本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設DNSSEC定網域
攻擊者有時會攔截DNS查詢並將自己的 IP 位址傳回DNS解析器,以取代這些端點的實際 IP 位址,將流量劫持到網際網路端點 (例如 Web 伺服器)。然後系統會將使用者路由到攻擊者在詐騙回應中提供的 IP 地址,例如假網站。
您可以設定網域名稱系統安全性延伸 (DNSSEC) () (一種用於保護流量的通訊協定),以保護DNS您的網域免受這種 man-in-the-middle 攻擊 (稱為DNS詐騙或攻擊) 的攻擊。
重要
Amazon 路線 53 支持DNSSEC簽名和DNSSEC域註冊。如果您想要為使用 Route 53 註冊的網域設定DNSSEC簽署,請參閱在 Amazon 路線 53 中配置DNSSEC簽名。
如何保DNSSEC護您的網域概觀
當您DNSSEC為網域設定時,解析程式DNS會為來自中繼解析器的回應建立信任鏈。信任鏈從網域 (您網域的父區域) 的TLD登錄開始,並以服務提供者的授權名稱伺DNS服器結束。並非所有DNS解析器都支持。DNSSEC只有支援DNSSEC執行任何簽名或真實性驗證的解析程式。
以下是DNSSEC針對透過 Amazon Route 53 註冊的網域進行設定的方式,以保護您的網際網路主機免於DNS詐騙,簡化以提高清晰度:
使用DNS服務提供者提供的方法,使用非 key pair 稱金鑰組中的私密金鑰來簽署託管區域中的記錄。
重要
Route 53 支援DNSSEC簽署和DNSSEC網域註冊。如需進一步了解,請參閱 在 Amazon 路線 53 中配置DNSSEC簽名。
將金鑰對中的公有金鑰提供給您的網域註冊商,並指定用於產生金鑰對的演算法。網域註冊機構會將公開金鑰和演算法轉寄至頂層網域的登錄 (TLD)。
如需如何為已向 Route 53 註冊的網域執行此步驟的資訊,請參閱 為網域新增公開金鑰。
設定完成後DNSSEC,以下說明它如何保護您的網域免於DNS詐騙:
提交DNS查詢,例如瀏覽網站或傳送電子郵件訊息。
該請求被路由到一個DNS解析器。解析程式負責根據請求向用戶端傳回適當的值,例如,執行 Web 伺服器或電子郵件伺服器的主機的 IP 地址。
-
如果 IP 位址快取在DNS解析器上,因為其他人已經提交了相同的DNS查詢,而且解析器已經取得了該值,則解析器會將 IP 位址傳回給提交要求的用戶端。然後用戶端使用該 IP 地址來存取主機。
如果解析器上沒有緩存 IP 地址,則DNS解析器會在TLD註冊表中向域的父區域發送請求,該請求返回兩個值:
委派簽署人 (DS) 記錄,這是與用來簽署記錄的私有金鑰對應的公開金鑰。
網域的授權名稱伺服器的 IP 地址。
DNS解析器將原始請求發送給另一個DNS解析器。如果該解析器沒有 IP 地址,它會重複該過程,直到解析器將請求發送到服務提供商的名稱服務器。DNS名稱伺服器會傳回兩個值:
網域的記錄,例如 example.com。這通常包含主機的 IP 地址。
記錄的簽章,您在設定時建立DNSSEC。
DNS解析程式會使用您提供給網域註冊商的公開金鑰,以及將註冊商轉寄給TLD註冊局的公開金鑰來執行以下兩項作業:
建立信任鏈。
驗證來自DNS服務提供商的簽名響應是否合法,並且尚未被攻擊者的錯誤響應所取代。
如果回應是真實的,解析程式會將該值傳回給提交請求的用戶端。
如果回應無法驗證,解析程式會傳回錯誤給使用者。
如果網域的TLD註冊處沒有網域的公開金鑰,解析程式會使用從DNS服務提供者取得的回應來回應DNS查詢。
設定DNSSEC網域的先決條件和最大值
