Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi DNSSEC untuk domain
Penyerang terkadang membajak lalu lintas ke titik akhir internet seperti server web dengan mencegat DNS kueri dan mengembalikan alamat IP mereka sendiri ke DNS resolver sebagai pengganti alamat IP aktual untuk titik akhir tersebut. Pengguna kemudian dirutekan ke alamat IP yang disediakan oleh penyerang sebagai respons palsu, misalnya, ke situs web palsu.
Anda dapat melindungi domain Anda dari jenis serangan ini, yang dikenal sebagai DNS spoofing atau man-in-the-middle serangan, dengan mengkonfigurasi Domain Name System Security Extensions (DNSSEC), protokol untuk mengamankan DNS lalu lintas.
penting
Amazon Route 53 mendukung DNSSEC penandatanganan dan DNSSEC pendaftaran domain. Jika Anda ingin mengonfigurasi DNSSEC penandatanganan untuk domain yang terdaftar dengan Route 53, lihatMengonfigurasi DNSSEC penandatanganan di Amazon Route 53.
Topik
Ikhtisar tentang bagaimana DNSSEC melindungi domain Anda
Saat Anda mengonfigurasi DNSSEC domain Anda, DNS resolver menetapkan rantai kepercayaan untuk tanggapan dari resolver perantara. Rantai kepercayaan dimulai dengan TLD registri untuk domain (zona induk domain Anda) dan diakhiri dengan server nama otoritatif di penyedia DNS layanan Anda. Tidak semua DNS resolver mendukung. DNSSEC Hanya resolver yang mendukung yang DNSSEC melakukan validasi tanda tangan atau keaslian apa pun.
Berikut cara Anda mengonfigurasi DNSSEC domain yang terdaftar di Amazon Route 53 untuk melindungi host internet Anda dari DNS spoofing, disederhanakan untuk kejelasan:
Gunakan metode yang disediakan oleh penyedia DNS layanan Anda untuk menandatangani catatan di zona host Anda dengan kunci pribadi dalam key pair asimetris.
penting
Route 53 mendukung DNSSEC penandatanganan dan DNSSEC pendaftaran domain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53.
Berikan kunci publik dari pasangan kunci ke registrar domain Anda, dan tentukan algoritme yang digunakan untuk menghasilkan pasangan kunci. Registrar domain meneruskan kunci publik dan algoritme ke registri untuk domain tingkat atas (). TLD
Untuk informasi tentang cara melakukan langkah ini untuk domain yang Anda daftarkan dengan Route 53, lihat Menambahkan kunci publik untuk domain.
Setelah Anda mengonfigurasiDNSSEC, berikut cara melindungi domain Anda dari DNS spoofing:
Kirim DNS kueri, misalnya, dengan menjelajah ke situs web atau dengan mengirim pesan email.
Permintaan dialihkan ke DNS resolver. Penyelesai bertanggung jawab untuk mengembalikan nilai yang sesuai ke klien berdasarkan permintaan, misalnya, alamat IP untuk host yang menjalankan server web atau server email.
-
Jika alamat IP di-cache pada DNS resolver karena orang lain telah mengirimkan DNS kueri yang sama, dan resolver sudah mendapatkan nilainya, resolver mengembalikan alamat IP ke klien yang mengirimkan permintaan. Klien kemudian menggunakan alamat IP untuk mengakses host.
Jika alamat IP tidak di-cache pada DNS resolver, resolver akan mengirimkan permintaan ke zona induk untuk domain Anda, di TLD registri, yang mengembalikan dua nilai:
Catatan Delegation Signer (DS), yang merupakan kunci publik yang sesuai dengan kunci privat yang digunakan untuk menandatangani catatan.
Alamat IP dari server nama otoritatif untuk domain Anda.
DNSPenyelesai mengirimkan permintaan asli ke resolver lainDNS. Jika resolver itu tidak memiliki alamat IP, itu mengulangi proses sampai resolver mengirim permintaan ke server nama di penyedia layanan Anda. DNS Server nama mengembalikan dua nilai:
Catatan untuk domain, seperti example.com. Biasanya ini berisi alamat IP host.
Tanda tangan untuk catatan, yang Anda buat saat Anda mengonfigurasiDNSSEC.
DNSPenyelesai menggunakan kunci publik yang Anda berikan ke registrar domain dan registrar yang diteruskan ke registri untuk melakukan dua hal: TLD
Membuat rantai kepercayaan.
Verifikasi bahwa respons yang ditandatangani dari penyedia DNS layanan adalah sah dan belum diganti dengan respons buruk dari penyerang.
Jika respons otentik, penyelesai mengembalikan nilai ke klien yang mengirimkan permintaan.
Jika respons tidak dapat diverifikasi, penyelesai mengembalikan kesalahan ke pengguna.
