Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration DNSSEC pour un domaine
Les attaquants détournent parfois le trafic vers des points de terminaison Internet tels que les serveurs Web en interceptant les DNS requêtes et en renvoyant leurs propres adresses IP aux DNS résolveurs au lieu des adresses IP réelles de ces points de terminaison. Les utilisateurs sont ensuite dirigés vers les adresses IP fournies par les pirates dans la réponse usurpée, par exemple, vers de faux sites web.
Vous pouvez protéger votre domaine contre ce type d'attaque, appelée « DNS spoofing » ou « attaque man-in-the -middle », en configurant les extensions de sécurité du système de noms de domaine (DNSSEC), un protocole de sécurisation du trafic. DNS
Important
Amazon Route 53 prend en charge DNSSEC la signature et DNSSEC l'enregistrement de domaines. Si vous souhaitez configurer DNSSEC la signature pour un domaine enregistré auprès de Route 53, consultezConfiguration de DNSSEC la signature dans Amazon Route 53.
Rubriques
Vue d'ensemble de la façon dont votre domaine est DNSSEC protégé
Lorsque vous configurez DNSSEC votre domaine, un DNS résolveur établit une chaîne de confiance pour les réponses des résolveurs intermédiaires. La chaîne de confiance commence par le TLD registre du domaine (la zone parent de votre domaine) et se termine par les serveurs de noms officiels de votre fournisseur de DNS services. Tous les DNS résolveurs ne sont pas compatiblesDNSSEC. Seuls les résolveurs compatibles DNSSEC effectuent une validation de signature ou d'authenticité.
Voici comment configurer DNSSEC les domaines enregistrés auprès d'Amazon Route 53 afin de protéger vos hôtes Internet contre l'DNSusurpation d'identité, en simplifiant les choses pour plus de clarté :
Utilisez la méthode fournie par votre fournisseur de DNS services pour signer les enregistrements de votre zone hébergée avec la clé privée dans une paire de clés asymétrique.
Important
Route 53 prend en charge DNSSEC la signature et DNSSEC l'enregistrement de domaines. Pour en savoir plus, consultez Configuration de DNSSEC la signature dans Amazon Route 53.
Fournissez la clé publique de la paire de clés de votre bureau d'enregistrement de domaine et spécifiez l'algorithme utilisé pour générer la paire de clés. Le bureau d'enregistrement de domaines transmet la clé publique et l'algorithme au registre du domaine de premier niveau (TLD).
Pour plus d'informations sur la façon d'effectuer cette étape pour des domaines que vous avez enregistrés avec Route 53, consultez Ajout de clés publiques pour un domaine.
Une fois la configuration DNSSEC terminée, voici comment il protège votre domaine contre l'DNSusurpation d'identité :
Soumettez une DNS requête, par exemple en accédant à un site Web ou en envoyant un message électronique.
La demande est acheminée vers un DNS résolveur. Les résolveurs sont chargés de renvoyer la valeur appropriée vers les clients en fonction de la demande, par exemple, l'adresse IP de l'hôte qui exécute un serveur web ou un serveur de messagerie.
-
Si l'adresse IP est mise en cache sur le DNS résolveur parce que quelqu'un d'autre a déjà soumis la même DNS requête et que le résolveur a déjà obtenu la valeur, le résolveur renvoie l'adresse IP au client qui a soumis la demande. Le client utilise ensuite l'adresse IP pour accéder à l'hôte.
Si l'adresse IP n'est pas mise en cache sur le DNS résolveur, celui-ci envoie une demande à la zone parent de votre domaine, dans le TLD registre, qui renvoie deux valeurs :
L'enregistrement Delegation Signer (DS), clé publique qui correspond à la clé privée qui a été utilisée pour signer l'enregistrement.
Les adresses IP des serveurs de noms faisant autorité pour votre domaine.
Le DNS résolveur envoie la demande initiale à un autre DNS résolveur. Si ce résolveur ne possède pas l'adresse IP, il répète le processus jusqu'à ce qu'un résolveur envoie la demande à un serveur de noms de votre DNS fournisseur de services. Le serveur de noms renvoie deux valeurs :
L'enregistrement pour le domaine, par exemple example.com. Généralement, ce jeu contient l'adresse IP d'un hôte.
Signature de l'enregistrement, que vous avez créée lors de la configurationDNSSEC.
Le DNS résolveur utilise la clé publique que vous avez fournie au bureau d'enregistrement de domaines et que le bureau d'enregistrement a transmise au TLD registre pour effectuer deux tâches :
Etablir une chaîne de confiance
Vérifiez que la réponse signée par le fournisseur de DNS services est légitime et qu'elle n'a pas été remplacée par une mauvaise réponse émanant d'un attaquant.
Si la réponse est authentique, le résolveur renvoie la valeur au client qui a envoyé la demande.
Si la réponse ne peut pas être vérifiée, le résolveur renvoie une erreur à l'utilisateur.
