Como desabilitar a assinatura de DNSSEC - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como desabilitar a assinatura de DNSSEC

As etapas para desabilitar a assinatura de DNSSEC no Route 53 variam, dependendo da cadeia de confiança da qual sua zona hospedada faz parte.

Por exemplo, sua zona hospedada pode ter uma zona pai que tenha um registro de Signatário da Delegação (DS), como parte de uma cadeia de confiança. Sua zona hospedada também pode ser uma zona pai para zonas filho que habilitaram a assinatura de DNSSEC, que é outra parte da cadeia de confiança. Investigue e determine toda a cadeia de confiança para sua zona hospedada antes de executar as etapas para desabilitar a assinatura de DNSSEC.

A cadeia de confiança para sua zona hospedada que habilita a assinatura de DNSSEC deve ser cuidadosamente desfeita à medida que você desabilita a assinatura. Para remover sua zona hospedada da cadeia de confiança, você remove todos os registros DS que estão em vigor para a cadeia de confiança que inclui essa zona hospedada. Isso significa que você deve fazer o seguinte, na ordem:

  1. Remover todos os registros DS que esta zona hospedada tem para zonas filho que fazem parte de uma cadeia de confiança.

  2. Remova o registro de DS da zona pai. Ignore essa etapa se tiver uma ilha de confiança (não há registros de DS na zona pai e não há registros de DS para zonas filho nessa zona).

  3. Se você não conseguir remover registros DS, para remover a zona da cadeia de confiança, remova os registros NS da zona pai. Para ter mais informações, consulte Adicionar ou alterar servidores de nome e registros cola de um domínio.

As seguintes etapas incrementais permitem monitorar a eficácia das etapas individuais para evitar problemas de disponibilidade de DNS na sua zona.

Para desabilitar a assinatura de DNSSEC

  1. Faça o monitoramento da disponibilidade da zona

    É possível fazer o monitoramento da zona para verificar a disponibilidade dos seus nomes de domínio. Isso pode ajudar você a resolver problemas que possam justificar um passo para trás depois que você habilitar a assinatura de DNSSEC. É possível fazer o monitoramento dos seus nomes de domínio com a maior parte do tráfego utilizando o registro de consultas em log. Para obter mais informações sobre como configurar o registro de consultas em log, consulte Como monitorar o Amazon Route 53.

    O monitoramento pode ser feito com o uso de um shell script ou de um serviço pago. Porém, ele não deve ser o único sinal para determinar a necessidade de uma reversão. Você também pode obter feedback dos seus clientes devido à indisponibilidade de um domínio.

  2. Localize o TTL de DS atual.

    Você pode localizar o TTL de DS executando o seguinte comando Unix:

    dig -t DS example.com example.com

  3. Localize o TTL de NS máximo.

    Existem dois conjuntos de registros de NS associados às suas zonas:

    • O registro de NS de delegação, ou seja, o registro de NS da sua zona mantida pela zona pai. Você pode alterar isso executando os seguintes comandos Unix:

      Primeiro, localize o NS da sua zona pai (se sua zona for exemplo.com, a zona pai será com):

      dig -t NS com

      Escolha um dos registros de NS e execute o seguinte:

      dig @one of the NS records of your parent zone -t NS example.com

      Por exemplo:

      dig @b.gtld-servers.net. -t NS example.com

    • O registro de NS na zona, ou seja, o registro de NS na sua zona. Você pode localizá-lo executando o seguinte comando Unix:

      dig @one of the NS records of your zone -t NS example.com

      Por exemplo:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Observe o TTL máximo de ambas as zonas.

  4. Remova o registro de DS da zona pai.

    Entre em contato com o proprietário da zona pai para remover o registro de DS.

    Reversão: reinsira registro do DS, confirme que a inserção do DS foi efetivada e aguarde o TTL máximo do NS (não do DS) antes que todos os resolvers comecem a validar novamente.