Jika TLD registri untuk domain tidak memiliki kunci publik untuk domain, resolver merespons DNS kueri dengan menggunakan respons yang didapatnya dari penyedia layanan. DNS
Prasyarat dan maksimum untuk mengkonfigurasi domain DNSSEC
DNSSECUntuk mengonfigurasi domain, domain dan penyedia DNS layanan Anda harus memenuhi prasyarat berikut:
Registri untuk yang TLD harus mendukungDNSSEC. Untuk menentukan apakah registri untuk TLD dukungan AndaDNSSEC, lihatDomain yang dapat Anda daftarkan dengan Amazon Route 53.
Penyedia DNS layanan untuk domain harus mendukungDNSSEC.
penting
Route 53 mendukung DNSSEC penandatanganan dan DNSSEC pendaftaran domain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53.
Anda harus mengonfigurasi DNSSEC dengan penyedia DNS layanan untuk domain Anda sebelum menambahkan kunci publik untuk domain ke Route 53.
Jumlah kunci publik yang dapat Anda tambahkan ke domain tergantung pada TLD domain:
Domain .com dan .net – hingga tiga belas kunci
Semua domain lainnya – hingga empat kunci
Menambahkan kunci publik untuk domain
Saat Anda memutar kunci atau mengaktifkan DNSSEC domain, lakukan prosedur berikut setelah Anda mengonfigurasi DNSSEC dengan penyedia DNS layanan untuk domain tersebut.
Cara menambahkan kunci publik untuk domain
Jika Anda belum mengonfigurasi DNSSEC dengan penyedia DNS layanan Anda, gunakan metode yang disediakan oleh penyedia layanan Anda untuk mengonfigurasiDNSSEC.
Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/
. Di panel navigasi, pilih Domain terdaftar.
Pilih nama domain yang ingin Anda tambahkan kunci.
Di tab DNSSECtombol, pilih Tambah kunci.
Tentukan nilai-nilai berikut ini:
- Tipe Kunci
Pilih apakah Anda ingin mengunggah kunci penandatanganan kunci (KSK) atau kunci penandatanganan zona (). ZSK
- Algoritme
Pilih algoritme yang Anda gunakan untuk menandatangani catatan zona yang di-hosting.
- Kunci publik
Tentukan kunci publik dari asymmetric key pair yang Anda gunakan untuk mengonfigurasi DNSSEC dengan penyedia DNS layanan Anda.
Perhatikan hal berikut:
Tentukan kunci publik, bukan digest.
Anda harus menentukan kunci dalam format base64.
Pilih Tambahkan.
catatan
Anda hanya dapat menambahkan satu kunci publik dalam satu waktu. Jika perlu menambahkan kunci lainnya, tunggu hingga Anda menerima email konfirmasi dari Route 53.
Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah ditambahkan ke domain di registri atau menjelaskan mengapa kunci tidak dapat ditambahkan.
Menghapus kunci publik untuk domain
Saat Anda memutar kunci atau menonaktifkan DNSSEC domain, hapus kunci publik menggunakan prosedur berikut sebelum menonaktifkan DNSSEC dengan penyedia layanan AndaDNS. Perhatikan hal berikut:
Jika Anda merotasi kunci publik, sebaiknya tunggu hingga tiga hari setelah menambahkan kunci publik baru untuk menghapus kunci publik lama.
Jika Anda menonaktifkanDNSSEC, hapus kunci publik untuk domain terlebih dahulu. Kami menyarankan Anda menunggu hingga tiga hari sebelum Anda menonaktifkan DNSSEC dengan DNS layanan untuk domain.
penting
Jika DNSSEC diaktifkan untuk domain dan Anda menonaktifkan DNSSEC dengan DNS layanan, DNS resolver yang mendukung DNSSEC akan mengembalikan SERVFAIL
kesalahan ke klien, dan klien tidak akan dapat mengakses titik akhir yang terkait dengan domain.
Cara menghapus kunci publik untuk domain
Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/
. Di panel navigasi, pilih Domain terdaftar.
Pilih nama domain yang kuncinya ingin Anda hapus.
Di tab DNSSECtombol, pilih tombol radio di sebelah tombol yang ingin Anda hapus, lalu pilih Hapus kunci.
Dalam kotak dialog Hapus DNSSEC kunci, masukkan hapus di kotak teks untuk mengonfirmasi bahwa Anda ingin menghapus kunci, lalu pilih Hapus.
catatan
Anda hanya dapat menghapus satu kunci publik dalam satu waktu. Jika Anda perlu menghapus lebih banyak kunci, tunggu hingga Anda menerima email konfirmasi dari Amazon Route 53.
Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah dihapus dari domain di registri atau menjelaskan mengapa kunci tidak dapat dihapus.