DNSSEC 서명 비활성화 - Amazon Route 53

DNSSEC 서명 비활성화

Route 53에서 DNSSEC 서명을 비활성화하는 단계는 호스팅 영역이 속한 신뢰 체인에 따라 다릅니다.

예를 들어 호스팅 영역에 신뢰 체인의 일부로 DS(Delegation Signer) 레코드가 있는 상위 영역이 있을 수 있습니다. 호스팅 영역 자체가 신뢰 체인의 또 다른 부분인 DNSSEC 서명을 활성화한 하위 영역의 상위 영역일 수도 있습니다. DNSSEC 서명을 사용하지 않는 단계를 수행하기 전에 호스팅 영역에 대한 전체 신뢰 체인을 조사하고 확인합니다.

서명을 사용하지 않는 경우 DNSSEC 서명을 활성화하는 호스팅 영역에 대한 신뢰 체인은 주의해서 실행 취소해야 합니다. 신뢰 체인에서 호스팅 영역을 제거하려면 이 호스팅 영역을 포함하는 신뢰 체인의 위치에 있는 모든 DS 레코드를 제거합니다. 즉, 순서대로 다음을 수행해야 합니다.

  1. 이 호스팅 영역에 신뢰 체인의 일부인 하위 영역으로 있는 DS 레코드를 모두 제거합니다.

  2. 상위 영역에서 DS 레코드를 제거합니다. 신뢰 영역이 있는 경우(상위 영역에 DS 레코드가 없고 이 영역의 하위 영역에 대한 DS 레코드가 없는 경우) 이 단계를 건너뜁니다.

  3. DS 레코드를 제거할 수 없는 경우, 신뢰 체인에서 영역을 제거하려면 상위 영역에서 NS 레코드를 제거합니다. 자세한 정보는 도메인의 글루 레코드 및 이름 서버 추가 또는 변경을 참조하십시오.

다음 증분 단계를 통해 개별 단계의 효과를 모니터링하여 영역의 DNS 가용성 문제를 방지할 수 있습니다.

DNSSEC 서명을 비활성화하려면

  1. 영역 가용성을 모니터링합니다.

    영역의 도메인 이름 가용성을 모니터링할 수 있습니다. 이것은 DNSSEC 서명을 활성화한 후 한 단계 뒤로 롤백해야 하는 모든 문제를 해결하는 데 도움이 될 수 있습니다. 쿼리 로깅을 사용하여 대부분의 트래픽에서 도메인 이름을 모니터링할 수 있습니다. 쿼리 로깅 역할 설정에 대한 자세한 내용은 Amazon Route 53 모니터링 단원을 참조하세요.

    모니터링은 셸 스크립트 또는 유료 서비스를 통해 수행할 수 있습니다. 그러나 이것이 롤백이 필요한지 결정하기 위한 유일한 신호는 아닙니다. 도메인을 사용할 수 없는 문제로 고객으로부터 피드백을 받을 수도 있습니다.

  2. 현재 DS TTL을 찾습니다.

    DS TTL은 다음 Unix 명령을 실행하여 찾을 수 있습니다.

    dig -t DS example.com example.com

  3. 최대 NS TTL을 찾습니다.

    영역과 관련된 NS 레코드에는 2가지 세트가 있습니다.

    • 위임 NS 레코드 - 상위 영역이 보유한 영역에 대한 NS 레코드입니다. 이 레코드는 다음 Unix 명령을 실행하여 찾을 수 있습니다.

      먼저 상위 영역의 NS를 찾습니다(영역이 example.com인 경우 상위 영역은 com).

      dig -t NS com

      NS 레코드 중 하나를 선택한 후 다음을 실행합니다.

      dig @one of the NS records of your parent zone -t NS example.com

      예:

      dig @b.gtld-servers.net. -t NS example.com

    • 영역 내 NS 레코드 - 이것은 영역에 있는 NS 레코드입니다. 이 레코드는 다음 Unix 명령을 실행하여 찾을 수 있습니다.

      dig @one of the NS records of your zone -t NS example.com

      예:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      두 영역 모두에 대한 최대 TTL을 확인합니다.

  4. 상위 영역에서 DS 레코드를 제거합니다.

    상위 영역 소유자에게 연락하여 DS 레코드를 제거하도록 합니다.

    롤백: DS TTL을 다시 삽입하고 DS 삽입의 효과가 적용되었는지 확인한 다음 모든 해석기가 다시 검증을 시작할 때까지 최대 NS(DS가 아님) TTL 동안 기다립니다.

  5. DS 제거의 효과가 적용되었는지 확인합니다.

    상위 영역이 Route 53 DNS 서비스에 있는 경우, 상위 영역 소유자는 GetChange API를 통해 전파 완료를 확인할 수 있습니다.

