Configurando DNSSEC para um domínio - Amazon Route 53
Visão geral de como DNSSEC protege seu domínioPré-requisitos e máximos para configuração de um domínio DNSSECAdicionar chaves públicas a um domínioExcluir chaves públicas de um domínio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando DNSSEC para um domínio

Às vezes, os invasores sequestram o tráfego para endpoints da Internet, como servidores da Web, interceptando DNS consultas e devolvendo seus próprios endereços IP aos DNS resolvedores, no lugar dos endereços IP reais desses endpoints. Então, os usuários são direcionados para os endereços IP fornecidos pelo invasores na resposta falsificada, por exemplo, para sites falsos.

Você pode proteger seu domínio contra esse tipo de ataque, conhecido como DNS spoofing ou ataque man-in-the intermediário, configurando as Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC), um protocolo para proteger o tráfego. DNS

Importante

O Amazon Route 53 oferece suporte à DNSSEC assinatura e DNSSEC ao registro de domínio. Se você quiser configurar a DNSSEC assinatura para um domínio registrado no Route 53, consulteConfigurando a DNSSEC assinatura no Amazon Route 53.

Visão geral de como DNSSEC protege seu domínio

Quando você configura DNSSEC seu domínio, um DNS resolvedor estabelece uma cadeia de confiança para respostas de resolvedores intermediários. A cadeia de confiança começa com o TLD registro do domínio (a zona principal do seu domínio) e termina com os servidores de nomes autorizados do seu provedor de DNS serviços. Nem todos os DNS resolvedores são compatíveisDNSSEC. Somente os resolvedores compatíveis DNSSEC realizam qualquer validação de assinatura ou autenticidade.

Veja como você configura DNSSEC os domínios registrados no Amazon Route 53 para proteger seus hosts da Internet contra DNS falsificações, simplificando para maior clareza:

  1. Use o método fornecido pelo seu provedor DNS de serviços para assinar os registros em sua zona hospedada com a chave privada em um par de chaves assimétrico.

    Importante

    O Route 53 oferece suporte à DNSSEC assinatura e DNSSEC ao registro de domínio. Para saber mais, consulte Configurando a DNSSEC assinatura no Amazon Route 53.

  2. Forneça a chave pública do par de chaves ao registrador do domínio e especifique o algoritmo que foi usado para gerar o par de chaves. O registrador de domínio encaminha a chave pública e o algoritmo para o registro do domínio de primeiro nível ()TLD.

    Para obter informações sobre como executar essa etapa para os domínios que você registrou no Route 53, consulte Adicionar chaves públicas a um domínio.

Depois de configurarDNSSEC, veja como ele protege seu domínio contra DNS falsificação:

  1. Envie uma DNS consulta, por exemplo, navegando em um site ou enviando uma mensagem de e-mail.

  2. A solicitação é roteada para um DNS resolvedor. Os resolvedores são responsáveis por retornar o valor apropriado para os clientes com base na solicitação, por exemplo, o endereço IP do host que está executando um servidor da Web ou de e-mail.

  3. Se o endereço IP estiver armazenado em cache no DNS resolvedor porque outra pessoa já enviou a mesma DNS consulta e o resolvedor já obteve o valor, o resolvedor retornará o endereço IP ao cliente que enviou a solicitação. Então, o cliente usa o endereço IP para acessar o host.

    Se o endereço IP não estiver armazenado em cache no DNS resolvedor, o resolvedor enviará uma solicitação para a zona principal do seu domínio, no TLD registro, que retornará dois valores:

    • O registro do Signatário de Delegação (DS), que é uma chave pública correspondente à chave privada usada para assinar o registro.

    • Os endereços IP de servidores de nome autorizados para o seu domínio.

  4. O DNS resolvedor envia a solicitação original para outro DNS resolvedor. Se esse resolvedor não tiver o endereço IP, ele repetirá o processo até que um resolvedor envie a solicitação para um servidor de nomes em seu provedor DNS de serviços. O servidor de nome retorna dois valores:

    • O registro do domínio, como example.com. Normalmente, ele contém o endereço IP de um host.

    • A assinatura do registro, que você criou quando configurouDNSSEC.

  5. O DNS resolvedor usa a chave pública que você forneceu ao registrador de domínio e o registrador encaminhou para o TLD registro para fazer duas coisas:

    • Estabelecer uma cadeia de confiança.

    • Verifique se a resposta assinada do provedor de DNS serviços é legítima e não foi substituída por uma resposta incorreta de um invasor.

  6. Se a resposta for autêntica, o resolvedor retornará o valor para o cliente que enviou a solicitação.

    Se a resposta não puder ser verificada, o resolvedor retornará um erro para o usuário.

