Como habilitar validação de DNSSEC no Amazon Route 53

Quando você habilita a validação de DNSSEC para uma nuvem privada virtual (VPC) no Amazon Route 53, as assinaturas de DNSSEC são verificadas criptograficamente para garantir que a resposta não tenha sido adulterada. Você habilita a validação de DNSSEC na página de detalhes da VPC.

A validação de DNSSEC é aplicada pelo Route 53 Resolver a nomes públicos assinados quando ele está executando uma resolução de DNS recursiva.

Porém, se o Route 53 Resolver estiver encaminhando para outro resolver de DNS, esse resolver estará executando uma resolução de DNS recursiva e, portanto, também deverá aplicar a validação de DNSSEC.

Importante

A ativação da validação de DNSSEC pode afetar a resolução DNS para registros DNS públicos dos recursos da AWS em uma VPC, o que pode resultar em uma interrupção. Observe que habilitar ou desabilitar a validação de DNSSEC pode levar vários minutos.

nota

No momento, o Amazon Route 53 Resolver em sua VPC (também conhecido como AmazonProvided DNS) ignora o bit do cabeçalho DO (DNSSEC OK) EDNS e o bit CD (Checking Disabled) na consulta DNS. Se você configurou DNSSEC, isso significa que, embora o Route 53 Resolver faça a validação DNSSEC, ele não retorna registros DNSSEC nem define o bit AD na resposta. Portanto, fazer sua própria validação DNSSEC não é compatível com o Resolvedor Route 53 no momento. Se você precisar fazer isso, terá que fazer sua própria resolução recursiva de DNS.

Para habilitar a validação DNSSEC para uma VPC

1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

2. No painel de navegação, em Resolver, escolha VPCs.

3. Em Validação de DNSSEC, marque a caixa de seleção. Se a caixa de seleção já estiver marcada, você poderá desmarcá-la para desabilitar a validação de DNSSEC.

   Observe que habilitar ou desabilitar a validação de DNSSEC pode levar vários minutos.