DNSSEC 為網域設定 - Amazon Route 53
如何DNSSEC保護您的網域的概觀DNSSEC 為網域設定 的先決條件和上限為網域新增公開金鑰刪除網域的公開金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

DNSSEC 為網域設定

攻擊者有時會攔截DNS查詢,並將自己的 IP 地址傳回給DNS解析程式,以取代這些端點的實際 IP 地址,藉此劫持流量至網際網路端點,例如 Web 伺服器。然後系統會將使用者路由到攻擊者在詐騙回應中提供的 IP 地址,例如假網站。

您可以透過設定 Domain Name System Security Extensions DNS (DNSSEC) 來保護DNS流量的通訊協定,保護您的網域免受此類攻擊,稱為詐騙或 man-in-the中繼攻擊。

重要

Amazon Route 53 支援DNSSEC簽署和DNSSEC網域註冊。如果您想要為註冊 Route 53 的網域設定DNSSEC簽署,請參閱 在 Amazon 路線 53 中配置DNSSEC簽名

如何DNSSEC保護您的網域的概觀

當您DNSSEC為網域設定 時,DNS解析程式會為中繼解析程式的回應建立信任鏈。信任鏈從網域的TLD登錄檔 (您網域的父區域) 開始,並以DNS服務供應商的權威名稱伺服器結束。並非所有DNS解析器都支援 DNSSEC。只有支援DNSSEC執行任何簽章或真實性驗證的解析程式。

以下是您DNSSEC為註冊 Amazon Route 53 的網域進行設定的方式,以保護您的網際網路主機免受DNS詐騙,為了清楚起見,進行簡化:

  1. 使用DNS服務供應商提供的方法,使用非對稱金鑰對中的私有金鑰簽署託管區域中的記錄。

    重要

    Route 53 支援DNSSEC簽署和DNSSEC網域註冊。如需進一步了解,請參閱 在 Amazon 路線 53 中配置DNSSEC簽名

  2. 將金鑰對中的公有金鑰提供給您的網域註冊商,並指定用於產生金鑰對的演算法。網域註冊商會將公有金鑰和演算法轉送至頂層網域的登錄檔 (TLD)。

    如需如何為已向 Route 53 註冊的網域執行此步驟的資訊,請參閱 為網域新增公開金鑰

設定 後DNSSEC,以下是它如何保護您的網域免受DNS詐騙:

  1. 例如,瀏覽網站或傳送電子郵件訊息來提交DNS查詢。

  2. 請求會路由至DNS解析程式。解析程式負責根據請求向用戶端傳回適當的值,例如,執行 Web 伺服器或電子郵件伺服器的主機的 IP 地址。

  3. 如果 IP 地址因為其他人已提交相同的DNS查詢而快取在DNS解析程式上,且解析程式已取得該值,則解析程式會將 IP 地址傳回給提交請求的用戶端。然後用戶端使用該 IP 地址來存取主機。

    如果 IP 地址未快取在DNS解析器上,解析器會在TLD登錄檔將請求傳送至網域的父區域,傳回兩個值:

    • 委派簽署人 (DS) 記錄,這是與用來簽署記錄的私有金鑰對應的公開金鑰。

    • 網域的授權名稱伺服器的 IP 地址。

  4. DNS 解析器會將原始請求傳送至另一個DNS解析器。如果解析器沒有 IP 地址,它會重複此程序,直到解析器將請求傳送到DNS服務供應商的名稱伺服器為止。名稱伺服器會傳回兩個值:

    • 網域的記錄,例如 example.com。這通常包含主機的 IP 地址。

    • 您在設定 時建立的記錄簽章DNSSEC。

  5. DNS 解析器會使用您提供給網域註冊者的公有金鑰,以及轉送至TLD登錄檔的註冊者執行兩件事:

    • 建立信任鏈。

    • 確認DNS服務供應商簽署的回應是合法的,並且沒有被攻擊者的錯誤回應取代。

  6. 如果回應是真實的,解析程式會將該值傳回給提交請求的用戶端。

    如果回應無法驗證,解析程式會傳回錯誤給使用者。

    如果網域的TLD登錄檔沒有網域的公有金鑰,解析程式會使用從DNS服務供應商取得的回應來回應DNS查詢。

DNSSEC 為網域設定 的先決條件和上限

若要DNSSEC設定網域,您的網域和DNS服務供應商必須符合下列先決條件:

