DNSSEC 서명 비활성화 - Amazon Route 53

DNSSEC 서명 비활성화

Route 53에서 DNSSEC 서명을 비활성화하는 단계는 호스팅 영역이 속한 신뢰 체인에 따라 다릅니다.

예를 들어 호스팅 영역에 신뢰 체인의 일부로 DS(Delegation Signer) 레코드가 있는 상위 영역이 있을 수 있습니다. 호스팅 영역 자체가 신뢰 체인의 또 다른 부분인 DNSSEC 서명을 활성화한 하위 영역의 상위 영역일 수도 있습니다. DNSSEC 서명을 사용하지 않는 단계를 수행하기 전에 호스팅 영역에 대한 전체 신뢰 체인을 조사하고 확인합니다.

서명을 사용하지 않는 경우 DNSSEC 서명을 활성화하는 호스팅 영역에 대한 신뢰 체인은 주의해서 실행 취소해야 합니다. 신뢰 체인에서 호스팅 영역을 제거하려면 이 호스팅 영역을 포함하는 신뢰 체인의 위치에 있는 모든 DS 레코드를 제거합니다. 즉, 순서대로 다음을 수행해야 합니다.

  1. 이 호스팅 영역에 신뢰 체인의 일부인 하위 영역으로 있는 DS 레코드를 모두 제거합니다.

  2. 조금의 신뢰도 없는 경우 상위 영역에서 DS 레코드를 제거합니다.

이러한 단계는 다음 절차에서 요청됩니다.

DS 레코드를 제거하는 경우 DNSSEC 서명을 비활성화하는 단계를 완료하기 전에 제거하는 DS 레코드의 가장 긴 TTL이 만료될 때까지 기다려야 합니다.

중요

DNS 변경 사항이 전파되기 전에 호스팅 영역에 대해 DNSSEC 서명을 비활성화하는 경우 인터넷에서 도메인을 사용할 수 없게 될 수 있습니다. 현재로서는 변경 사항의 전파 여부를 확인하는 유일한 방법은 GetChange 작업을 사용하는 것입니다.

호스팅 영역에 대한 관련 신뢰 체인 DS 레코드가 어디에 있는지 확인했으면 다음 단계를 따라 DNSSEC 서명을 비활성화합니다.

DNSSEC 서명을 비활성화하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역(Hosted zones)을 선택한 후 DNSSEC 서명을 비활성화할 호스팅 영역을 선택합니다.

  3. DNSSEC 서명(DNSSEC signing) 탭에서 DNSSEC 서명 비활성화(Disable DNSSEC signing)를 선택합니다.

  4. DNSSEC 서명 비활성화(Disable DNSSEC signing) 페이지에서 DNSSEC 서명을 비활성화하려는 영역의 시나리오에 따라 다음 옵션 중 하나를 선택합니다.

    • 상위 영역만(Parent zone only) - 이 영역에는 DS 레코드가 있는 상위 영역이 있습니다. 이 시나리오에서는 상위 영역의 DS 레코드를 제거해야 합니다.

    • 하위 영역만(Child zones only) - 이 영역에는 하나 이상의 하위 영역이 있는 신뢰 체인에 대한 DS 레코드가 있습니다. 이 시나리오에서는 해당 영역의 DS 레코드를 제거해야 합니다.

    • 상위 및 하위 영역(Parent and child zones) - 이 영역에는 하나 이상의 하위 영역이 있는 신뢰 체인에 대한 DS 레코드 DS 레코드가 있는 상위 영역 모두 다 있습니다. 이 시나리오의 경우 다음을 순서대로 수행합니다.

      1. 해당 영역의 DS 레코드를 제거합니다.

      2. 상위 영역의 DS 레코드를 제거합니다.

      약간의 신뢰라도 있는 경우(상위 영역에 DS 레코드가 없고 이 영역의 하위 영역에 대한 DS 레코드가 없는 경우) 이 단계를 건너뛸 수 있습니다.

  5. 4단계에서 제거한 각 DS 레코드에 대해 TTL이 무엇인지 확인하고 계속하기 전에 가장 긴 TTL 기간이 만료되었는지 확인합니다.

  6. 단계를 순서대로 수행했는지 확인하려면 확인란을 선택합니다.

  7. 표시된 대로 필드에 disable을 입력한 다음 비활성화(Disable)를 선택합니다.