Désactivation de la signature DNSSEC - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désactivation de la signature DNSSEC

Les étapes de désactivation de la signature DNSSEC dans Route 53 varient en fonction de la chaîne d'approbation dont votre zone hébergée fait partie.

Par exemple, il est possible que votre zone hébergée dispose d'une zone parent dotée d'un registre Delegation Signer (DS), ce qui constitue une partie d'une chaîne d'approbation. Il est également possible que votre zone hébergée soit elle-même une zone parent pour les zones enfant qui ont activé la signature DNSSEC, ce qui constitue une autre partie de la chaîne d'approbation. Étudiez et déterminez la chaîne d'approbation complète de votre zone hébergée avant de désactiver la signature DNSSEC.

La chaîne d'approbation de votre zone hébergée qui active la signature DNSSEC doit être soigneusement annulée lorsque vous désactivez la signature. Pour supprimer votre zone hébergée de la chaîne d'approbation, supprimez tous les registres DS en place pour la chaîne d'approbation qui inclut cette zone hébergée. Cela signifie que vous devez effectuer les tâches suivantes, dans l'ordre :

  1. Supprimez tous les registres DS que cette zone hébergée possède pour les zones enfant qui font partie d'une chaîne d'approbation.

  2. Supprimez le registre DS de la zone parent. Ignorez cette étape si vous disposez d'une île d'approbation (aucun registre DS dans la zone parent et aucun registre DS pour les zones enfant dans cette zone).

  3. Si vous ne parvenez pas à supprimer des enregistrements DS, afin de supprimer la zone de la chaîne d'approbation, supprimez les enregistrements NS de la zone parent. Pour plus d’informations, consultez Ajout ou modification de serveurs de noms et d'enregistrements de type glue pour un domaine.

Les étapes progressives suivantes vous permettent de contrôler le caractère effectif des différentes étapes afin d'éviter les problèmes de disponibilité DNS dans votre zone.

Pour désactiver la signature DNSSEC

  1. Contrôlez la disponibilité de la zone.

    Vous pouvez contrôler la zone de disponibilité des noms de domaine. Cela peut vous aider à résoudre tous les problèmes pouvant justifier un retour à l'étape précédente après avoir activé la signature DNSSEC. Vous pouvez contrôler les noms de domaine ayant le plus de trafic à l'aide de la journalisation des requêtes. Pour plus d'informations sur la configuration de la journalisation des requêtes, consultez Surveillance d'Amazon Route 53.

    La surveillance peut être effectuée via un script shell ou via un service payant. Il ne devrait toutefois pas s'agir du seul signal permettant de déterminer si une restauration est nécessaire. Vous recevrez peut-être également des commentaires de vos clients en raison de l'indisponibilité d'un domaine.

  2. Trouvez la TTL DS actuelle.

    Pour ce faire, exécutez la commande Unix suivante :

    dig -t DS example.com example.com

  3. Trouvez la TTL NS maximale.

    2 jeux de registres NS sont associés à vos zones :

    • Registre NS de délégation : il s'agit du registre NS de votre zone détenu par la zone parent. Pour le trouver, exécutez les commandes Unix suivantes :

      Commencez par trouver le NS de votre zone parent (si votre zone est exemple.com, la zone parent est com) :

      dig -t NS com

      Choisissez l'un des registres NS, puis exécutez les éléments suivants :

      dig @one of the NS records of your parent zone -t NS example.com

      Par exemple :

      dig @b.gtld-servers.net. -t NS example.com

    • Registre NS dans la zone : il s'agit du registre NS de votre zone. Pour le trouver, exécutez la commande Unix suivante :

      dig @one of the NS records of your zone -t NS example.com

      Par exemple :

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Notez la TTL maximale pour les deux zones.

  4. Supprimez le registre DS de la zone parent.

    Contactez le propriétaire de la zone parent pour supprimer le registre DS.

    Restauration : réinsérez l'enregistrement DS, vérifiez que l'insertion de DS est effective et attendez la TTL NS (et non DS) maximale avant que tous les résolveurs recommencent la validation.