  5. Confirme se a remoção do DS foi efetivada.

    Se a zona principal estiver no serviço DNS do Route 53, o proprietário da zona principal poderá confirmar a propagação completa por meio da GetChangeAPI.

    Caso contrário, você poderá sondar periodicamente a zona pai no que diz respeito ao registro DS e aguardar mais 10 minutos depois para aumentar a probabilidade de a remoção do registro de DS ser completamente propagada. Alguns registradores agendam a remoção do DS, por exemplo, uma vez ao dia.

  6. Aguarde o TTL de DS.

    Aguarde até que todos os resolvedores tenham expirado o registro de DS de seus caches.

  7. Desabilite a assinatura de DNSSEC e desative a chave de assinatura de chaves (KSK).

    CLI

    Chame o DisableHostedZoneDNSSEC e DeactivateKeySigningKeyas APIs.

    Por exemplo: .

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Para desabilitar a assinatura de DNSSEC

    1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

    2. No painel de navegação, escolha Hosted zones (Zonas hospedadas) e escolha uma zona hospedada na qual você deseja desabilitar a assinatura de DNSSEC.

    3. Na guia DNSSEC signing (Assinatura do DNSSEC), escolha Disable DNSSEC signing (Desabilitar assinatura de DNSSEC).

    4. Na página Disable DNSSEC signing (Desabilitar a assinatura de DNSSEC), escolha uma das opções a seguir, dependendo do cenário da zona para a qual você está desabilitando a assinatura de DNSSEC.

      • Parent zone only (Somente zona pai): esta zona tem uma zona pai com um registro DS. Nesse cenário, você deve remover o registro DS da zona pai.

      • Child zones only (Somente zonas filho): esta zona tem um registro DS para uma cadeia de confiança com uma ou mais zonas filho. Nesse cenário, você deve remover registros DS da zona.

      • Parent and child zones (Zonas pai e filho): esta zona tem um registro DS para uma cadeia de confiança com uma ou mais zonas filho e uma zona pai com um registro DS. Para esse cenário, faça o seguinte na ordem:

        1. Remova os registros DS da zona.

        2. Remova o registro DS da zona pai.

        Se tiver uma ilha de confiança, ignore essa etapa.

    5. Determine qual é o TTL de cada registro de DS que você remover na Etapa 4 e verifique se o período de TTL mais longo expirou.

    6. Marque a caixa de seleção para confirmar que você seguiu as etapas na ordem.

    7. Digite disable (desabilitar) no campo, conforme mostrado, e escolha Disable (Desabilitar).

    Para desativar a chave de assinatura de chaves (KSK)

    1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

    2. No painel de navegação, escolha Hosted zones (Zonas hospedadas) e escolha uma zona hospedada cuja chave de assinatura de chaves (KSK) você queira desativar.

    3. Na seção Key-signing keys (KSKs) Chaves de assinatura de chaves), escolha a KSK que você deseja desativar e, em Actions (Ações), escolha Edit KSK (Editar KSK), defina KSK Status (Status da KSK) como Inactive (Inativa) e depois escolha Save KSK (Salvar KSK).

    Reversão: APIs de chamadas ActivateKeySigningKeye EnableHostedZoneDNSSEC.

    Por exemplo: .

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Confirme que a ação de desabilitar a assinatura da zona foi efetivada.

    Use o ID da EnableHostedZoneDNSSEC() chamada a ser executada GetChangepara garantir que todos os servidores DNS do Route 53 tenham parado de assinar respostas (status =INSYNC).

  9. Observe a resolução de nomes.

    Você deve observar que não há problemas resultando na validação da sua zona pelos resolvedores. Aguarde de uma a duas semanas para também considerar o tempo necessário para os seus clientes informarem problemas para você.

  10. (Opcional) Limpe.

    Se você não reativar a assinatura, poderá limpar os KSKs DeleteKeySigningKeye excluir a chave gerenciada pelo cliente correspondente para economizar custos.