若要設DNSSEC定網域,您的網域和DNS服務提供者必須符合下列先決條件:
TLD必須支援的登錄DNSSEC。若要判斷是否TLD支援登錄DNSSEC,請參閱可向 Amazon Route 53 註冊的域。
網域的DNS服務供應商必須支援DNSSEC。
重要
Route 53 支援DNSSEC簽署和DNSSEC網域註冊。如需進一步了解,請參閱 在 Amazon 路線 53 中配置DNSSEC簽名。
在將網域的公開金鑰新增至 Route 53 之前,您必須先設定DNSSEC網域的DNS服務提供者。
您可以新增至網域的公開金鑰數目取決於網域的數目:TLD
.com 和 .net 網域 – 最多 13 個金鑰
所有其他網域 – 最多 4 個金鑰
為網域新增公開金鑰
當您輪換金鑰或為網域啟DNSSEC用時,請在設定DNSSEC網域的DNS服務供應商之後,執行下列程序。
若要為網域新增公開金鑰
如果您尚未設定DNS服務DNSSEC供應商,請使用服務供應商提供的方法進行設定DNSSEC。
登入 AWS Management Console 並開啟 Route 53 主控台,位於https://console.aws.amazon.com/route53/
。 在導覽窗格中,選擇 Registered domains (已註冊的網域)。
選擇要新增金鑰的網域的名稱。
在DNSSEC金鑰索引標籤中,選擇 [新增金鑰]。
指定下列值:
- Key type
選擇要上傳金鑰簽署金鑰 (KSK) 還是區域簽署金鑰 ()。ZSK
- 演算法
選擇您用來簽署託管區域記錄的演算法。
- 公有金鑰
從您用來DNSSEC與DNS服務提供者配置的非對稱 key pair 中指定公開金鑰。
注意下列事項:
請指定公開金鑰,而非摘要。
您必須指定 base64 格式的金鑰。
選擇新增。
注意
您一次只能新增一個公開金鑰。如果您需要新增更多金鑰,請等待,直到您從 Route 53 收到確認電子郵件。
當 Route 53 收到來自註冊機構的回應時,我們會向網域的註冊聯絡人傳送電子郵件。電子郵件會確認已將公開金鑰新增到註冊機構的網域或解釋無法新增金鑰的原因。
刪除網域的公開金鑰
當您旋轉金鑰或停DNSSEC用網域時,請先使用下列程序刪除公開金鑰,然後再向DNS服務供應商停DNSSEC用。注意下列事項:
如果您要輪換金鑰,我們建議您在新增新的公開金鑰之後最多等待 3 天,再刪除舊的公開金鑰。
如果您停用DNSSEC,請先刪除網域的公開金鑰。我們建議您等待最多三天,然後再停DNSSEC用網域的DNS服務。
重要
如果網域DNSSEC已啟動,且您使DNSSEC用DNS服務關閉,則支援的DNS解析器DNSSEC會將SERVFAIL
錯誤傳回給用戶端,而且用戶端將無法存取與網域關聯的端點。
若要刪除網域的公開金鑰
登入 AWS Management Console 並開啟 Route 53 主控台,位於https://console.aws.amazon.com/route53/
。 在導覽窗格中,選擇 Registered domains (已註冊的網域)。
選擇要刪除金鑰的網域的名稱。
在 [DNSSEC金鑰] 索引標籤中,選擇您要刪除之金鑰旁的圓鈕,然後選擇 [刪除鍵]。
在 [刪除DNSSEC金鑰] 對話方塊中,在文字方塊中輸入 delete 以確認您要刪除機碼,然後選擇 [刪除]。
注意
您一次只能刪除一個公開金鑰。如果您需要刪除更多金鑰,請等待,直到您從 Amazon Route 53 收到確認電子郵件。
當 Route 53 收到來自註冊機構的回應時,我們會向網域的註冊聯絡人傳送電子郵件。電子郵件會確認已從註冊機構的網域刪除公開金鑰或解釋無法刪除金鑰的原因。