  5. Vérifiez que la suppression de DS est effective.

    Si la zone parent est sur le service DNS Route 53, le propriétaire de la zone parent peut confirmer la propagation complète via l'GetChangeAPI.

    Sinon, vous pouvez rechercher périodiquement le registre DS dans la zone parent, puis attendre ensuite 10 minutes de plus pour augmenter la probabilité de propagation complète de la suppression du registre DS. Notez que certains bureaux d'enregistrement ont planifié la suppression de DS, par exemple une fois par jour.

  6. Attendez la TTL DS.

    Attendez que tous les résolveurs aient expiré le registre DS de leurs caches.

  7. Désactivez la signature DNSSEC et la clé de signature de clé (KSK).

    CLI

    Appelez le DisableHostedZoneDNSSEC et DeactivateKeySigningKeyles API.

    Par exemple :

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Pour désactiver la signature DNSSEC

    1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

    2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée pour laquelle vous souhaitez désactiver la signature DNSSEC.

    3. Dans l'onglet DNSSEC signing (Signature DNSSEC), choisissez Disable DNSSEC signing (Désactiver la signature DNSSEC).

    4. Sur la page Disable DNSSEC signing (Désactiver la signature DNSSEC), choisissez l'une des options suivantes, selon votre scénario pour la zone pour laquelle vous désactivez la signature DNSSEC.

      • Parent zone only (Zone parent uniquement) : cette zone comporte une zone parent avec un registre DS. Dans ce scénario, vous devez supprimer le registre DS de la zone parent.

      • Child zones only (Zones enfants uniquement) : cette zone comporte un registre DS pour une chaîne d'approbation avec une ou plusieurs zones enfants. Dans ce scénario, vous devez supprimer les registres DS de la zone.

      • Parent and child zones (Zones parent et enfants) : cette zone comporte à la fois un registre DS pour une chaîne d'approbation avec une ou plusieurs zones enfants et une zone parent avec un registre DS. Dans ce scénario, procédez comme suit, dans l'ordre :

        1. Supprimez les registres DS de la zone.

        2. Supprimez le registre DS de la zone parent.

        Si vous disposez d'une île d'approbation, vous pouvez ignorer cette étape.

    5. Déterminez la TTL pour chaque registre DS que vous supprimez à l'étape 4. Assurez-vous que la période TTL la plus longue a expiré.

    6. Cochez cette case pour confirmer que vous avez effectué les étapes dans l'ordre indiqué.

    7. Saisissez disable dans le champ, comme illustré, puis choisissez Disable (Désactiver).

    Pour désactiver la clé de signature de clé (KSK)

    1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

    2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée pour laquelle vous souhaitez désactiver la la clé de signature de clé (KSK).

    3. Dans la section Key-signing keys (KSKs) [Clés de signature de clé (KSK)], choisissez la clé KSK à désactiver, et sous Actions, choisissez Edit KSK (Modifier la clé KSK), définissez KSK status (Statut de la clé KSK) sur Inactive (Inactif), puis choisissez Save KSK (Enregistrer la clé KSK).

    Annulation : appels ActivateKeySigningKeyet API EnableHostedZoneDNSSEC.

    Par exemple :

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Confirmez que la désactivation de la signature de la zone est effective.

    Utilisez l'identifiant de l'EnableHostedZoneDNSSEC()appel pour exécuter GetChangeafin de vous assurer que tous les serveurs DNS Route 53 ont cessé de signer les réponses (status =INSYNC).

  9. Observez la résolution des noms.

    Vous devez observer qu'aucun problème n'entraîne la validation de votre zone par les résolveurs. Prévoyez 1 à 2 semaines pour prendre en compte le temps nécessaire à vos clients pour vous signaler les problèmes.

  10. (Facultatif) Nettoyez.

    Si vous ne réactivez pas la signature, vous pouvez nettoyer les KSK DeleteKeySigningKeyet supprimer la clé gérée par le client correspondante afin de réduire les coûts.