Apa itu DNSSEC
Domain Name System Security Extensions (DNSSEC) membantu melindungi domain Anda dari serangan seperti DNS spoofing dan cache pollution. DNSSEC menggunakan tanda tangan digital untuk memverifikasi keaslian dan integritas tanggapan DNS, sehingga mencegah pengguna dialihkan ke alamat yang tidak diinginkan, melindungi bisnis inti Anda, serta meningkatkan kepercayaan terhadap internet.
Catatan penggunaan
-
DNSSEC tersedia untuk pengguna semua edisi berbayar Alibaba Cloud DNS.
-
Anda tidak dapat mengaktifkan DNSSEC jika subdomain menggunakan hosting DNS independen.
-
Anda tidak dapat mengaktifkan DNSSEC jika fitur Secondary DNS diaktifkan.
-
Anda tidak dapat mengaktifkan DNSSEC untuk domain yang memiliki ALIAS record.
-
Jika langganan berbayar Alibaba Cloud DNS Anda kedaluwarsa dan Anda tidak berencana memperpanjangnya, Anda harus terlebih dahulu menghapus DS record di Pendaftar nama domain, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS untuk mencegah kegagalan resolusi.
-
Jika Anda telah mengaktifkan DNSSEC dan perlu menggunakan fitur Transfer Domain Name Between Accounts untuk memindahkan domain dari Akun A ke Akun B, Anda harus terlebih dahulu menghapus DS record di Pendaftar nama domain, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS untuk mencegah kegagalan resolusi.
-
Jika Anda telah mengaktifkan DNSSEC dan perlu menggunakan fitur Transfer DNS Resolution Across Accounts untuk memindahkan resolusi DNS domain dari Akun A ke Akun B, Anda harus terlebih dahulu menghapus DS record di Pendaftar nama domain, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS untuk mencegah kegagalan resolusi.
-
Jika Anda telah mengaktifkan DNSSEC dan perlu menggunakan fitur Detach Domain Name, Anda harus terlebih dahulu menghapus DS record di Pendaftar nama domain, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS untuk mencegah kegagalan resolusi.
-
Agar DNSSEC berlaku, layanan tersebut harus didukung baik oleh penyedia layanan DNS maupun Pendaftar nama domain. Alibaba Cloud mendukung DNSSEC untuk layanan DNS dan layanan pendaftaran domainnya.
Aktifkan DNSSEC
-
Masuk ke halaman Alibaba Cloud DNS - Public Authoritative DNS. Temukan domain yang relevan, lalu klik DNSSEC Settings > DNSSEC Settings.
-
Pada halaman DNSSEC Settings, aktifkan sakelar DNSSEC.
-
Salin informasi DS record, termasuk Key Tag, Algorithm, Digest Type, dan Digest. Kemudian, tambahkan DS record di Pendaftar nama domain Anda.
-
Jika domain Anda terdaftar di Alibaba Cloud, rujuk dokumen Configure DNSSEC.
Verifikasi DNSSEC
Gunakan testing tool untuk memverifikasi konfigurasi Anda.
Periksa apakah DNSSEC diaktifkan
Sebagai contoh, jika laporan untuk dns-example.com tidak menampilkan record DS di area yang disorot, artinya DNSSEC belum diaktifkan.

DNSSEC aktif
Jika laporan menampilkan record DS untuk setiap level dalam chain of trust dan tidak ada kotak error berwarna merah, DNSSEC berfungsi dengan benar.

Validasi gagal
Jika laporan menampilkan kotak error berwarna merah, hal ini menunjukkan bahwa validasi DNSSEC gagal. Anda dapat mengajukan Tiket untuk memecahkan masalah tersebut.

Nonaktifkan DNSSEC
Langkah 1: Hapus DS record
Untuk domain yang terdaftar di Alibaba Cloud:
-
Masuk ke Domain Names Console.
-
Pada halaman Domain Names, temukan domain tersebut dan klik Manage di kolom Actions.
-
Di panel navigasi sebelah kiri, di bawah DNS Management, klik DNSSEC Settings. Lalu, temukan DS record dan klik Delete.
Langkah 2: Nonaktifkan DNSSEC
-
Pada halaman Alibaba Cloud DNS - Public Authoritative DNS, temukan domain yang relevan, lalu klik DNSSEC Settings > DNSSEC Settings.
-
Pada halaman DNSSEC Settings, nonaktifkan sakelar DNSSEC.
PeringatanAnda harus melakukan langkah-langkah ini sesuai urutan yang ditentukan untuk mencegah kegagalan resolusi.
FAQ
Apakah peringatan kuning dalam laporan DNSSEC merupakan masalah?

Tidak. Peringatan kuning tidak memengaruhi fungsionalitas DNSSEC untuk domain Anda. DNS otoritatif Alibaba Cloud menggunakan resolusi DNS cerdas. Oleh karena itu, wajar jika alamat IP yang dikembalikan oleh DNS otoritatif berbeda dari authenticated glue address record.
Mengapa DNSSEC gagal untuk CNAME records?
DNSSEC bergantung pada chain of trust untuk validasi. Untuk CNAME record, rantai ini mencakup domain target, yang juga harus memiliki DNSSEC diaktifkan. Validasi akan gagal jika DNSSEC diaktifkan untuk domain awal tetapi tidak diaktifkan untuk domain target CNAME record tersebut.