Configurazione di DNSSEC per un dominio - Amazon Route 53
Panoramica di come DNSSEC protegge i dominiPrerequisiti e valori massimi per la configurazione di DNSSEC per un dominioAggiunta di chiavi pubbliche a un dominioEliminazione di chiavi pubbliche per un dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di DNSSEC per un dominio

Alcuni malintenzionati talvolta dirottano il traffico verso gli endpoint Internet come ad es. i server Web intercettando query DNS e restituendo i propri indirizzi IP ai resolver DNS al posto dell'indirizzo IP effettivo per quegli endpoint. Gli utenti vengono quindi instradati agli indirizzi IP forniti dagli aggressori nella risposta di spoofing, ad esempio a siti Web falsi.

Puoi proteggere il tuo dominio da questo tipo di attacco, noto come spoofing o man-in-the-middle attacco DNS, configurando Domain Name System Security Extensions (DNSSEC), un protocollo per proteggere il traffico DNS.

Importante

Amazon Route 53 supporta la firma DNSSEC e DNSSEC per la registrazione del dominio. Se desideri configurare la firma DNSSEC per un dominio registrato con Route 53, consulta Configurazione della firma DNSSEC in Amazon Route 53.

Panoramica di come DNSSEC protegge i domini

Quando configuri DNSSEC per il tuo dominio, un resolver DNS stabilisce una catena di certificati per le risposte provenienti da resolver intermedi. La catena di attendibilità inizia con il record TLD per il dominio (la zona padre del dominio) e termina con il server di nomi autorevole presso il tuo fornitore di servizi DNS. Non tutti i resolver DNS supportano DNSSEC. Solo i resolver che supportano DNSSEC possono eseguire la convalida di firme o di autenticità.

Ecco come configurare il protocollo DNSSEC per i domini registrati con Amazon Route 53, per proteggere gli host Internet dallo spoofing DNS, semplificato per maggiore chiarezza:

  1. Utilizzare il metodo fornito dal provider di servizi DNS per firmare i record nella zona ospitata con la chiave privata in una coppia di chiavi asimmetrica.

    Importante

    Route 53 supporta la firma DNSSEC e DNSSEC per la registrazione del dominio. Per ulteriori informazioni, consulta Configurazione della firma DNSSEC in Amazon Route 53.

  2. Fornire la chiave pubblica dalla coppia di chiavi al registrar di dominio e specificare l'algoritmo utilizzato per generare la coppia di chiavi. Il registrar di dominio inoltra la chiave pubblica e l'algoritmo di record per il dominio di primo livello (TLD).

    Per informazioni su come eseguire questa operazione per i domini che hai registrato con Route 53, consulta Aggiunta di chiavi pubbliche a un dominio.

Dopo aver configurato DNSSEC, ecco come protegge il tuo dominio dallo spoofing DNS:

  1. Invia una query DNS, ad esempio, navigando su un sito Web o inviando un messaggio e-mail.

  2. La richiesta viene instradata a un resolver DNS. I resolver sono responsabili del ripristino del valore appropriato ai client in base alla richiesta, ad esempio l'indirizzo IP dell'host che esegue un server Web o un server di posta elettronica.

  3. Se l'indirizzo IP viene memorizzato nella cache del resolver DNS perché qualcun altro ha già inviato la stessa query DNS e il resolver ha già ottenuto il valore, il resolver restituisce l'indirizzo IP al client che ha inviato la richiesta. Il client utilizza quindi l'indirizzo IP per accedere all'host.

    Se l'indirizzo IP non viene memorizzato nella cache del resolver DNS, il resolver invia una richiesta alla zona padre per il dominio, presso il record TLD, che restituisce due valori:

    • Il record Delegation Signer (DS), che è una chiave pubblica che corrisponde alla chiave privata utilizzata per firmare il record.

    • Gli indirizzi IP dei server di nomi ufficiali per il tuo dominio.

  4. Il resolver DNS invia la richiesta originale a un altro resolver DNS. Se il resolver non contiene l'indirizzo IP, ripete il processo fino a quando un resolver invia la richiesta a un server di nomi presso il tuo fornitore di servizi DNS. Il server di nomi restituisce due valori:

    • I record per il dominio, ad esempio esempio.com. In genere questo contiene l'indirizzo IP di un host.

    • La firma per il record, che è stato creato quando hai configurato DNSSEC.

  5. Il resolver DNS utilizza la chiave pubblica che hai fornito al registrar di dominio e che il registrar ha inoltrato al record TLD per eseguire due operazioni:

    • Stabilire una catena di attendibilità.

    • Verificare che la risposta firmata dal fornitore di servizi DNS è legittima e non è stata sostituita con una risposta negativa da parte di un malintenzionato.

  6. Se la risposta è autentica, il resolver restituisce il valore al client che ha inviato la richiesta.

    Se la risposta non può essere verificata, il resolver lo segnala tramite errore all'utente.

    Se il record TLD del dominio non dispone della chiave pubblica per il dominio, il resolver risponde alla query DNS utilizzando la risposta ottenuta dal fornitore di servizi DNS.

