全部产品
Search

搜索本产品

    Domain Names:Mengonfigurasi DNSSEC

    文档中心

    Domain Names:Mengonfigurasi DNSSEC

    更新时间:Dec 19, 2025

    Jika resolusi DNS untuk sebuah nama domain dibajak, pengguna dapat diarahkan ke alamat berbahaya atau situs web penipuan phishing.
    Hal ini berpotensi menyebabkan kebocoran informasi sensitif, seperti kredensial akun dan detail pesanan, melalui halaman penipuan.
    Alibaba Cloud menyediakan Domain Name System Security Extensions (DNSSEC) untuk menambahkan tanda tangan digital ke nama domain Anda. Jika resolver mendeteksi tanggapan palsu, resolver tersebut akan menolaknya, sehingga memastikan pengguna selalu mengakses layanan asli.

    Cara kerja

    DNSSEC tidak mengubah proses kueri DNS. Sebaliknya, DNSSEC menggunakan tanda tangan digital dan validasi hierarkis untuk memastikan bahwa hasil resolusi yang diterima pengguna tidak dipalsukan atau dimanipulasi.

    Proses ini terdiri dari dua fase:

    Fase konfigurasi (operasi administrator)

    1. Aktifkan DNSSEC pada penyedia DNS otoritatif Anda, seperti Alibaba Cloud DNS. Sistem akan menghasilkan kunci, menandatangani semua catatan, dan membuat catatan Delegation Signer (DS). Catatan DS merupakan sidik jari kriptografis dari kunci publik.

    2. Kirimkan catatan DS ke Alibaba Cloud, yang kemudian akan menyinkronkannya ke database resmi untuk domain tingkat atas (TLD), seperti .com.

    Proses ini mirip dengan mendaftarkan kunci publik Anda ke otoritas yang lebih tinggi.

    Fase validasi (otomatis)

    Saat pengguna mengakses nama domain, resolver yang mendukung DNSSEC melakukan langkah-langkah berikut:

    1. Memperoleh catatan DS terdaftar (sidik jari resmi) dari domain tingkat atas .com.

    2. Mengambil kunci publik saat ini (DNSKEY) dari penyedia DNS domain tersebut.

    3. Menghitung sidik jari dari DNSKEY dan membandingkannya dengan catatan DS. Jika cocok, resolver mempercayai tanggapan tersebut; jika tidak, resolver menolaknya.

    Hanya data DNS yang telah divalidasi yang dikembalikan kepada pengguna, sehingga secara efektif mencegah pencemaran cache dan serangan man-in-the-middle.

    Prosedur

    Langkah 1: Dapatkan catatan DS dari penyedia DNS Anda

    • Jika layanan DNS Anda dihosting di Alibaba Cloud: Pada halaman Alibaba Cloud DNS - Authoritative DNS, temukan nama domain yang dituju dalam daftar nama domain dan klik DNSSEC Settings di sebelah kanan nama domain tersebut. Setelah mengaktifkan fitur ini, peroleh informasi yang diperlukan dari halaman konfigurasi.

      image

    • Jika layanan DNS Anda tidak berada di Alibaba Cloud: Peroleh catatan DS dari penyedia DNS Anda.

    Langkah 2: Tambahkan catatan DS di Konsol Nama Domain Alibaba Cloud

    1. Pada halaman Daftar Nama Domain, temukan nama domain yang ingin Anda konfigurasi, lalu pada kolom Actions, klik Manage. Pada halaman DNSSEC Settings, klik Add DS Record.

    2. Masukkan data DS yang Anda peroleh dari penyedia DNS Anda, lalu klik Submit dan lengkapi verifikasi.

    Catatan

    Anda dapat menambahkan maksimal delapan catatan DS untuk setiap nama domain.

    Langkah 3: Verifikasi konfigurasi

    • Alat yang direkomendasikan: DNSViz

    • Metode verifikasi: Masukkan nama domain Anda ke dalam alat tersebut dan mulai analisis. Jika hasilnya menunjukkan adanya catatan DS di setiap level dan tidak ada kotak kesalahan berwarna merah, berarti DNSSEC telah diaktifkan dan berfungsi dengan benar.

    Kelola catatan DNSSEC

    Sinkronkan catatan DS

    Jika Anda mentransfer nama domain ke Alibaba Cloud dari pendaftar nama domain lain dan telah menambahkan catatan DNSSEC di pendaftar asal, Anda dapat mengklik Sync DS Records pada halaman DNSSEC Settings untuk menyinkronkan catatan DNSSEC ke Konsol Manajemen Alibaba Cloud. Anda tidak perlu menambahkan catatan tersebut secara manual.

    Nonaktifkan DNSSEC

    1. Pada halaman DNSSEC Settings, hapus catatan DS.

    2. Di Konsol penyedia DNS Anda, nonaktifkan DNSSEC.

    Rekomendasi untuk lingkungan produksi

    • Jika paket DNS berbayar Anda akan segera kedaluwarsa dan Anda tidak berencana memperpanjangnya, hapus terlebih dahulu catatan DS di pendaftar nama domain Anda, lalu nonaktifkan DNSSEC di Konsol DNS Alibaba Cloud untuk mencegah kegagalan resolusi.

    • Jika Anda telah mengaktifkan DNSSEC dan ingin mentransfer nama domain ke akun Alibaba Cloud lain, hapus terlebih dahulu catatan DS di pendaftar nama domain Anda, lalu nonaktifkan DNSSEC di Konsol DNS Alibaba Cloud untuk mencegah kegagalan resolusi.

    • Jika Anda telah mengaktifkan DNSSEC dan ingin mentransfer resolusi DNS untuk nama domain ke akun Alibaba Cloud lain, hapus terlebih dahulu catatan DS di pendaftar nama domain Anda, lalu nonaktifkan DNSSEC di Konsol DNS Alibaba Cloud untuk mencegah kegagalan resolusi.

    FAQ

    Mengapa saya perlu menonaktifkan DNSSEC saat mentransfer nama domain?

    Untuk menghindari kegagalan resolusi, nonaktifkan DNSSEC sebelum mentransfer nama domain. DNSSEC bergantung pada catatan DS di pendaftar untuk mengautentikasi tanggapan DNS. Jika Anda tidak menghapus catatan DS sebelum transfer, rantai kepercayaan akan terputus. Resolver rekursif kemudian akan menolak tanggapan tersebut, yang menyebabkan gangguan layanan. Anda dapat mengaktifkan kembali DNSSEC setelah transfer selesai.

    Mengapa tidak ada opsi DNSSEC Settings di Konsol untuk nama domain saya?

    Tidak semua akhiran nama domain didukung. Saat ini, akhiran yang didukung meliputi .com, .net, .cc, .tv, .name, .biz, .club, .cn, dan .top. Jika Anda tidak menemukan opsi DNSSEC Settings di Konsol Nama Domain, berarti akhiran nama domain Anda tidak mendukung fitur ini.