Disabilitazione della firma DNSSEC - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disabilitazione della firma DNSSEC

I passaggi per disabilitare l'accesso DNSSEC nella Route 53 variano a seconda della catena di attendibilità di cui fa parte la zona ospitata.

Ad esempio, la zona ospitata potrebbe avere una zona padre con un record Delegation Signer (DS) come parte di una catena di attendibilità. La zona ospitata potrebbe anche essere essa stessa una zona padre per le zone figlio che hanno abilitato la firma DNSSEC, che è un'altra parte della catena di attendibilità. Esamina e determina l'intera catena di attendibilità per la zona ospitata prima di eseguire la procedura per disattivare la firma DNSSEC.

La catena di attendibilità per la zona ospitata che abilita la firma DNSSEC deve essere annullata con attenzione quando si disabilita la firma. Per rimuovere la zona ospitata dalla catena di attendibilità, rimuovi tutti i record DS esistenti per la catena di attendibilità che include questa zona ospitata. Ciò significa che è necessario completare le operazioni seguenti nell'ordine:

  1. Rimuovi tutti i record DS presenti in questa zona ospitata per le zone figlio che fanno parte di una catena di attendibilità.

  2. Rimuovi il registro DS della zona padre. Se disponi di un'isola di attendibilità (dove non ci sono registri DS nella zona padre e nessun registro DS per le zone figlio), puoi ignorare questo passaggio.

  3. Se non riesci a rimuovere i record DS, per rimuovere la zona dalla catena di attendibilità, rimuovi i record NS dalla zona padre. Per ulteriori informazioni, consulta Aggiunta o modifica di server di nomi e glue record per un dominio.

I seguenti passaggi incrementali ti permettono di monitorare l'efficacia dei singoli passaggi per evitare problemi di disponibilità DNS nella tua zona.

Come disabilitare la firma DNSSEC

  1. Monitora la disponibilità della zona.

    È possibile monitorare la zona per verificare la disponibilità dei nomi di dominio. Questo può aiutarti a risolvere eventuali problemi che potrebbero giustificare un ripristino dello stato precedente dopo aver abilitato la firma DNSSEC. È possibile monitorare i nomi di dominio con la maggior parte del traffico utilizzando la registrazione delle query. Per ulteriori informazioni su come impostare la registrazione delle query, consulta Monitoraggio di Amazon Route 53.

    Il monitoraggio può essere effettuato tramite uno script di shell o tramite un servizio a pagamento. Tuttavia, non dovrebbe essere l'unico segnale per determinare se sia necessario un ripristino dello stato precedente. Inoltre, potresti ricevere feedback dai tuoi clienti a causa della mancata disponibilità di un dominio.

  2. Trova l'attuale DS TTL.

    Puoi trovare il DS TTL eseguendo il seguente comando Unix:

    dig -t DS example.com example.com

  3. Trova il massimo NS TTL.

    Sono disponibili 2 set di registri NS associati alle zone:

    • Registro NS delegation: questo è il registro NS per la tua zona detenuto dalla zona padre. Puoi modificare questo comportamento eseguendo il seguente comando Unix:

      Per prima cosa trova il NS della tua zona padre (se la tua zona è example.com, la zona padre è com):

      dig -t NS com

      Seleziona uno dei registri NS e quindi esegui quanto segue:

      dig @one of the NS records of your parent zone -t NS example.com

      Ad esempio:

      dig @b.gtld-servers.net. -t NS example.com

    • Il registro NS nella zona: questo è il registro NS nella tua zona. Per aggiungerlo, puoi eseguire il comando Unix seguente:

      dig @one of the NS records of your zone -t NS example.com

      Ad esempio:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Nota il TTL massimo per entrambe le zone.

  4. Rimuovi il registro DS della zona padre.

    Contatta il proprietario della zona padre per rimuovere il registro DS.

