Configurazione DNSSEC per un dominio - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione DNSSEC per un dominio

Gli aggressori a volte dirottano il traffico verso gli endpoint Internet, come i server Web, intercettando DNS le query e restituendo i propri indirizzi IP ai DNS resolver al posto degli indirizzi IP effettivi di tali endpoint. Gli utenti vengono quindi instradati agli indirizzi IP forniti dagli aggressori nella risposta di spoofing, ad esempio a siti Web falsi.

Puoi proteggere il tuo dominio da questo tipo di attacco, noto come DNS spoofing o attacco man-in-the -middle, configurando Domain Name System Security Extensions (), un protocollo per proteggere il traffico. DNSSEC DNS

Importante

Amazon Route 53 supporta DNSSEC la firma e DNSSEC la registrazione del dominio. Se desideri configurare la DNSSEC firma per un dominio registrato con Route 53, consultaConfigurazione dell'DNSSECaccesso in Amazon Route 53.

Panoramica di come DNSSEC protegge il tuo dominio

Quando configuri DNSSEC per il tuo dominio, un DNS resolver stabilisce una catena di fiducia per le risposte dei resolver intermedi. La catena di fiducia inizia con il TLD registro del dominio (la zona principale del dominio) e termina con i name server autorevoli del provider di servizi. DNS Non tutti i DNS resolver lo supportano. DNSSEC Solo i resolver che lo supportano DNSSEC eseguono qualsiasi convalida della firma o dell'autenticità.

Ecco come configurare i domini registrati con Amazon Route 53 DNSSEC per proteggere i tuoi host Internet dallo DNS spoofing, semplificato per motivi di chiarezza:

  1. Utilizza il metodo fornito dal tuo fornitore di DNS servizi per firmare i record nella tua zona ospitata con la chiave privata in una coppia di chiavi asimmetrica.

    Importante

    Route 53 supporta la DNSSEC firma e DNSSEC la registrazione del dominio. Per ulteriori informazioni, consulta Configurazione dell'DNSSECaccesso in Amazon Route 53.

  2. Fornire la chiave pubblica dalla coppia di chiavi al registrar di dominio e specificare l'algoritmo utilizzato per generare la coppia di chiavi. Il registrar del dominio inoltra la chiave pubblica e l'algoritmo al registro del dominio di primo livello (). TLD

    Per informazioni su come eseguire questa operazione per i domini che hai registrato con Route 53, consulta Aggiunta di chiavi pubbliche a un dominio.

Dopo la configurazioneDNSSEC, ecco come protegge il dominio dallo spoofing: DNS

  1. Invia una DNS richiesta, ad esempio, accedendo a un sito Web o inviando un messaggio e-mail.

  2. La richiesta viene indirizzata a un DNS resolver. I resolver sono responsabili del ripristino del valore appropriato ai client in base alla richiesta, ad esempio l'indirizzo IP dell'host che esegue un server Web o un server di posta elettronica.

  3. Se l'indirizzo IP è memorizzato nella cache del DNS resolver perché qualcun altro ha già inviato la stessa DNS query e il resolver ha già ricevuto il valore, il resolver restituisce l'indirizzo IP al client che ha inviato la richiesta. Il client utilizza quindi l'indirizzo IP per accedere all'host.

    Se l'indirizzo IP non è memorizzato nella cache del DNS resolver, il resolver invia una richiesta alla zona principale del dominio, nel registro, che restituisce due valori: TLD

    • Il record Delegation Signer (DS), che è una chiave pubblica che corrisponde alla chiave privata utilizzata per firmare il record.

    • Gli indirizzi IP dei server di nomi ufficiali per il tuo dominio.

  4. Il DNS resolver invia la richiesta originale a un altro resolver. DNS Se il resolver non dispone dell'indirizzo IP, ripete il processo finché un resolver non invia la richiesta a un name server presso il provider di servizi. DNS Il server di nomi restituisce due valori:

    • I record per il dominio, ad esempio esempio.com. In genere questo contiene l'indirizzo IP di un host.

    • La firma per il record, che hai creato durante la configurazione. DNSSEC

  5. Il DNS resolver utilizza la chiave pubblica che hai fornito al registrar del dominio e il registrar inoltrato al registro per fare due cose: TLD

    • Stabilire una catena di attendibilità.

    • Verifica che la risposta firmata dal fornitore di DNS servizi sia legittima e non sia stata sostituita da una risposta errata di un utente malintenzionato.

  6. Se la risposta è autentica, il resolver restituisce il valore al client che ha inviato la richiesta.

    Se la risposta non può essere verificata, il resolver lo segnala tramite errore all'utente.

