Configurar o DNSSEC para um domínio - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o DNSSEC para um domínio

Às vezes, invasores sequestram o tráfego para endpoints da Internet, como servidores da Web, interceptando consultas de DNS e retornando seus próprios endereços IP para os resolvedores de DNS no lugar dos endereços IP reais desses endpoints. Então, os usuários são direcionados para os endereços IP fornecidos pelo invasores na resposta falsificada, por exemplo, para sites falsos.

Para proteger seu domínio contra esse tipo de ataque, conhecido como falsificação de DNS ou um ataque man-in-the-middle, configure o Domain Name System Security Extensions (DNSSEC), um protocolo para proteger o tráfego de DNS.

Importante

O Amazon Route 53 é compatível com assinatura de DNSSEC e DNSSEC para registro de domínio. Se você quiser configurar a assinatura de DNSSEC para um domínio que está registrado com o Route 53, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.

Visão geral de como o DNSSEC protege o seu domínio

Quando você configura o DNSSEC para o seu domínio, um resolvedor de DNS estabelece uma cadeia de confiança para respostas de resolvedores intermediários. A cadeia de confiança começa com o registro do TLD do domínio (a zona principal do domínio) e termina com os servidores de nome autorizados no seu provedor de serviços de DNS. Nem todos os resolvedores de DNS oferecem suporte ao DNSSEC. Apenas os resolvers compatíveis com DNSSEC realizam assinatura ou validação de autenticidade.

Veja, de maneira simplificada, como configurar o DNSSEC para domínios registrados no Amazon Route 53 para proteger seus hosts de Internet contra falsificação de DNS:

  1. Use o método fornecido pelo seu provedor de serviços de DNS para assinar os registros em sua zona hospedada com a chave privada em um par de chaves assimétricas.

    Importante

    O Route 53 é compatível com assinatura de DNSSEC e DNSSEC para registro de domínio. Para saber mais, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.

  2. Forneça a chave pública do par de chaves ao registrador do domínio e especifique o algoritmo que foi usado para gerar o par de chaves. O registrador do domínio encaminhará a chave pública e o algoritmo do registro para o domínio de nível superior (TLD).

    Para obter informações sobre como executar essa etapa para os domínios que você registrou no Route 53, consulte Adicionar chaves públicas a um domínio.

Depois de configurar o DNSSEC, veja como ele protege seu domínio contra falsificação de DNS:

  1. Para enviar uma consulta de DNS, por exemplo, navegue até um site ou envie uma mensagem de e-mail.

  2. A solicitação é encaminhada para um resolvedor de DNS. Os resolvedores são responsáveis por retornar o valor apropriado para os clientes com base na solicitação, por exemplo, o endereço IP do host que está executando um servidor da Web ou de e-mail.

  3. Se o endereço IP for armazenado em cache no resolver de DNS porque alguém já enviou a mesma consulta ao DNS e o resolver já obteve o valor, o resolver retornará o endereço IP para o cliente que enviou a solicitação. Então, o cliente usa o endereço IP para acessar o host.

    Se o endereço IP não estiver armazenado em cache no resolvedor de DNS, o resolvedor enviará uma solicitação à zona principal do seu domínio, no registro do TLD, que retornará dois valores:

    • O registro do Signatário de Delegação (DS), que é uma chave pública correspondente à chave privada usada para assinar o registro.

    • Os endereços IP de servidores de nome autorizados para o seu domínio.

  4. O resolvedor de DNS envia a solicitação original para outro resolvedor de DNS. Se esse resolvedor não tiver o endereço IP, ele repetirá o processo até que um resolvedor envie a solicitação para um servidor de nome no seu provedor de serviços de DNS. O servidor de nome retorna dois valores:

    • O registro do domínio, como example.com. Normalmente, ele contém o endereço IP de um host.

    • A assinatura do registro, que você criou quando configurou o DNSSEC.

  5. O resolver de DNS usa a chave pública que você forneceu ao registrador de domínio e que o registrador encaminhou para o registro de TLD com duas finalidades:

    • Estabelecer uma cadeia de confiança.

    • Verificar se a resposta assinada do provedor de serviços de DNS é legítima e não foi substituída por uma resposta inválida de um invasor.

  6. Se a resposta for autêntica, o resolvedor retornará o valor para o cliente que enviou a solicitação.

    Se a resposta não puder ser verificada, o resolvedor retornará um erro para o usuário.

    Se o registro de TLD do domínio não tiver a chave pública para o domínio, o resolvedor responderá à consulta de DNS usando a resposta recebida do provedor de serviços de DNS.

Pré-requisitos e máximos para configurar o DNSSEC para um domínio

Para configurar o DNSSEC em um domínio, o provedor de serviços de DNS e o domínio devem atender aos seguintes pré-requisitos:

  • O registro do TLD deve oferecer suporte ao DNSSEC. Para determinar se o registro do seu TLD oferece suporte ao DNSSEC, consulte Domínios que você pode registrar com o Amazon Route 53.

  • O provedor de serviços de DNS do domínio deve oferecer suporte ao DNSSEC.

    Importante

    O Route 53 é compatível com assinatura de DNSSEC e DNSSEC para registro de domínio. Para saber mais, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.

  • Você deve configurar o DNSSEC com o provedor de serviços de DNS do seu domínio antes de adicionar chaves públicas do domínio ao Route 53.

  • O número de chaves públicas que você pode adicionar a um domínio depende do TLD dele:

    • Domínios .com e .net: até 13 chaves

    • Todos os outros domínios: até quatro chaves

Adicionar chaves públicas a um domínio

Quando você fizer a mudança de chaves ou a ativação do DNSSEC para um domínio, execute o procedimento a seguir, depois de configurar o DNSSEC com o provedor de serviços de DNS do domínio.

nota

Estamos atualizando o console de domínios do Route 53. Durante o período de transição, você pode continuar a usar o console antigo.

