Desativando a assinatura DNSSEC

As etapas para desativar a DNSSEC assinatura no Route 53 variam, dependendo da cadeia de confiança da qual sua zona hospedada faz parte.

Por exemplo, sua zona hospedada pode ter uma zona pai que tenha um registro de Signatário da Delegação (DS), como parte de uma cadeia de confiança. Sua zona hospedada também pode ser ela própria uma zona principal para zonas secundárias que habilitaram a DNSSEC assinatura, o que é outra parte da cadeia de confiança. Investigue e determine toda a cadeia de confiança da sua zona hospedada antes de tomar as medidas para desativar a DNSSEC assinatura.

A cadeia de confiança da sua zona hospedada que permite a DNSSEC assinatura deve ser cuidadosamente desfeita à medida que você desativa a assinatura. Para remover sua zona hospedada da cadeia de confiança, você remove todos os registros DS que estão em vigor para a cadeia de confiança que inclui essa zona hospedada. Isso significa que você deve fazer o seguinte, na ordem:

Remover todos os registros DS que esta zona hospedada tem para zonas filho que fazem parte de uma cadeia de confiança.
Remova o registro de DS da zona pai. Ignore essa etapa se tiver uma ilha de confiança (não há registros de DS na zona pai e não há registros de DS para zonas filho nessa zona).
Se você não conseguir remover registros DS, para remover a zona da cadeia de confiança, remova os registros NS da zona pai. Para obter mais informações, consulte Adicionar ou alterar servidores de nome e registros cola de um domínio.

As etapas incrementais a seguir permitem monitorar a eficácia das etapas individuais para evitar problemas de DNS disponibilidade em sua zona.

Para desativar a DNSSEC assinatura

Faça o monitoramento da disponibilidade da zona

É possível fazer o monitoramento da zona para verificar a disponibilidade dos seus nomes de domínio. Isso pode ajudá-lo a resolver quaisquer problemas que possam justificar a reversão após a ativação da DNSSEC assinatura. É possível fazer o monitoramento dos seus nomes de domínio com a maior parte do tráfego utilizando o registro de consultas em log. Para obter mais informações sobre como configurar o registro de consultas em log, consulte Como monitorar o Amazon Route 53.

O monitoramento pode ser feito com o uso de um shell script ou de um serviço pago. Porém, ele não deve ser o único sinal para determinar a necessidade de uma reversão. Você também pode obter feedback dos seus clientes devido à indisponibilidade de um domínio.
Encontre o DS atualTTL.

Você pode encontrar o DS TTL executando o seguinte comando Unix:

dig -t DS example.com example.com
Encontre o NS máximoTTL.

Existem dois conjuntos de registros de NS associados às suas zonas:
- O registro de NS de delegação, ou seja, o registro de NS da sua zona mantida pela zona pai. Você pode alterar isso executando os seguintes comandos Unix:
  
  Primeiro, localize o NS da sua zona pai (se sua zona for exemplo.com, a zona pai será com):
  
  dig -t NS com
  
  Escolha um dos registros de NS e execute o seguinte:
  
  dig @one of the NS records of your parent zone -t NS example.com
  
  Por exemplo:
  
  dig @b.gtld-servers.net. -t NS example.com
- O registro de NS na zona, ou seja, o registro de NS na sua zona. Você pode localizá-lo executando o seguinte comando Unix:
  
  dig @one of the NS records of your zone -t NS example.com
  
  Por exemplo:
  
  dig @ns-0000.awsdns-00.co.uk. -t NS example.com
  
  Observe o máximo TTL para ambas as zonas.
Remova o registro de DS da zona pai.

Entre em contato com o proprietário da zona pai para remover o registro de DS.

Reversão: reinsira o registro DS, confirme se a inserção do DS está efetiva e aguarde o NS máximo (não DS) TTL antes que todos os resolvedores comecem a validar novamente.
Confirme se a remoção do DS foi efetivada.

Se a zona principal estiver no DNS serviço Route 53, o proprietário da zona principal poderá confirmar a propagação completa por meio do GetChangeAPI.

Caso contrário, você poderá sondar periodicamente a zona pai no que diz respeito ao registro DS e aguardar mais 10 minutos depois para aumentar a probabilidade de a remoção do registro de DS ser completamente propagada. Alguns registradores agendam a remoção do DS, por exemplo, uma vez ao dia.
Espere pelo DSTTL.

Aguarde até que todos os resolvedores tenham expirado o registro de DS de seus caches.
Desative a DNSSEC assinatura e desative a chave de assinatura de chave (). KSK
- CLI
- Console
CLI
Ligue DisableHostedZoneDNSSEC DeactivateKeySigningKeyAPIse.

Por exemplo:
```
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
					
```
Console
Para desativar a DNSSEC assinatura
Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

No painel de navegação, escolha Zonas hospedadas e escolha uma zona hospedada para a qual você deseja desabilitar a DNSSEC assinatura.

Na guia DNSSECAssinatura, escolha Desativar DNSSEC assinatura.

Na página Desativar DNSSEC assinatura, escolha uma das opções a seguir, dependendo do seu cenário para a zona para a qual você está desativando a DNSSEC assinatura.

Parent zone only (Somente zona pai): esta zona tem uma zona pai com um registro DS. Nesse cenário, você deve remover o registro DS da zona pai.

Child zones only (Somente zonas filho): esta zona tem um registro DS para uma cadeia de confiança com uma ou mais zonas filho. Nesse cenário, você deve remover registros DS da zona.

Parent and child zones (Zonas pai e filho): esta zona tem um registro DS para uma cadeia de confiança com uma ou mais zonas filho e uma zona pai com um registro DS. Para esse cenário, faça o seguinte na ordem:

Remova os registros DS da zona.

Remova o registro DS da zona pai.

Se tiver uma ilha de confiança, ignore essa etapa.

Determine o que TTL é para cada registro DS que você remove na Etapa 4. , Certifique-se de que o TTL período mais longo tenha expirado.

Marque a caixa de seleção para confirmar que você seguiu as etapas na ordem.

Digite disable (desabilitar) no campo, conforme mostrado, e escolha Disable (Desabilitar).
Para desativar a chave de assinatura de chave () KSK
Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

No painel de navegação, escolha Zonas hospedadas e escolha uma zona hospedada para a qual você deseja desativar a chave de assinatura de chave (). KSK

Na seção Chaves de assinatura de chave (KSKs), escolha a KSK que você deseja desativar e, em Ações, escolha Editar KSK, defina o KSKstatus como Inativo e escolha Salvar. KSK
Reversão: ligue e. ActivateKeySigningKey EnableHostedZoneDNSSECAPIs

Por exemplo:
```
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id


					
```
Confirme que a ação de desabilitar a assinatura da zona foi efetivada.

Use o ID da EnableHostedZoneDNSSEC() chamada a ser executada GetChangepara garantir que todos os DNS servidores do Route 53 tenham parado de assinar respostas (status =INSYNC).
Observe a resolução de nomes.

Você deve observar que não há problemas resultando na validação da sua zona pelos resolvedores. Aguarde de uma a duas semanas para também considerar o tempo necessário para os seus clientes informarem problemas para você.
(Opcional) Limpe.

Se você não reativar a assinatura, poderá limpar a chave gerenciada KSKs pelo cliente correspondente DeleteKeySigningKeye excluir a chave gerenciada pelo cliente correspondente para economizar custos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

DNSSECPermitindo a assinatura e estabelecendo uma cadeia de confiança

Como trabalhar com chaves gerenciadas pelo cliente