    Se il TLD registro del dominio non dispone della chiave pubblica del dominio, il resolver risponde alla DNS query utilizzando la risposta ricevuta dal provider di servizi. DNS

Prerequisiti e valori massimi per la configurazione di un dominio DNSSEC

DNSSECPer configurare un dominio, il dominio e il provider di DNS servizi devono soddisfare i seguenti prerequisiti:

  • Il registro per il supporto TLD DNSSEC deve essere. Per determinare se il registro utilizzato è TLD supportatoDNSSEC, vedereDomini che è possibile registrare con Amazon Route 53.

  • Il DNS provider di servizi del dominio deve supportareDNSSEC.

    Importante

    Route 53 supporta DNSSEC la firma e DNSSEC la registrazione del dominio. Per ulteriori informazioni, consulta Configurazione dell'DNSSECaccesso in Amazon Route 53.

  • È necessario eseguire la configurazione DNSSEC con il DNS provider di servizi del dominio prima di aggiungere le chiavi pubbliche per il dominio a Route 53.

  • Il numero di chiavi pubbliche che puoi aggiungere a un dominio dipende dal tipo TLD di dominio:

    • Domini .com e .net: fino a tredici chiavi

    • Tutti gli altri domini: fino a quattro chiavi

Aggiunta di chiavi pubbliche a un dominio

Quando ruoti le chiavi o abiliti un dominio, DNSSEC esegui la procedura seguente dopo aver effettuato la configurazione DNSSEC con il provider di DNS servizi per il dominio.

Per aggiungere chiavi pubbliche per un dominio
  1. Se non hai ancora effettuato la configurazione DNSSEC con il tuo DNS fornitore di servizi, utilizza il metodo fornito dal fornitore di servizi per la configurazioneDNSSEC.

  2. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  3. Nel riquadro di navigazione seleziona Registered domains (Domini registrati).

  4. Seleziona il nome del dominio a cui desideri aggiungere chiavi.

  5. Nella scheda DNSSECchiavi, scegli Aggiungi chiave.

  6. Specifica i seguenti valori:

    Tipo di chiavi

    Scegli se caricare una chiave per la firma delle chiavi (KSK) o una chiave per la firma delle zone (). ZSK

    Algoritmo

    Scegli l'algoritmo utilizzato per firmare il record per le hosted zone.

    Chiavi pubbliche

    Specificate la chiave pubblica dalla coppia di chiavi asimmetrica che avete usato per configurare DNSSEC con il vostro DNS provider di servizi.

    Tieni presente quanto segue:

    • Specificare la chiave pubblica, non il file digest.

    • È necessario specificare la chiave in formato base64.

  7. Scegli Aggiungi.

    Nota

    Puoi aggiungere solo una chiave pubblica per volta. Se hai bisogno di aggiungere ulteriori chiavi, attendi finché non ricevi un'e-mail di conferma da Route 53.

  8. Quando Route 53 riceve una risposta dal record, invieremo un'e-mail al registrant di dominio. L'e-mail conferma che la chiave pubblica è stata aggiunta al dominio sul record o spiega perché non è stato possibile aggiungere la chiave.

Eliminazione di chiavi pubbliche per un dominio

Quando ruoti le chiavi o la disabiliti DNSSEC per il dominio, elimina le chiavi pubbliche utilizzando la procedura seguente prima di DNSSEC disattivarle con il tuo fornitore di servizi. DNS Tieni presente quanto segue:

  • Se stai ruotando la chiave pubblica, ti consigliamo di attendere fino a tre giorni dopo aver aggiunto la nuova chiave pubblica per eliminare la vecchia chiave.

  • Se stai disabilitandoDNSSEC, elimina prima le chiavi pubbliche per il dominio. Ti consigliamo di attendere fino a tre giorni prima di disattivare DNSSEC il DNS servizio per il dominio.

Importante

Se DNSSEC è abilitato per il dominio e lo disattivi DNSSEC con il DNS servizio, DNS i resolver supportati DNSSEC restituiranno un SERVFAIL errore ai client e i client non saranno in grado di accedere agli endpoint associati al dominio.

Per eliminare chiavi pubbliche per un dominio
  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

  2. Nel riquadro di navigazione seleziona Registered domains (Domini registrati).

  3. Seleziona il nome del dominio da cui desideri eliminare chiavi.

  4. Nella scheda delle DNSSECchiavi, scegli il pulsante di opzione accanto alla chiave che desideri eliminare, quindi scegli Elimina chiave.

  5. Nella finestra di dialogo Elimina DNSSEC chiave, digitate delete nella casella di testo per confermare che desiderate eliminare la chiave, quindi scegliete Elimina.

    Nota

    Puoi eliminare solo una chiave pubblica per volta. Se hai bisogno di eliminare ulteriori chiavi, attendi finché non ricevi un'e-mail di conferma da Amazon Route 53.

  6. Quando Route 53 riceve una risposta dal record, invieremo un'e-mail al registrant di dominio. L'e-mail conferma che la chiave pubblica è stata eliminata dal dominio sul record o spiega perché non è stato possibile eliminare la chiave.