Mengonfigurasi DNSSEC untuk domain - Amazon Route 53
Gambaran umum tentang cara DNSSEC melindungi domain AndaPrasyarat dan nilai maksimal untuk mengonfigurasi DNSSEC domainMenambahkan kunci publik untuk domainMenghapus kunci publik untuk domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi DNSSEC untuk domain

Penyerang terkadang membajak lalu lintas ke titik akhir internet seperti server web dengan mencegat kueri DNS dan mengembalikan alamat IP penyerang ke penyelesai DNS menggantikan alamat IP yang sebenarnya untuk titik akhir tersebut. Pengguna kemudian dirutekan ke alamat IP yang disediakan oleh penyerang sebagai respons palsu, misalnya, ke situs web palsu.

Anda dapat melindungi domain Anda dari jenis serangan ini, yang dikenal sebagai spoofing DNS atau man-in-the-middle serangan, dengan mengonfigurasi Domain Name System Security Extensions (DNSSEC), sebuah protokol untuk mengamankan lalu lintas DNS.

penting

Amazon Route 53 mendukung penandatanganan DNSSEC dan DNSSEC untuk pendaftaran domain. Jika Anda ingin mengonfigurasi penandatanganan DNSSEC untuk domain yang terdaftar dengan Route 53, lihat Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53.

Gambaran umum tentang cara DNSSEC melindungi domain Anda

Saat Anda mengonfigurasi DNSSEC untuk domain, penyelesai DNS menetapkan rantai kepercayaan untuk respons dari penyelesai perantara. Rantai kepercayaan dimulai dengan registri TLD untuk domain (zona induk domain) dan diakhiri dengan server nama otoritatif di penyedia layanan DNS. Tidak semua penyelesai DNS mendukung DNSSEC. Hanya resolver yang mendukung DNSSEC yang melakukan validasi tanda tangan atau keaslian apa pun.

Berikut adalah cara mengonfigurasi DNSSEC untuk domain yang terdaftar di Amazon Route 53 guna melindungi host internet Anda dari DNS palsu, yang disederhanakan agar lebih jelas:

  1. Gunakan metode yang disediakan oleh penyedia layanan DNS Anda untuk menandatangani catatan di zona yang di-hosting dengan kunci privat dalam pasangan kunci asimetris.

    penting

    Route 53 mendukung penandatanganan DNSSEC dan DNSSEC untuk pendaftaran domain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53.

  2. Berikan kunci publik dari pasangan kunci ke registrar domain Anda, dan tentukan algoritme yang digunakan untuk menghasilkan pasangan kunci. Registrar domain meneruskan kunci publik dan algoritme ke registri untuk domain tingkat atas (TLD).

    Untuk informasi tentang cara melakukan langkah ini untuk domain yang Anda daftarkan dengan Route 53, lihat Menambahkan kunci publik untuk domain.

Setelah dikonfigurasi, berikut adalah cara DNSSEC melindungi domain Anda dari DNS palsu:

  1. Kirim kueri DNS, misalnya, dengan menelusuri situs web atau mengirim pesan email.

  2. Permintaan dirutekan ke penyelesai DNS. Penyelesai bertanggung jawab untuk mengembalikan nilai yang sesuai ke klien berdasarkan permintaan, misalnya, alamat IP untuk host yang menjalankan server web atau server email.

  3. Jika alamat IP di-cache pada DNS resolver karena orang lain telah mengirimkan query DNS yang sama, dan resolver sudah mendapatkan nilai, resolver mengembalikan alamat IP ke klien yang mengirimkan permintaan. Klien kemudian menggunakan alamat IP untuk mengakses host.

    Jika alamat IP tidak di-cache di penyelesai DNS, penyelesai mengirimkan permintaan ke zona induk domain Anda, di registri TLD, yang mengembalikan dua nilai:

    • Catatan Delegation Signer (DS), yang merupakan kunci publik yang sesuai dengan kunci privat yang digunakan untuk menandatangani catatan.

    • Alamat IP dari server nama otoritatif untuk domain Anda.

  4. Penyelesai DNS mengirimkan permintaan asli untuk penyelesai DNS lain. Jika tidak memiliki alamat IP, penyelesai itu mengulangi proses hingga penyelesai mengirimkan permintaan ke server nama di penyedia layanan DNS Anda. Server nama mengembalikan dua nilai:

    • Catatan untuk domain, seperti example.com. Biasanya ini berisi alamat IP host.

    • Tanda tangan untuk catatan, yang Anda buat saat mengonfigurasi DNSSEC.

  5. DNS resolver menggunakan kunci publik yang Anda berikan ke registrar domain dan registrar yang diteruskan ke registri TLD untuk melakukan dua hal:

    • Membuat rantai kepercayaan.

    • Verifikasi bahwa respons yang ditandatangani dari penyedia layanan DNS adalah sah dan belum diganti dengan respons buruk dari penyerang.