    그렇지 않으면 DS 레코드의 상위 영역을 주기적으로 조사한 다음 DS 레코드 제거가 완전히 전파될 확률을 높일 수 있도록 10분 더 기다릴 수 있습니다. 일부 등록 기관은 일정(예: 하루에 한 번)에 따라 DS 제거를 수행합니다.

  6. DS TTL 동안 기다립니다.

    모든 해석기의 캐시에서 DS 레코드가 만료될 때까지 기다립니다.

  7. DNSSEC 서명을 비활성화하고 KSK(키 서명 키)를 비활성화합니다.

    CLI

    DisableHostedZoneDNSSECDeactivateKeySigningKey API를 호출합니다.

    예:

    aws --region us-east-1 route53 disable-hosted-zone-dnssec \ --hosted-zone-id $hostedzone_id aws --region us-east-1 route53 deactivate-key-signing-key \ --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    DNSSEC 서명을 비활성화하려면

    1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

    2. 탐색 창에서 호스팅 영역(Hosted zones)을 선택한 후 DNSSEC 서명을 비활성화할 호스팅 영역을 선택합니다.

    3. DNSSEC 서명(DNSSEC signing) 탭에서 DNSSEC 서명 비활성화(Disable DNSSEC signing)를 선택합니다.

    4. DNSSEC 서명 비활성화(Disable DNSSEC signing) 페이지에서 DNSSEC 서명을 비활성화하려는 영역의 시나리오에 따라 다음 옵션 중 하나를 선택합니다.

      • 상위 영역만(Parent zone only) - 이 영역에는 DS 레코드가 있는 상위 영역이 있습니다. 이 시나리오에서는 상위 영역의 DS 레코드를 제거해야 합니다.

      • 하위 영역만(Child zones only) - 이 영역에는 하나 이상의 하위 영역이 있는 신뢰 체인에 대한 DS 레코드가 있습니다. 이 시나리오에서는 해당 영역의 DS 레코드를 제거해야 합니다.

      • 상위 및 하위 영역(Parent and child zones) - 이 영역에는 하나 이상의 하위 영역이 있는 신뢰 체인에 대한 DS 레코드 DS 레코드가 있는 상위 영역 모두 다 있습니다. 이 시나리오의 경우 다음을 순서대로 수행합니다.

        1. 해당 영역의 DS 레코드를 제거합니다.

        2. 상위 영역의 DS 레코드를 제거합니다.

        신뢰 영역이 있는 경우 이 단계를 건너뛰어도 됩니다.

    5. 4단계에서 제거한 각 DS 레코드에 대해 TTL이 무엇인지 확인하고, 가장 긴 TTL 기간이 만료되었는지 확인합니다.

    6. 단계를 순서대로 수행했음을 확인하는 확인란을 선택합니다.

    7. 표시된 대로 필드에 disable을 입력한 다음 비활성화(Disable)를 선택합니다.

    KSK(키 서명 키)를 비활성화하려면

    1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

    2. 탐색 창에서 호스팅 영역(Hosted zones)을 선택한 후 KSK(키 서명 키)를 비활성화할 호스팅 영역을 선택합니다.

    3. KSK(키 서명 키)(Key-signing keys (KSKs)) 섹션에서 비활성화할 KSK를 선택한 다음 작업(Actions)에서 KSK 편집(Edit KSK)을 선택하고 KSK 상태(KSK status)비활성(Inactive)로 설정한 다음 KSK 저장(Save KSK)을 선택합니다.

    롤백: ActivateKeySigningKeyEnableHostedZoneDNSSEC API를 호출합니다.

    예:

    aws --region us-east-1 route53 activate-key-signing-key \ --hosted-zone-id $hostedzone_id --name $ksk_name aws --region us-east-1 route53 enable-hosted-zone-dnssec \ --hosted-zone-id $hostedzone_id
  8. 영역 서명 비활성화의 효과가 적용되었는지 확인합니다.

    GetChange 실행을 위한 EnableHostedZoneDNSSEC() 호출의 ID를 사용하여 모든 Route 53 DNS 서버가 응답 서명을 중지했는지 확인합니다(상태 =INSYNC).

  9. 이름 확인을 관찰합니다.

    해석기가 영역의 유효성을 검사하는 데 문제가 없음을 확인해야 합니다. 고객이 문제를 보고하는 데 필요한 시간도 고려하도록 1~2주의 시간을 허용합니다.

  10. (선택 사항) 정리.

    서명을 다시 활성화하지 않을 것이라면 DeleteKeySigningKey를 통해 KSK를 정리하고 해당 고객 관리형 키를 삭제하여 비용을 절감할 수 있습니다.