  • 的登錄檔TLD必須支援 DNSSEC。若要判斷 的登錄檔是否TLD支援 DNSSEC,請參閱 可向 Amazon Route 53 註冊的域

  • 網域的DNS服務供應商必須支援 DNSSEC。

    重要

    Route 53 支援DNSSEC簽署和DNSSEC網域註冊。如需進一步了解,請參閱 在 Amazon 路線 53 中配置DNSSEC簽名

  • 在將網域的公有金鑰新增至 Route 53 之前,您必須DNSSEC使用網域的DNS服務供應商進行設定。

  • 您可以新增至網域的公有金鑰數目取決於網域TLD的 :

    • .com 和 .net 網域 – 最多 13 個金鑰

    • 所有其他網域 – 最多 4 個金鑰

為網域新增公開金鑰

當您輪換金鑰或DNSSEC為網域啟用 時,請在DNSSEC使用網域的DNS服務供應商設定 後執行下列程序。

若要為網域新增公開金鑰

  1. 如果您尚未DNSSEC使用DNS服務供應商設定 ,請使用服務供應商提供的方法來設定 DNSSEC。

  2. 登入 AWS Management Console 並在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  3. 在導覽窗格中,選擇 Registered domains (已註冊的網域)

  4. 選擇要新增金鑰的網域的名稱。

  5. DNSSEC金鑰索引標籤中,選擇新增金鑰

  6. 指定下列值:

    Key type

    選擇您要上傳金鑰簽署金鑰 (KSK) 或區域簽署金鑰 (ZSK)。

    演算法

    選擇您用來簽署託管區域記錄的演算法。

    公有金鑰

    從您使用DNSSECDNS服務供應商設定的非對稱金鑰對指定公有金鑰。

    注意下列事項:

    • 請指定公開金鑰,而非摘要。

    • 您必須指定 base64 格式的金鑰。

  7. 選擇新增

    注意

    您一次只能新增一個公開金鑰。如果您需要新增更多金鑰,請等待,直到您從 Route 53 收到確認電子郵件。

  8. 當 Route 53 收到來自註冊機構的回應時,我們會向網域的註冊聯絡人傳送電子郵件。電子郵件會確認已將公開金鑰新增到註冊機構的網域或解釋無法新增金鑰的原因。

刪除網域的公開金鑰

當您輪換金鑰或停用網域DNSSEC時,請先使用下列程序刪除公有金鑰,再DNSSEC向DNS服務供應商停用。注意下列事項:

  • 如果您要輪換金鑰,我們建議您在新增新的公開金鑰之後最多等待 3 天,再刪除舊的公開金鑰。

  • 如果您要停用 DNSSEC,請先刪除網域的公有金鑰。建議您等待最多三天,然後再DNSSEC使用網域DNS的服務停用 。

重要

如果 為網域DNSSEC啟用 ,而您DNSSEC停用 DNS服務,則支援 的DNS解析程式DNSSEC會將SERVFAIL錯誤傳回給用戶端,且用戶端將無法存取與網域相關聯的端點。

若要刪除網域的公開金鑰

  1. 登入 AWS Management Console 並在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Registered domains (已註冊的網域)

  3. 選擇要刪除金鑰的網域的名稱。

  4. DNSSEC金鑰索引標籤中,選擇您要刪除之金鑰旁的選項按鈕,然後選擇刪除金鑰

  5. 刪除DNSSEC金鑰對話方塊中,在文字方塊中輸入刪除,以確認您想要刪除金鑰,然後選擇刪除

    注意

    您一次只能刪除一個公開金鑰。如果您需要刪除更多金鑰,請等待,直到您從 Amazon Route 53 收到確認電子郵件。

  6. 當 Route 53 收到來自註冊機構的回應時,我們會向網域的註冊聯絡人傳送電子郵件。電子郵件會確認已從註冊機構的網域刪除公開金鑰或解釋無法刪除金鑰的原因。