  6. Jika respons otentik, penyelesai mengembalikan nilai ke klien yang mengirimkan permintaan.

    Jika respons tidak dapat diverifikasi, penyelesai mengembalikan kesalahan ke pengguna.

    Jika registri TLD untuk domain tidak memiliki kunci publik untuk domain, penyelesai merespons kueri DNS menggunakan respons yang didapat dari penyedia layanan DNS.

Prasyarat dan nilai maksimal untuk mengonfigurasi DNSSEC domain

Untuk mengonfigurasi DNSSEC domain, domain dan penyedia layanan DNS harus memenuhi prasyarat berikut:

  • Registri untuk TLD harus mendukung DNSSEC. Untuk menentukan apakah registri untuk TLD mendukung DNSSEC, lihat Domain yang dapat Anda daftarkan dengan Amazon Route 53.

  • Penyedia layanan DNS untuk domain harus mendukung DNSSEC.

    penting

    Route 53 mendukung penandatanganan DNSSEC dan DNSSEC untuk pendaftaran domain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53.

  • Anda harus mengonfigurasi DNSSEC dengan penyedia layanan DNS untuk domain sebelum menambahkan kunci publik domain ke Route 53.

  • Jumlah kunci publik yang dapat Anda tambahkan ke domain tergantung pada TLD untuk domain:

    • Domain .com dan .net – hingga tiga belas kunci

    • Semua domain lainnya – hingga empat kunci

Menambahkan kunci publik untuk domain

Ketika Anda merotasi kunci atau mengaktifkan DNSSEC untuk domain, lakukan prosedur berikut setelah mengonfigurasi DNSSEC dengan penyedia layanan DNS untuk domain.

Cara menambahkan kunci publik untuk domain

  1. Jika Anda belum mengonfigurasi DNSSEC dengan penyedia layanan DNS, gunakan metode yang disediakan oleh penyedia layanan untuk mengonfigurasi DNSSEC.

  2. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  3. Di panel navigasi, pilih Domain terdaftar.

  4. Pilih nama domain yang ingin Anda tambahkan kunci.

  5. Di tab Tombol DNSSEC, pilih Tambah kunci.

  6. Tentukan nilai-nilai berikut ini:

    Tipe Kunci

    Pilih apakah Anda ingin mengunggah kunci penandatanganan kunci (KSK) atau kunci penandatanganan zona (ZSK).

    Algoritme

    Pilih algoritme yang Anda gunakan untuk menandatangani catatan zona yang di-hosting.

    Kunci publik

    Tentukan kunci publik dari pasangan kunci asimetris yang Anda gunakan untuk mengonfigurasi DNSSEC dengan penyedia layanan DNS.

    Perhatikan hal berikut:

    • Tentukan kunci publik, bukan digest.

    • Anda harus menentukan kunci dalam format base64.

  7. Pilih Tambahkan.

    catatan

    Anda hanya dapat menambahkan satu kunci publik dalam satu waktu. Jika perlu menambahkan kunci lainnya, tunggu hingga Anda menerima email konfirmasi dari Route 53.

  8. Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah ditambahkan ke domain di registri atau menjelaskan mengapa kunci tidak dapat ditambahkan.

Menghapus kunci publik untuk domain

Ketika Anda merotasi tombol atau menonaktifkan DNSSEC untuk domain, hapus kunci publik menggunakan prosedur berikut sebelum menonaktifkan DNSSEC dengan penyedia layanan DNS. Perhatikan hal berikut:

  • Jika Anda merotasi kunci publik, sebaiknya tunggu hingga tiga hari setelah menambahkan kunci publik baru untuk menghapus kunci publik lama.

  • Jika Anda menonaktifkan DNSSEC, hapus kunci publik untuk domain terlebih dahulu. Kami sarankan Anda menunggu hingga tiga hari sebelum menonaktifkan DNSSEC dengan layanan DNS untuk domain.

penting

Jika DNSSEC diaktifkan untuk domain dan Anda menonaktifkan DNSSEC dengan layanan DNS, penyelesai DNS yang mendukung DNSSEC akan mengembalikan kesalahan SERVFAIL untuk klien, dan klien tidak akan dapat mengakses titik akhir yang terkait dengan domain.

Cara menghapus kunci publik untuk domain

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Domain terdaftar.

  3. Pilih nama domain yang kuncinya ingin Anda hapus.

  4. Di tab Tombol DNSSEC, pilih tombol radio di sebelah tombol yang ingin Anda hapus, lalu pilih Hapus kunci.

  5. Dalam kotak dialog Delete DNSSEC key, masukkan hapus di kotak teks untuk mengonfirmasi bahwa Anda ingin menghapus kunci, lalu pilih Hapus.

    catatan

    Anda hanya dapat menghapus satu kunci publik dalam satu waktu. Jika Anda perlu menghapus lebih banyak kunci, tunggu hingga Anda menerima email konfirmasi dari Amazon Route 53.

  6. Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah dihapus dari domain di registri atau menjelaskan mengapa kunci tidak dapat dihapus.