Prerequisiti e valori massimi per la configurazione di DNSSEC per un dominio

Per configurare DNSSEC per un dominio, il dominio e il fornitore di servizi DNS devono soddisfare i seguenti prerequisiti:

  • Il record per il TLD deve supportare DNSSEC. Per determinare se il record per il tuo TLD supporta DNSSEC, consulta Domini che è possibile registrare con Amazon Route 53.

  • Il fornitore di servizi DNS per il dominio deve supportare DNSSEC.

    Importante

    Route 53 supporta la firma DNSSEC e DNSSEC per la registrazione del dominio. Per ulteriori informazioni, consulta Configurazione della firma DNSSEC in Amazon Route 53.

  • È necessario configurare DNSSEC con il provider di servizi DNS per il dominio prima di aggiungere le chiavi pubbliche per il dominio a Route 53.

  • Il numero di chiavi pubbliche che è possibile aggiungere a un dominio dipende dal TLD per il dominio:

    • Domini .com e .net: fino a tredici chiavi

    • Tutti gli altri domini: fino a quattro chiavi

Aggiunta di chiavi pubbliche a un dominio

Quando si ruotano le chiavi o si abilita DNSSEC per un dominio, eseguire la seguente procedura dopo aver configurato DNSSEC con il fornitore di servizi DNS per il dominio.

Per aggiungere chiavi pubbliche per un dominio

  1. Se non hai già configurato DNSSEC presso il tuo fornitore di servizi DNS, utilizza il metodo fornito dal provider di servizi per configurare DNSSEC.

  2. Accedi e apri la console Route 53 all'indirizzo AWS Management Console https://console.aws.amazon.com/route53/.

  3. Nel riquadro di navigazione seleziona Registered domains (Domini registrati).

  4. Seleziona il nome del dominio a cui desideri aggiungere chiavi.

  5. Seleziona la scheda Chiavi DNSSEC e seleziona Aggiungi chiave.

  6. Specifica i seguenti valori:

    Tipo di chiavi

    Scegli se preferisci caricare una chiave per l'identificazione della chiave (KSK) o una chiave per l'identificazione della zona (ZSK).

    Algoritmo

    Scegli l'algoritmo utilizzato per firmare il record per le hosted zone.

    Chiavi pubbliche

    Specifica la chiave pubblica dalla coppia di chiavi asimmetrica utilizzata per configurare DNSSEC con il tuo fornitore di servizi DNS.

    Tieni presente quanto segue:

    • Specificare la chiave pubblica, non il file digest.

    • È necessario specificare la chiave in formato base64.

  7. Scegli Aggiungi.

    Nota

    Puoi aggiungere solo una chiave pubblica per volta. Se hai bisogno di aggiungere ulteriori chiavi, attendi finché non ricevi un'e-mail di conferma da Route 53.

  8. Quando Route 53 riceve una risposta dal record, invieremo un'e-mail al registrant di dominio. L'e-mail conferma che la chiave pubblica è stata aggiunta al dominio sul record o spiega perché non è stato possibile aggiungere la chiave.

Eliminazione di chiavi pubbliche per un dominio

Quando si ruotano le chiavi o si disabilita DNSSEC per il dominio, elimina le chiavi pubbliche utilizzando la seguente procedura prima di disabilitare DNSSEC presso il provider di servizi DNS. Tieni presente quanto segue:

  • Se stai ruotando la chiave pubblica, ti consigliamo di attendere fino a tre giorni dopo aver aggiunto la nuova chiave pubblica per eliminare la vecchia chiave.

  • Se stai disabilitando DNSSEC, elimina prima le chiavi pubbliche per il dominio. Ti consigliamo di attendere fino a tre giorni prima di disabilitare DNSSEC con il servizio DNS per il dominio.

Importante

Se DNSSEC è abilitato per il dominio e disabiliti DNSSEC presso il servizio DNS, i resolver DNS che supportano DNSSEC restituiranno un errore SERVFAIL ai client e questi non saranno in grado di accedere agli endpoint associati al dominio.

Per eliminare chiavi pubbliche per un dominio

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel riquadro di navigazione seleziona Registered domains (Domini registrati).

  3. Seleziona il nome del dominio da cui desideri eliminare chiavi.

  4. Nella scheda Chiavi DNSSEC, seleziona il pulsante di opzione accanto alla chiave da eliminare, quindi seleziona Elimina chiave.

  5. Nella finestra di dialogo Elimina chiave DNSSEC, inserisci delete nella casella di testo per confermare che desideri eliminare la chiave, quindi seleziona Elimina.

    Nota

    Puoi eliminare solo una chiave pubblica per volta. Se hai bisogno di eliminare ulteriori chiavi, attendi finché non ricevi un'e-mail di conferma da Amazon Route 53.

  6. Quando Route 53 riceve una risposta dal record, invieremo un'e-mail al registrant di dominio. L'e-mail conferma che la chiave pubblica è stata eliminata dal dominio sul record o spiega perché non è stato possibile eliminare la chiave.