As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar o DNSSEC para um domínio
Às vezes, invasores sequestram o tráfego para endpoints da Internet, como servidores da Web, interceptando consultas de DNS e retornando seus próprios endereços IP para os resolvedores de DNS no lugar dos endereços IP reais desses endpoints. Então, os usuários são direcionados para os endereços IP fornecidos pelo invasores na resposta falsificada, por exemplo, para sites falsos.
Para proteger seu domínio contra esse tipo de ataque, conhecido como falsificação de DNS ou um ataque man-in-the-middle, configure o Domain Name System Security Extensions (DNSSEC), um protocolo para proteger o tráfego de DNS.
Importante
O Amazon Route 53 é compatível com assinatura de DNSSEC e DNSSEC para registro de domínio. Se você quiser configurar a assinatura de DNSSEC para um domínio que está registrado com o Route 53, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.
Tópicos
Visão geral de como o DNSSEC protege o seu domínio
Quando você configura o DNSSEC para o seu domínio, um resolvedor de DNS estabelece uma cadeia de confiança para respostas de resolvedores intermediários. A cadeia de confiança começa com o registro do TLD do domínio (a zona principal do domínio) e termina com os servidores de nome autorizados no seu provedor de serviços de DNS. Nem todos os resolvedores de DNS oferecem suporte ao DNSSEC. Apenas os resolvers compatíveis com DNSSEC realizam assinatura ou validação de autenticidade.
Veja, de maneira simplificada, como configurar o DNSSEC para domínios registrados no Amazon Route 53 para proteger seus hosts de Internet contra falsificação de DNS:
Use o método fornecido pelo seu provedor de serviços de DNS para assinar os registros em sua zona hospedada com a chave privada em um par de chaves assimétricas.
Importante
O Route 53 é compatível com assinatura de DNSSEC e DNSSEC para registro de domínio. Para saber mais, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.
Forneça a chave pública do par de chaves ao registrador do domínio e especifique o algoritmo que foi usado para gerar o par de chaves. O registrador do domínio encaminhará a chave pública e o algoritmo do registro para o domínio de nível superior (TLD).
Para obter informações sobre como executar essa etapa para os domínios que você registrou no Route 53, consulte Adicionar chaves públicas a um domínio.
Depois de configurar o DNSSEC, veja como ele protege seu domínio contra falsificação de DNS:
Para enviar uma consulta de DNS, por exemplo, navegue até um site ou envie uma mensagem de e-mail.
A solicitação é encaminhada para um resolvedor de DNS. Os resolvedores são responsáveis por retornar o valor apropriado para os clientes com base na solicitação, por exemplo, o endereço IP do host que está executando um servidor da Web ou de e-mail.
-
Se o endereço IP for armazenado em cache no resolver de DNS porque alguém já enviou a mesma consulta ao DNS e o resolver já obteve o valor, o resolver retornará o endereço IP para o cliente que enviou a solicitação. Então, o cliente usa o endereço IP para acessar o host.
Se o endereço IP não estiver armazenado em cache no resolvedor de DNS, o resolvedor enviará uma solicitação à zona principal do seu domínio, no registro do TLD, que retornará dois valores:
O registro do Signatário de Delegação (DS), que é uma chave pública correspondente à chave privada usada para assinar o registro.
Os endereços IP de servidores de nome autorizados para o seu domínio.
O resolvedor de DNS envia a solicitação original para outro resolvedor de DNS. Se esse resolvedor não tiver o endereço IP, ele repetirá o processo até que um resolvedor envie a solicitação para um servidor de nome no seu provedor de serviços de DNS. O servidor de nome retorna dois valores:
O registro do domínio, como example.com. Normalmente, ele contém o endereço IP de um host.
A assinatura do registro, que você criou quando configurou o DNSSEC.
O resolver de DNS usa a chave pública que você forneceu ao registrador de domínio e que o registrador encaminhou para o registro de TLD com duas finalidades:
Estabelecer uma cadeia de confiança.
Verificar se a resposta assinada do provedor de serviços de DNS é legítima e não foi substituída por uma resposta inválida de um invasor.
Se a resposta for autêntica, o resolvedor retornará o valor para o cliente que enviou a solicitação.
Se a resposta não puder ser verificada, o resolvedor retornará um erro para o usuário.
Se o registro de TLD do domínio não tiver a chave pública para o domínio, o resolvedor responderá à consulta de DNS usando a resposta recebida do provedor de serviços de DNS.
Pré-requisitos e máximos para configurar o DNSSEC para um domínio
Para configurar o DNSSEC em um domínio, o provedor de serviços de DNS e o domínio devem atender aos seguintes pré-requisitos:
O registro do TLD deve oferecer suporte ao DNSSEC. Para determinar se o registro do seu TLD oferece suporte ao DNSSEC, consulte Domínios que você pode registrar com o Amazon Route 53.
O provedor de serviços de DNS do domínio deve oferecer suporte ao DNSSEC.
Importante
O Route 53 é compatível com assinatura de DNSSEC e DNSSEC para registro de domínio. Para saber mais, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.
Você deve configurar o DNSSEC com o provedor de serviços de DNS do seu domínio antes de adicionar chaves públicas do domínio ao Route 53.
O número de chaves públicas que você pode adicionar a um domínio depende do TLD dele:
Domínios .com e .net: até 13 chaves
Todos os outros domínios: até quatro chaves
Adicionar chaves públicas a um domínio
Quando você fizer a mudança de chaves ou a ativação do DNSSEC para um domínio, execute o procedimento a seguir, depois de configurar o DNSSEC com o provedor de serviços de DNS do domínio.
nota
Estamos atualizando o console de domínios do Route 53. Durante o período de transição, você pode continuar a usar o console antigo.
Escolha a guia do console que você está usando.
Excluir chaves públicas de um domínio
Quando você fizer a mudança de chaves ou a desativação do DNSSEC para o domínio, exclua as chaves públicas utilizando o procedimento a seguir, antes de desativar o DNSSEC com o provedor de serviços de DNS. Observe o seguinte:
Ao fazer a mudança das chaves públicas, recomendamos que você aguarde até três dias depois de adicionar as novas chaves públicas para excluir as antigas.
Ao desativar o DNSSEC, primeiro exclua as chaves públicas do domínio. Recomendamos que você aguarde até três dias antes de desativar o DNSSEC com o serviço DNS do domínio.
Importante
Se o DNSSEC estiver ativado para o domínio e você desativar esse protocolo com o serviço DNS, os resolvedores de DNS que oferecem suporte a ele retornarão um erro SERVFAIL
para os clientes, que não poderão acessar os endpoints associados ao domínio.
nota
Estamos atualizando o console de domínios do Route 53. Durante o período de transição, você pode continuar a usar o console antigo.
Escolha a guia do console que você está usando.