Mengkonfigurasi DNSSEC untuk domain - Amazon Route 53
Ikhtisar tentang bagaimana DNSSEC melindungi domain AndaPrasyarat dan maksimum untuk mengkonfigurasi domain DNSSECMenambahkan kunci publik untuk domainMenghapus kunci publik untuk domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi DNSSEC untuk domain

Penyerang terkadang membajak lalu lintas ke titik akhir internet seperti server web dengan mencegat DNS kueri dan mengembalikan alamat IP mereka sendiri ke DNS resolver sebagai pengganti alamat IP aktual untuk titik akhir tersebut. Pengguna kemudian dirutekan ke alamat IP yang disediakan oleh penyerang sebagai respons palsu, misalnya, ke situs web palsu.

Anda dapat melindungi domain Anda dari jenis serangan ini, yang dikenal sebagai DNS spoofing atau man-in-the-middle serangan, dengan mengkonfigurasi Domain Name System Security Extensions (DNSSEC), protokol untuk mengamankan DNS lalu lintas.

penting

Amazon Route 53 mendukung DNSSEC penandatanganan dan DNSSEC pendaftaran domain. Jika Anda ingin mengonfigurasi DNSSEC penandatanganan untuk domain yang terdaftar dengan Route 53, lihatMengonfigurasi DNSSEC penandatanganan di Amazon Route 53.

Ikhtisar tentang bagaimana DNSSEC melindungi domain Anda

Saat Anda mengonfigurasi DNSSEC domain Anda, DNS resolver menetapkan rantai kepercayaan untuk tanggapan dari resolver perantara. Rantai kepercayaan dimulai dengan TLD registri untuk domain (zona induk domain Anda) dan diakhiri dengan server nama otoritatif di penyedia DNS layanan Anda. Tidak semua DNS resolver mendukung. DNSSEC Hanya resolver yang mendukung yang DNSSEC melakukan validasi tanda tangan atau keaslian apa pun.

Berikut cara Anda mengonfigurasi DNSSEC domain yang terdaftar di Amazon Route 53 untuk melindungi host internet Anda dari DNS spoofing, disederhanakan untuk kejelasan:

  1. Gunakan metode yang disediakan oleh penyedia DNS layanan Anda untuk menandatangani catatan di zona host Anda dengan kunci pribadi dalam key pair asimetris.

    penting

    Route 53 mendukung DNSSEC penandatanganan dan DNSSEC pendaftaran domain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53.

  2. Berikan kunci publik dari pasangan kunci ke registrar domain Anda, dan tentukan algoritme yang digunakan untuk menghasilkan pasangan kunci. Registrar domain meneruskan kunci publik dan algoritme ke registri untuk domain tingkat atas (). TLD

    Untuk informasi tentang cara melakukan langkah ini untuk domain yang Anda daftarkan dengan Route 53, lihat Menambahkan kunci publik untuk domain.

Setelah Anda mengonfigurasiDNSSEC, berikut cara melindungi domain Anda dari DNS spoofing:

  1. Kirim DNS kueri, misalnya, dengan menjelajah ke situs web atau dengan mengirim pesan email.

  2. Permintaan dialihkan ke DNS resolver. Penyelesai bertanggung jawab untuk mengembalikan nilai yang sesuai ke klien berdasarkan permintaan, misalnya, alamat IP untuk host yang menjalankan server web atau server email.

  3. Jika alamat IP di-cache pada DNS resolver karena orang lain telah mengirimkan DNS kueri yang sama, dan resolver sudah mendapatkan nilainya, resolver mengembalikan alamat IP ke klien yang mengirimkan permintaan. Klien kemudian menggunakan alamat IP untuk mengakses host.

    Jika alamat IP tidak di-cache pada DNS resolver, resolver akan mengirimkan permintaan ke zona induk untuk domain Anda, di TLD registri, yang mengembalikan dua nilai:

    • Catatan Delegation Signer (DS), yang merupakan kunci publik yang sesuai dengan kunci privat yang digunakan untuk menandatangani catatan.

    • Alamat IP dari server nama otoritatif untuk domain Anda.

  4. DNSPenyelesai mengirimkan permintaan asli ke resolver lainDNS. Jika resolver itu tidak memiliki alamat IP, itu mengulangi proses sampai resolver mengirim permintaan ke server nama di penyedia layanan Anda. DNS Server nama mengembalikan dua nilai:

    • Catatan untuk domain, seperti example.com. Biasanya ini berisi alamat IP host.

    • Tanda tangan untuk catatan, yang Anda buat saat Anda mengonfigurasiDNSSEC.

  5. DNSPenyelesai menggunakan kunci publik yang Anda berikan ke registrar domain dan registrar yang diteruskan ke registri untuk melakukan dua hal: TLD

    • Membuat rantai kepercayaan.

    • Verifikasi bahwa respons yang ditandatangani dari penyedia DNS layanan adalah sah dan belum diganti dengan respons buruk dari penyerang.