Si le TLD registre du domaine ne possède pas la clé publique du domaine, le résolveur répond à la DNS requête en utilisant la réponse qu'il a reçue du fournisseur de DNS services.
Conditions préalables et maximales pour la configuration d'DNSSECun domaine
DNSSECPour configurer un domaine, votre domaine et votre fournisseur DNS de services doivent répondre aux conditions préalables suivantes :
Le registre du TLD must supportDNSSEC. Pour déterminer si le registre correspondant à vos besoins est TLD compatibleDNSSEC, consultezDomaines que vous pouvez enregistrer avec Amazon Route 53.
Le DNS fournisseur de services du domaine doit prendre en chargeDNSSEC.
Important
Route 53 prend en charge DNSSEC la signature et DNSSEC l'enregistrement de domaines. Pour en savoir plus, consultez Configuration de DNSSEC la signature dans Amazon Route 53.
Vous devez effectuer la configuration DNSSEC auprès du fournisseur de DNS services de votre domaine avant d'ajouter des clés publiques pour le domaine à Route 53.
Le nombre de clés publiques que vous pouvez ajouter à un domaine dépend du TLD domaine :
Domaines .com et .net – Jusqu'à treize clés
Tous les autres domaines – Jusqu'à quatre clés
Ajout de clés publiques pour un domaine
Lorsque vous faites pivoter les clés ou que vous DNSSEC activez un domaine, effectuez la procédure suivante après avoir effectué la configuration DNSSEC auprès du fournisseur de DNS services du domaine.
Pour ajouter des clés publiques à un domaine
Si vous n'avez pas encore effectué de configuration DNSSEC auprès DNS de votre fournisseur de services, utilisez la méthode fournie par celui-ci pour effectuer la configurationDNSSEC.
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Registered domains (Domaines membres).
Choisissez le nom du domaine pour lequel vous souhaitez ajouter des clés.
Dans l'onglet DNSSECClés, choisissez Ajouter une clé.
Indiquez l'une des valeurs suivantes :
- Type de clé
Choisissez si vous souhaitez télécharger une clé de signature (KSK) ou une clé de signature de zone (). ZSK
- Algorithm
Sélectionnez l'algorithme que vous avez utilisé pour valider les enregistrements pour la zone hébergée.
- Clé publique
Spécifiez la clé publique à partir de la paire de clés asymétriques que vous avez utilisée pour configurer DNSSEC avec votre fournisseur DNS de services.
Notez ce qui suit :
Spécifiez la clé publique, pas le hachage.
Vous devez spécifier la clé au format base64.
Choisissez Ajouter.
Note
Vous pouvez seulement ajouter une clé publique à la fois. Si vous avez besoin d'ajouter plusieurs clés, patientez jusqu'à réception d'un e-mail de confirmation de la part de Route 53.
Lorsque Route 53 reçoit une réponse du registre, nous envoyons un e-mail au contact inscrit. L'e-mail confirme que la clé publique a été ajoutée au domaine au niveau du registre ou explique pourquoi la clé n'a pas pu être ajoutée.
Suppression de clés publiques pour un domaine
Lorsque vous faites pivoter les clés ou que vous les désactivez DNSSEC pour le domaine, supprimez les clés publiques en suivant la procédure ci-dessous avant de procéder à la désactivation DNSSEC auprès de votre fournisseur DNS de services. Notez ce qui suit :
Si vous effectuez une rotation des clés publiques, nous vous recommandons d'attendre jusqu'à trois jours après l'ajout de nouvelles clés publiques avant de supprimer les anciennes clés publiques.
Si vous désactivezDNSSEC, supprimez d'abord les clés publiques du domaine. Nous vous recommandons d'attendre jusqu'à trois jours avant de procéder DNSSEC à la désactivation du DNS service correspondant au domaine.
Important
S'il DNSSEC est activé pour le domaine et que vous le désactivez DNSSEC avec le DNS service, les DNS résolveurs pris en charge DNSSEC renverront une SERVFAIL erreur aux clients, et les clients ne pourront pas accéder aux points de terminaison associés au domaine.
Pour supprimer des clés publiques d'un domaine
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Registered domains (Domaines membres).
Choisissez le nom du domaine pour lequel vous souhaitez supprimer des clés.
Dans l'onglet DNSSECtouches, cliquez sur le bouton radio situé à côté de la touche que vous souhaitez supprimer, puis sélectionnez Supprimer la clé.
Dans la boîte de dialogue Supprimer la DNSSEC clé, entrez Supprimer dans la zone de texte pour confirmer que vous souhaitez supprimer la clé, puis choisissez Supprimer.
Note
Vous pouvez seulement supprimer une clé publique à la fois. Si vous avez besoin de supprimer plusieurs clés, patientez jusqu'à réception d'un e-mail de confirmation de la part d'Amazon Route 53.
Lorsque Route 53 reçoit une réponse du registre, nous envoyons un e-mail au contact inscrit. L'e-mail confirme que la clé publique a été supprimée du domaine au niveau du registre ou explique pourquoi la clé n'a pas pu être supprimée.