    Ripristino dello stato precedente: reinserisci il record DS, conferma che l'inserimento DS è efficace e attendi l'NS TTL massimo (non DS) prima che tutti i resolver ricomincino a convalidare.

  5. Conferma che la rimozione del DS è efficace.

    Se la zona principale si trova sul servizio DNS Route 53, il proprietario della zona principale può confermare la propagazione completa tramite l'API. GetChange

    In caso contrario, è possibile sondare periodicamente la zona padre per verificare la presenza del registro DS, quindi attendere altri 10 minuti per aumentare la probabilità che la rimozione del registro DS venga completamente propagata. Nota che alcuni registrar hanno pianificato la rimozione del DS, ad esempio una volta al giorno.

  6. Aspetta il DS TTL.

    Attendere che tutti i resolver non siano scaduti il registro DS dalle loro cache.

  7. Disabilita la firma DNSSEC e disattiva la chiave di firma chiave (KSK) .

    CLI

    Chiama DisableHostedZoneDNSSEC e API. DeactivateKeySigningKey

    Per esempio:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Come disabilitare la firma DNSSEC

    1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

    2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata per la quale desideri disabilitare la firma DNSSEC.

    3. Nella scheda Firma DNSSEC, scegli Disabilita firma DNSSEC.

    4. Nella pagina Disabilita firma DNSSEC seleziona una delle seguenti opzioni, a seconda dello scenario per la zona per cui disattivi la firma DNSSEC.

      • Solo zona padre: questa zona ha una zona padre con un record DS. In questo scenario, è necessario rimuovere il record DS della zona padre.

      • Solo zone figlio: questa zona ha un record DS per una catena di attendibilità con una o più zone figlio. In questo scenario, è necessario rimuovere il record DS della zona.

      • Zone padre e figlio: questa zona ha sia un record DS per una catena di attendibilità con una o più zone figlio e una zona padre con un record DS. Per questo scenario, completa le operazioni seguenti nell'ordine riportato:

        1. Rimuovi i record DS della zona.

        2. Rimuovi i record DS della zona padre.

        Se possiedi un'isola di fiducia, puoi ignorare questa fase.

    5. Determina il TTL per ogni registro DS che rimuovi nella fase 4 e, prima di continuare, assicurati che il periodo TTL più lungo sia scaduto.

    6. Seleziona la casella di controllo per confermare di aver seguito i passi nell'ordine.

    7. Digita disable nel campo, come riportato, quindi scegli Disabilita.

    Come disattivare la chiave di firma chiave (KSK)

    1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

    2. Nel pannello di navigazione scegli Hosted zones (Zone ospitate) e seleziona una zona ospitata per la quale desideri disabilitare la firma DNSSEC.

    3. Nella sezione Key-signing keys (KSKs) Chiavi per la firma delle chiavi (KSKS)), scegli la KSK che vuoi disattivare e sotto Actions (Operazioni) , scegliEdit KSK (Modifica KSK), imposta KSK status (Stato KSK) su Inactive (Inattivo) e quindi scegli Save KSK (salva KSK).

    Rollback: chiamate ActivateKeySigningKeye API EnableHostedZoneDNSSEC.

    Per esempio:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Conferma che la disattivazione della firma della zona è efficace.

    Usa l'ID della EnableHostedZoneDNSSEC() chiamata da eseguire GetChangeper assicurarti che tutti i server DNS di Route 53 abbiano smesso di firmare le risposte (status =). INSYNC

  9. Osserva la risoluzione dei nomi.

    Dovresti osservare che non ci sono problemi che causano i resolver da convalidare la tua zona. Attendi 1-2 settimane, per tenere conto anche del tempo necessario ai tuoi clienti per segnalarti i problemi.

  10. (Facoltativo) Pulizia.

    Se non riabiliterai la firma, puoi ripulire i KSK DeleteKeySigningKeyed eliminare la corrispondente chiave gestita dal cliente per risparmiare sui costi.