  6. Jika respons otentik, penyelesai mengembalikan nilai ke klien yang mengirimkan permintaan.

    Jika respons tidak dapat diverifikasi, penyelesai mengembalikan kesalahan ke pengguna.

    Jika TLD registri untuk domain tidak memiliki kunci publik untuk domain, resolver merespons DNS kueri dengan menggunakan respons yang didapatnya dari penyedia layanan. DNS

Prasyarat dan maksimum untuk mengkonfigurasi domain DNSSEC

DNSSECUntuk mengonfigurasi domain, domain dan penyedia DNS layanan Anda harus memenuhi prasyarat berikut:

  • Registri untuk yang TLD harus mendukungDNSSEC. Untuk menentukan apakah registri untuk TLD dukungan AndaDNSSEC, lihatDomain yang dapat Anda daftarkan dengan Amazon Route 53.

  • Penyedia DNS layanan untuk domain harus mendukungDNSSEC.

    penting

    Route 53 mendukung DNSSEC penandatanganan dan DNSSEC pendaftaran domain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53.

  • Anda harus mengonfigurasi DNSSEC dengan penyedia DNS layanan untuk domain Anda sebelum menambahkan kunci publik untuk domain ke Route 53.

  • Jumlah kunci publik yang dapat Anda tambahkan ke domain tergantung pada TLD domain:

    • Domain .com dan .net – hingga tiga belas kunci

    • Semua domain lainnya – hingga empat kunci

Menambahkan kunci publik untuk domain

Saat Anda memutar kunci atau mengaktifkan DNSSEC domain, lakukan prosedur berikut setelah Anda mengonfigurasi DNSSEC dengan penyedia DNS layanan untuk domain tersebut.

Cara menambahkan kunci publik untuk domain

  1. Jika Anda belum mengonfigurasi DNSSEC dengan penyedia DNS layanan Anda, gunakan metode yang disediakan oleh penyedia layanan Anda untuk mengonfigurasiDNSSEC.

  2. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  3. Di panel navigasi, pilih Domain terdaftar.

  4. Pilih nama domain yang ingin Anda tambahkan kunci.

  5. Di tab DNSSECtombol, pilih Tambah kunci.

  6. Tentukan nilai-nilai berikut ini:

    Tipe Kunci

    Pilih apakah Anda ingin mengunggah kunci penandatanganan kunci (KSK) atau kunci penandatanganan zona (). ZSK

    Algoritme

    Pilih algoritme yang Anda gunakan untuk menandatangani catatan zona yang di-hosting.

    Kunci publik

    Tentukan kunci publik dari asymmetric key pair yang Anda gunakan untuk mengonfigurasi DNSSEC dengan penyedia DNS layanan Anda.

    Perhatikan hal berikut:

    • Tentukan kunci publik, bukan digest.

    • Anda harus menentukan kunci dalam format base64.

  7. Pilih Tambahkan.

    catatan

    Anda hanya dapat menambahkan satu kunci publik dalam satu waktu. Jika perlu menambahkan kunci lainnya, tunggu hingga Anda menerima email konfirmasi dari Route 53.

  8. Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah ditambahkan ke domain di registri atau menjelaskan mengapa kunci tidak dapat ditambahkan.

Menghapus kunci publik untuk domain

Saat Anda memutar kunci atau menonaktifkan DNSSEC domain, hapus kunci publik menggunakan prosedur berikut sebelum menonaktifkan DNSSEC dengan penyedia layanan AndaDNS. Perhatikan hal berikut:

  • Jika Anda merotasi kunci publik, sebaiknya tunggu hingga tiga hari setelah menambahkan kunci publik baru untuk menghapus kunci publik lama.

  • Jika Anda menonaktifkanDNSSEC, hapus kunci publik untuk domain terlebih dahulu. Kami menyarankan Anda menunggu hingga tiga hari sebelum Anda menonaktifkan DNSSEC dengan DNS layanan untuk domain.

penting

Jika DNSSEC diaktifkan untuk domain dan Anda menonaktifkan DNSSEC dengan DNS layanan, DNS resolver yang mendukung DNSSEC akan mengembalikan SERVFAIL kesalahan ke klien, dan klien tidak akan dapat mengakses titik akhir yang terkait dengan domain.

Cara menghapus kunci publik untuk domain

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Domain terdaftar.

  3. Pilih nama domain yang kuncinya ingin Anda hapus.

  4. Di tab DNSSECtombol, pilih tombol radio di sebelah tombol yang ingin Anda hapus, lalu pilih Hapus kunci.

  5. Dalam kotak dialog Hapus DNSSEC kunci, masukkan hapus di kotak teks untuk mengonfirmasi bahwa Anda ingin menghapus kunci, lalu pilih Hapus.

    catatan

    Anda hanya dapat menghapus satu kunci publik dalam satu waktu. Jika Anda perlu menghapus lebih banyak kunci, tunggu hingga Anda menerima email konfirmasi dari Amazon Route 53.

  6. Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah dihapus dari domain di registri atau menjelaskan mengapa kunci tidak dapat dihapus.