    Se o TLD registro do domínio não tiver a chave pública do domínio, o resolvedor responderá à DNS consulta usando a resposta recebida do provedor de DNS serviços.

Pré-requisitos e máximos para configuração de um domínio DNSSEC

DNSSECPara configurar um domínio, seu domínio e provedor DNS de serviços devem atender aos seguintes pré-requisitos:

  • O registro do suporte TLD obrigatórioDNSSEC. Para determinar se o registro do seu TLD suporteDNSSEC, consulteDomínios que você pode registrar com o Amazon Route 53.

  • O DNS provedor de serviços do domínio deve oferecer suporteDNSSEC.

    Importante

    O Route 53 oferece suporte à DNSSEC assinatura e DNSSEC ao registro de domínio. Para saber mais, consulte Configurando a DNSSEC assinatura no Amazon Route 53.

  • Você deve configurar DNSSEC com o DNS provedor de serviços do seu domínio antes de adicionar as chaves públicas do domínio ao Route 53.

  • O número de chaves públicas que você pode adicionar a um domínio depende do TLD formato do domínio:

    • Domínios .com e .net: até 13 chaves

    • Todos os outros domínios: até quatro chaves

Adicionar chaves públicas a um domínio

Quando você estiver girando chaves ou DNSSEC ativando um domínio, execute o procedimento a seguir depois de configurar o domínio DNSSEC com o DNS provedor de serviços.

Para adicionar chaves públicas a um domínio

  1. Se você ainda não configurou DNSSEC com seu DNS provedor de serviços, use o método fornecido pelo seu provedor de serviços para configurarDNSSEC.

  2. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  3. No painel de navegação, escolha Domínios registrados.

  4. Escolha o nome do domínio ao qual você deseja adicionar chaves.

  5. Na guia DNSSECTeclas, escolha Adicionar chave.

  6. Especifique os seguintes valores:

    Tipo de chave

    Escolha se você deseja carregar uma chave de assinatura de chave (KSK) ou uma chave de assinatura de zona (). ZSK

    Algoritmo

    Escolha o algoritmo que você usou para assinar os registros da zona hospedada.

    Chave pública

    Especifique a chave pública do par de chaves assimétricas que você usou para configurar DNSSEC com seu provedor de DNS serviços.

    Observe o seguinte:

    • Especifique a chave pública, não o resumo.

    • É necessário especificar a chave no formato base64.

  7. Escolha Adicionar.

    nota

    Você pode adicionar apenas uma chave pública por vez. Se você precisar adicionar mais chaves, aguarde até receber um e-mail de confirmação do Route 53.

  8. Quando o Route 53 recebe uma resposta do registro, nós enviamos um e-mail para o contato registrante do domínio. O e-mail confirma que a chave pública foi adicionada ao domínio no registro ou explica por que não foi possível adicioná-la.

Excluir chaves públicas de um domínio

Ao girar as chaves ou desativar o domínio, exclua DNSSEC as chaves públicas usando o procedimento a seguir antes de desativá-las DNSSEC com seu provedor de DNS serviços. Observe o seguinte:

  • Ao fazer a mudança das chaves públicas, recomendamos que você aguarde até três dias depois de adicionar as novas chaves públicas para excluir as antigas.

  • Se você estiver desativandoDNSSEC, exclua primeiro as chaves públicas do domínio. Recomendamos que você espere até três dias antes DNSSEC de desativar o DNS serviço do domínio.

Importante

Se DNSSEC estiver habilitado para o domínio e você desabilitar DNSSEC com o DNS serviço, os DNS solucionadores desse suporte DNSSEC retornarão um SERVFAIL erro aos clientes, e os clientes não poderão acessar os endpoints associados ao domínio.

Para excluir chaves públicas de um domínio

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Domínios registrados.

  3. Escolha o nome do domínio do qual você deseja excluir chaves.

  4. Na guia DNSSECTeclas, escolha o botão de rádio ao lado da tecla que você deseja excluir e, em seguida, escolha Excluir tecla.

  5. Na caixa de diálogo Excluir DNSSEC chave, digite delete na caixa de texto para confirmar que você deseja excluir a chave e escolha Excluir.

    nota

    Você pode excluir apenas uma chave pública por vez. Se precisar excluir mais chaves, aguarde até receber um e-mail de confirmação do Amazon Route 53.

  6. Quando o Route 53 recebe uma resposta do registro, nós enviamos um e-mail para o contato registrante do domínio. O e-mail confirma que a chave pública foi excluída do domínio no registro ou explica por que não foi possível excluí-la.