Konfigurieren von DNSSEC für eine Domäne - Amazon Route 53
Übersicht über den Schutz Ihrer Domäne durch DNSSECVoraussetzungen und Höchstwerte für die Konfiguration von DNSSEC für eine DomäneHinzufügen von öffentlichen Schlüsseln für eine DomäneLöschen von öffentlichen Schlüsseln für eine Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von DNSSEC für eine Domäne

Angreifer fangen manchmal Datenverkehr an Internetendpunkte wie Webserver ab, indem sie DNS-Abfragen abfangen und ihre eigenen IP-Adressen anstelle der tatsächlichen IP-Adressen für diese Endpunkte an die DNS-Auflöser zurückgeben. Die Benutzer werden dann in die IP-Adressen aus der gefälschten Antwort der Angreifer geleitet, z. B. auf gefälschte Websites.

Sie können Ihre Domain vor dieser Art von Angriff schützen, die als DNS-Spoofing oder man-in-the-middle Angriff bezeichnet wird, indem Sie Domain Name System Security Extensions (DNSSEC), ein Protokoll zur Sicherung des DNS-Datenverkehrs, konfigurieren.

Wichtig

Amazon Route 53 unterstützt die DNSSEC-Signierung sowie DNSSEC für die Domainregistrierung. Informationen zum Konfigurieren der DNSSEC-Signierung für eine Domäne, die in Route 53 registriert ist, finden Sie unter Konfigurieren der DNSSEC-Signatur in Amazon Route 53.

Übersicht über den Schutz Ihrer Domäne durch DNSSEC

Wenn Sie DNSSEC für Ihre Domäne konfigurieren, erstellt ein DNS-Auflöser eine Vertrauenskette für Antworten von zwischengeschalteten Auflösern. Die Vertrauenskette beginnt mit der TLD-Registrierungsstelle für die Domäne (die übergeordnete Zone der Domäne) und endet mit den autoritativen Namensservern bei Ihrem DNS-Dienstanbieter. Nicht alle DNS-Auflöser unterstützen DNSSEC. Nur Resolver, die DNSSEC unterstützen, führen eine Signatur- oder Authentizitätsüberprüfung durch.

So konfigurieren Sie DNSSEC für Domänen, die mit Amazon Route 53 registriert sind, um Ihre Internet-Hosts vor DNS-Spoofing zu schützen (vereinfacht zur besseren Darstellung):

  1. Verwenden Sie die Methode Ihres DNS-Dienstanbieter zum Signieren von Datensätzen in Ihrer gehosteten Zone mit dem privaten Schlüssel in einem asymmetrischen Schlüsselpaar.

    Wichtig

    Route 53 unterstützt die DNSSEC-Signierung sowie DNSSEC für die Domainregistrierung. Weitere Informationen hierzu finden Sie unter Konfigurieren der DNSSEC-Signatur in Amazon Route 53.

  2. Geben Sie den öffentlichen Schlüssel des Schlüsselpaares an die Domänenvergabestelle weiter, und geben Sie den Algorithmus an, der verwendet wurde, um das Schlüsselpaar zu generieren. Die Domänenvergabestelle leitet den öffentlichen Schlüssel und den Algorithmus zur Registrierungsstelle für die Top-Level-Domain (TLD) weiter.

    Weitere Informationen darüber, wie Sie diesen Schritt für Domänen ausführen, die Sie mit Route 53 registriert haben, finden Sie unter Hinzufügen von öffentlichen Schlüsseln für eine Domäne.

Nach der Konfiguration von DNSSEC wird Ihre Domäne wie folgt vor DNS-Spoofing geschützt:

  1. Senden Sie eine DNS-Abfrage, zum Beispiel, indem Sie auf einer Website surfen oder durch Senden einer E-Mail-Nachricht.

  2. Die Anforderung wird an den DNS-Auflöser weitergeleitet. Auflöser sind zuständig für die Rückgabe des entsprechenden Werts an Kunden basierend auf der Anforderung, z. B. die IP-Adresse für den Host, auf dem ein Webserver oder ein E-Mail-Server ausgeführt wird.

  3. Wenn die IP-Adresse im DNS-Resolver zwischengespeichert ist, da jemand anders bereits die gleiche DNS-Abfrage übermittelt hat und der Resolver bereits über den Wert verfügt, gibt der Resolver die IP-Adresse an den Client zurück, der die Anforderung übermittelt hat. Der Client verwendet dann die IP-Adresse für den Zugriff auf den Host.

