelez ActivateKeySigningKeyet. EnableHostedZoneDNSSECAPIs

    Par exemple :

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Confirmez que la désactivation de la signature de la zone est effective.

    Utilisez l'identifiant de l'EnableHostedZoneDNSSEC()appel pour exécuter GetChangeafin de vous assurer que tous les DNS serveurs Route 53 ont cessé de signer les réponses (status =INSYNC).

  9. Observez la résolution des noms.

    Vous devez observer qu'aucun problème n'entraîne la validation de votre zone par les résolveurs. Prévoyez 1 à 2 semaines pour prendre en compte le temps nécessaire à vos clients pour vous signaler les problèmes.

  10. (Facultatif) Nettoyez.

    Si vous ne réactivez pas la signature, vous pouvez effectuer le nettoyage DeleteKeySigningKeyet supprimer la clé gérée KSKs par le client correspondante afin de réduire les coûts.