Desactivar la firma de DNSSEC - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Desactivar la firma de DNSSEC

Los pasos para desactivar la firma DNSSEC en Route 53 varían en función de la cadena de confianza de la que forma parte la zona alojada.

Por ejemplo, la zona alojada puede tener una zona principal que tenga un registro de Delegation Signer (DS) como parte de una cadena de confianza. Su zona alojada también puede ser una zona principal para zonas secundarias que han habilitado la firma de DNSSEC, que es otra parte de la cadena de confianza. Investigue y determine la cadena de confianza completa para su zona alojada antes de realizar los pasos necesarios para desactivar la firma de DNSSEC.

La cadena de confianza de la zona alojada que habilita la firma de DNSSEC se debe deshacer cuidadosamente a medida que desactiva la firma. Para eliminar la zona alojada de la cadena de confianza, elimine todos los registros de DS que haya en la cadena de confianza que incluye esta zona alojada. Debe hacer lo siguiente, en orden:

  1. Elimine todos los registros de DS que esta zona alojada tenga para las zonas secundarias que forman parte de una cadena de confianza.

  2. Elimine el registro de DS desde la zona principal. Si tiene una isla de confianza (no hay registros de DS en la zona principal ni registros de DS para zonas secundarias en esta zona), puede omitir este paso.

  3. Si no puede eliminar los registros de DS, para eliminar la zona de la cadena de confianza, elimine los registros de NS de la zona principal. Para obtener más información, consulte Adición o modificación de servidores de nombres y registros de conexión de un dominio.

Los siguientes pasos progresivos le permiten supervisar la eficacia de los pasos individuales para evitar problemas de disponibilidad de DNS en su zona.

Para desactivar la firma de DNSSEC

  1. Supervisar la disponibilidad de zonas.

    Puede supervisar la zona para comprobar la disponibilidad de sus nombres de dominio. Esto puede ayudarle a solucionar cualquier problema que pueda justificar retroceder un paso atrás después de habilitar la firma DNSSEC. Puede supervisar los nombres de dominio con la mayor parte del tráfico mediante el registro de consultas. Para obtener más información sobre la configuración del registro de consultas, consulte Monitoreo de Amazon Route 53.

    La supervisión se puede realizar a través de un script de shell o mediante un servicio de pago. Sin embargo, no debería ser la única señal para determinar si se requiere una reversión. Es posible que también reciba comentarios de sus clientes debido a que un dominio no está disponible.

  2. Busque el DS TTL actual.

    Puede encontrar el TTL DS ejecutando el siguiente comando Unix:

    dig -t DS example.com example.com

  3. Busque el TTL NS máximo.

    Hay 2 conjuntos de registros NS asociados a sus zonas:

    • El registro NS de la delegación: es el registro NS de su zona mantenida por la zona principal. Puede encontrarlo ejecutando los siguientes comandos de Unix:

      Busque primero el NS de su zona principal (si su zona es ejemplo.com, la zona principal es com):

      dig -t NS com

      Elija uno de los registros NS y, a continuación, ejecute lo siguiente:

      dig @one of the NS records of your parent zone -t NS example.com

      Por ejemplo:

      dig @b.gtld-servers.net. -t NS example.com

    • El registro NS de la zona: es el registro NS de su zona. Puede encontrarlo ejecutando el siguiente comando Unix:

      dig @one of the NS records of your zone -t NS example.com

      Por ejemplo:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Tenga en cuenta el TTL máximo para ambas zonas.

  4. Elimine el registro de DS desde la zona principal.

    Póngase en contacto con el propietario de la zona principal para eliminar el registro DS.

    Reversión: vuelva a insertar el registro de DS, confirme que la inserción de DS es efectiva y espere al TTL NS (no DS) máximo antes de que todos los Resolvers comiencen a validar de nuevo.

  5. Confirme que la eliminación del DS es efectiva.

    Si la zona principal está en el servicio DNS de Route 53, el propietario de la zona principal puede confirmar la propagación completa a través de la GetChangeAPI.

    De lo contrario, puede sondear periódicamente la zona principal del registro DS y esperar otros 10 minutos después para aumentar la probabilidad de que la eliminación del registro DS se propague por completo. Tenga en cuenta que algunos registradores han programado la retirada del DS, por ejemplo, una vez al día.

  6. Espere al TTL DS.

    Espere a que todos los solucionadores hayan caducado el registro DS de sus cachés.

  7. Desactive la firma de DNSSEC y la clave de firma de clave (KSK).

    CLI

    Llame a DisableHostedZoneDNSSEC y DeactivateKeySigningKeya las API.

    Por ejemplo:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Para desactivar la firma de DNSSEC

    1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

    2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada para la que desea desactivar la firma de DNSSEC.

    3. En la página DNSSEC, elija Disable DNSSEC signing (Desactivar firma de DNSSEC).

    4. En la página Disable DNSSEC signing (Desactivar firma de DNSSEC), elija una de las siguientes opciones, según el escenario de la zona cuya firma de DNSSEC esté desactivando.

      • Parent zone only (Solo la zona principal) — Esta zona tiene una zona principal con un registro de DS. En este escenario, debe eliminar el registro de DS de la zona principal.

      • Child zones only (Solo las zonas secundarias) — Esta zona tiene un registro de DS para una cadena de confianza con una o más zonas secundarias. En este escenario, debe eliminar los registros de DS de la zona.

      • Parent and child zones (Zonas principales y secundarias) — Esta zona tiene un registro de DS para una cadena de confianza con una o más zonas secundarias y una zona principal con un registro de DS. En este escenario, haga lo siguiente en orden:

        1. Elimine los registros de DS de la zona.

        2. Elimine el registro de DS de la zona principal.

        Si tiene una isla de confianza, puede omitir este paso.

    5. Determine cuál es el TTL para cada registro de DS que elimine en el paso 4. Asegúrese de que el periodo TTL más largo haya caducado.

    6. Seleccione la casilla de verificación para confirmar que ha seguido los pasos en orden.

    7. Escriba disable (desactivar) en el campo, como se muestra, y elija Disable (Desactivar).

    Para desactivar la clave de firma de claves (KSK)

    1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

    2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada para la que desea desactivar la clave de firma de calves (KSK).

    3. En la sección Key-signing keys (KSK) (Claves de firma), elija la KSK que desee desactivar y, en Actions (Acciones), seleccione Edit KSK (Editar KSK), establezca el estado de la KSK como Inactive (Inactiva) y, a continuación, seleccione Save KSK (Guardar KSK).

    Reversión: API de llamadas ActivateKeySigningKeyy EnableHostedZoneDNSSEC.

    Por ejemplo:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Confirme que la desactivación de la firma de zona es efectiva.

    Use el identificador de la EnableHostedZoneDNSSEC() llamada GetChangepara ejecutar y asegurarse de que todos los servidores DNS de Route 53 hayan dejado de firmar las respuestas (status =). INSYNC

  9. Observe la resolución de nombres.

    Debe observar que no hay problemas que provoquen que los solucionadores validen su zona. Deje pasar entre 1 y 2 semanas para tener en cuenta el tiempo necesario para que sus clientes le comuniquen los problemas.

  10. (Opcional) Limpieza.

    Si no va a volver a activar la firma, puede limpiar los KSK DeleteKeySigningKeyy eliminar la clave gestionada por el cliente correspondiente para ahorrar costes.