    Wenn die IP-Adresse nicht im DNS-Auflöser zwischengespeichert ist, sendet der Auflöser eine Anforderung an die übergeordnete Zone für Ihre Domäne in der TLD-Registrierungsstelle, die daraufhin zwei Werte zurückgibt:

    • Der Delegation Signer (DS)-Datensatz, bei dem es sich um einen öffentlichen Schlüssel handelt, der dem privaten Schlüssel entspricht, welcher zum Signieren des Datensatzes verwendet wurde.

    • Die IP-Adressen der autoritativen Namenserver für die Domäne.

  4. Der DNS-Auflöser sendet die ursprüngliche Anforderung an einen anderen DNS-Auflöser. Wenn dieser Auflöser nicht über die IP-Adresse verfügt, wiederholt er den Prozess, bis ein Auflösungsdienst die Anforderung an einen Namensserver bei Ihrem DNS-Dienstanbieter sendet. Der Namenserver gibt zwei Werte zurück:

    • Den Datensatz für die Domäne, wie z. B. example.com. Im Allgemeinen enthält dieser die IP-Adresse eines Hosts.

    • Die Signatur für den Datensatz, den Sie bei der Konfiguration von DNSSEC erstellt haben.

  5. Der DNS-Resolver verwendet den öffentlichen Schlüssel, den Sie der Domainvergabestelle mitgeteilt haben und der von der Vergabestelle an die TLD-Registrierungsstelle weitergeleitet wurde, um die beiden folgenden Dinge auszuführen:

    • Erstellen einer Vertrauenskette.

    • Überprüfen Sie, ob die signierte Antwort vom DNS-Dienstanbieter rechtmäßig ist und nicht durch eine schädliche Antwort von einem Angreifer ersetzt wurde.

  6. Wenn die Antwort authentisch ist, gibt der Auflöser den Wert an den Client zurück, der die Anforderung übermittelt hat.

    Wenn die Antwort nicht verifiziert werden kann, wird vom Auflöser ein Fehler an den Benutzer zurückgegeben.

    Wenn die TLD-Registrierungsstelle für die Domäne nicht über den öffentlichen Schlüssel der Domäne verfügt, beantwortet der Auflöser die DNS-Abfrage mit der Antwort, die er vom DNS-Dienstanbieter erhalten hat.

Voraussetzungen und Höchstwerte für die Konfiguration von DNSSEC für eine Domäne

Um DNSSEC für eine Domäne zu konfigurieren, müssen Ihre Domäne und Ihr DNS-Dienstanbieter die folgenden Voraussetzungen erfüllen:

  • Die Registrierungsstelle für die TLD muss DNSSEC unterstützen. Informationen darüber, wie Sie bestimmen, ob die Registrierung für Ihre TLD DNSSEC unterstützt, finden Sie unter Domains, die Sie mit Amazon Route 53 registrieren können.

  • Der DNS-Dienstanbieter für die Domäne müssen DNSSEC unterstützen.

    Wichtig

    Route 53 unterstützt die DNSSEC-Signierung sowie DNSSEC für die Domainregistrierung. Weitere Informationen hierzu finden Sie unter Konfigurieren der DNSSEC-Signatur in Amazon Route 53.

  • Sie müssen DNSSEC mit dem DNS-Service-Anbieter für Ihre Domäne konfigurieren, bevor Sie öffentliche Schlüssel für die Domäne in Route 53 hinzufügen können.

  • Die Anzahl der öffentlichen Schlüssel, die Sie zu einer Domäne hinzufügen können, hängt von der TLD für die Domäne ab:

    • .com- und .net-Domänen – bis zu dreizehn Schlüssel

    • Alle anderen Domänen – bis zu vier Schlüssel

Hinzufügen von öffentlichen Schlüsseln für eine Domäne

Wenn Sie die Schlüssel wechseln oder wenn Sie DNSSEC für eine Domäne aktivieren, führen Sie die folgenden Schritte durch, nachdem Sie DNSSEC mit dem DNS-Dienstanbieter für die Domäne konfiguriert haben.

So fügen Sie öffentliche Schlüssel für eine Domäne hinzu

  1. Wenn Sie nicht bereits DNSSEC für Ihren DNS-Dienstanbieter konfiguriert haben, verwenden Sie die von Ihrem Service-Anbieter bereitgestellte Methode zur Konfiguration von DNSSEC.

  2. Melden Sie sich unter https://console.aws.amazon.com/route53/ bei der Route 53-Konsole an AWS Management Console und öffnen Sie sie.