Escolha a guia do console que você está usando.

New console
Para adicionar chaves públicas a um domínio
  1. Se você ainda não configurou o DNSSEC com seu provedor de serviços de DNS, use o método fornecido pelo seu provedor de serviço para configurá-lo.

  2. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  3. No painel de navegação, escolha Registered domains (Domínios registrados).

  4. Escolha o nome do domínio ao qual você deseja adicionar chaves.

  5. Escolha a guia Chave do DNSSEC escolha Adicionar chave.

  6. Especifique os seguintes valores:

    Tipo de chave

    Escolha se você deseja fazer upload de uma chave de assinatura de chaves (KSK) ou de uma chave de assinatura de zonas (ZSK).

    Algorithm

    Escolha o algoritmo que você usou para assinar os registros da zona hospedada.

    Chave pública

    Especifique a chave pública do par de chaves assimétricas que você usou para configurar o DNSSEC com seu provedor de serviços de DNS.

    Observe o seguinte:

    • Especifique a chave pública, não o resumo.

    • É necessário especificar a chave no formato base64.

  7. Escolha Add (Adicionar).

    nota

    Você pode adicionar apenas uma chave pública por vez. Se você precisar adicionar mais chaves, aguarde até receber um e-mail de confirmação do Route 53.

  8. Quando o Route 53 recebe uma resposta do registro, nós enviamos um e-mail para o contato registrante do domínio. O e-mail confirma que a chave pública foi adicionada ao domínio no registro ou explica por que não foi possível adicioná-la.

Old console
Para adicionar chaves públicas a um domínio
  1. Se você ainda não configurou o DNSSEC com seu provedor de serviços de DNS, use o método fornecido pelo seu provedor de serviço para configurá-lo.

  2. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  3. No painel de navegação, escolha Registered domains (Domínios registrados).

  4. Escolha o nome do domínio ao qual você deseja adicionar chaves.

  5. No campo Status do DNSSEC, escolha Gerenciar chaves.

  6. Especifique os seguintes valores:

    Tipo de chave

    Escolha se você deseja fazer upload de uma chave de assinatura de chaves (KSK) ou de uma chave de assinatura de zonas (ZSK).

    Algorithm

    Escolha o algoritmo que você usou para assinar os registros da zona hospedada.

    Chave pública

    Especifique a chave pública do par de chaves assimétricas que você usou para configurar o DNSSEC com seu provedor de serviços de DNS.

    Observe o seguinte:

    • Especifique a chave pública, não o resumo.

    • É necessário especificar a chave no formato base64.

  7. Escolha Add (Adicionar).

    nota

    Você pode adicionar apenas uma chave pública por vez. Se você precisar adicionar mais chaves, aguarde até receber um e-mail de confirmação do Route 53.

  8. Quando o Route 53 recebe uma resposta do registro, nós enviamos um e-mail para o contato registrante do domínio. O e-mail confirma que a chave pública foi adicionada ao domínio no registro ou explica por que não foi possível adicioná-la.

Excluir chaves públicas de um domínio

Quando você fizer a mudança de chaves ou a desativação do DNSSEC para o domínio, exclua as chaves públicas utilizando o procedimento a seguir, antes de desativar o DNSSEC com o provedor de serviços de DNS. Observe o seguinte:

  • Ao fazer a mudança das chaves públicas, recomendamos que você aguarde até três dias depois de adicionar as novas chaves públicas para excluir as antigas.

  • Ao desativar o DNSSEC, primeiro exclua as chaves públicas do domínio. Recomendamos que você aguarde até três dias antes de desativar o DNSSEC com o serviço DNS do domínio.

Importante

Se o DNSSEC estiver ativado para o domínio e você desativar esse protocolo com o serviço DNS, os resolvedores de DNS que oferecem suporte a ele retornarão um erro SERVFAIL para os clientes, que não poderão acessar os endpoints associados ao domínio.

nota

Estamos atualizando o console de domínios do Route 53. Durante o período de transição, você pode continuar a usar o console antigo.

Escolha a guia do console que você está usando.

New console
Para excluir chaves públicas de um domínio
  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Registered domains (Domínios registrados).

  3. Escolha o nome do domínio do qual você deseja excluir chaves.

  4. Na guia Chaves do DNSSEC, selecione o botão de opção ao lado da chave que você deseja excluir e depois selecione Excluir chave.

  5. Na caixa de diálogo Excluir chave do DNSSEC, insira excluir na caixa de texto para confirmar que deseja excluir a chave e escolha Excluir.

    nota

    Você pode excluir apenas uma chave pública por vez. Se precisar excluir mais chaves, aguarde até receber um e-mail de confirmação do Amazon Route 53.

  6. Quando o Route 53 recebe uma resposta do registro, nós enviamos um e-mail para o contato registrante do domínio. O e-mail confirma que a chave pública foi excluída do domínio no registro ou explica por que não foi possível excluí-la.

Old console
Para excluir chaves públicas de um domínio
  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Registered domains (Domínios registrados).

  3. Escolha o nome do domínio do qual você deseja excluir chaves.

  4. No campo Status do DNSSEC, escolha Gerenciar chaves.

  5. Localize a chave que você deseja excluir e escolha Excluir.

    nota

    Você pode excluir apenas uma chave pública por vez. Se precisar excluir mais chaves, aguarde até receber um e-mail de confirmação do Amazon Route 53.

  6. Quando o Route 53 recebe uma resposta do registro, nós enviamos um e-mail para o contato registrante do domínio. O e-mail confirma que a chave pública foi excluída do domínio no registro ou explica por que não foi possível excluí-la.