  3. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

  4. Klicken Sie auf den Namen der Domäne, für die Sie Schlüssel hinzufügen möchten.

  5. Wählen Sie auf dem Tab DNSSEC-Schlüssel die Option Schlüssel hinzufügen aus.

  6. Geben Sie die folgenden Werte an:

    Schlüsseltyp

    Wählen Sie, ob Sie einen Schlüssel-Signaturschlüssel (KSK) oder einen Zonen-Signaturschlüssel (ZSK) hochladen möchten.

    Algorithmus

    Wählen Sie den Algorithmus, den Sie zum Signieren der Datensätze für die gehostete Zone verwendet haben.

    Öffentlicher Schlüssel

    Geben Sie den öffentlichen Schlüssel des asymmetrischen Schlüsselpaars an, den Sie für die Konfiguration von DNSSEC für Ihrem DNS-Dienstanbieter verwendet haben.

    Beachten Sie Folgendes:

    • Geben Sie den öffentlichen Schlüssel an, nicht den Digest.

    • Sie müssen den Schlüssel im base64-Format angeben.

  7. Wählen Sie Hinzufügen aus.

    Anmerkung

    Sie können nur jeweils einen öffentlichen Schlüssel hinzufügen. Wenn Sie weitere Schlüssel hinzufügen möchten, warten Sie, bis Sie eine Bestätigungs-E-Mail von Route 53 erhalten haben.

  8. Wenn Route 53 eine Antwort von der Registrierungsstelle erhält, senden wir eine E-Mail an den Registrierenden für die Domäne. Die E-Mail bestätigt entweder, dass der öffentliche Schlüssel in der Registrierungsstelle zur Domäne hinzugefügt wurde oder erklärt, warum der Schlüssel nicht hinzugefügt werden konnte.

Löschen von öffentlichen Schlüsseln für eine Domäne

Wenn Sie die Schlüssel wechseln oder wenn Sie DNSSEC für eine Domäne deaktivieren, löschen Sie die öffentlichen Schlüssel mit den folgenden Schritten, bevor Sie DNSSEC bei Ihrem DNS-Dienstanbieter deaktivieren. Beachten Sie Folgendes:

  • Wenn Sie die öffentlichen Schlüssel wechseln, empfehlen wir, dass Sie bis zu drei Tage warten, nachdem Sie die neuen öffentlichen Schlüssel hinzugefügt haben, bevor Sie die alten öffentlichen Schlüssel löschen.

  • Wenn Sie DNSSEC deaktivieren, löschen Sie zuerst die öffentlichen Schlüssel für die Domäne. Wir empfehlen, dass Sie bis zu drei Tage warten, bevor Sie DNSSEC beim DNS-Dienst für die Domäne deaktivieren.

Wichtig

Wenn DNSSEC für die Domäne aktiviert ist und Sie DNSSEC beim DNS-Dienst deaktivieren, geben DNS-Auflöser, die DNSSEC unterstützen, einen SERVFAIL-Fehler an Clients zurück, und Clients haben keinen Zugriff mehr auf die Endpunkte, die mit der Domäne verknüpft sind.

So löschen Sie öffentliche Schlüssel für eine Domäne

  1. Melden Sie sich bei der Route 53-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

  3. Klicken Sie auf den Namen der Domäne, in der Sie Schlüssel löschen möchten.

  4. Aktivieren Sie auf dem Tab DNSSEC-Schlüssel das Optionsfeld neben dem Schlüssel, den Sie löschen möchten, und anschließend Schlüssel löschen aus.

  5. Geben Sie im Dialogfeld DNSSEC-Schlüssel löschen den Text Löschen in das Textfeld ein, um zu bestätigen, dass Sie den Schlüssel löschen möchten, und wählen Sie dann Löschen aus.

    Anmerkung

    Sie können nur jeweils einen öffentlichen Schlüssel löschen. Wenn Sie weitere Schlüssel löschen möchten, warten Sie, bis Sie eine Bestätigungs-E-Mail von Amazon Route 53 erhalten haben.

  6. Wenn Route 53 eine Antwort von der Registrierungsstelle erhält, senden wir eine E-Mail an den Registrierenden für die Domäne. Die E-Mail bestätigt entweder, dass der öffentliche Schlüssel in der Registrierungsstelle aus der Domäne gelöscht wurde oder erklärt, warum der Schlüssel nicht gelöscht werden konnte.