Domain Name System Security Extensions (DNSSEC) menambahkan lapisan keamanan pada nama domain Anda dengan menggunakan tanda tangan digital untuk memvalidasi respons DNS. Fitur ini membantu melindungi pengguna dari serangan DNS hijacking dan man-in-the-middle dengan memastikan mereka terhubung ke situs web atau layanan asli yang sesuai dengan nama domain Anda.
Cara kerja
DNSSEC tidak mengubah proses kueri DNS. Sebaliknya, DNSSEC menggunakan tanda tangan digital dan rantai kepercayaan (chain of trust) untuk memastikan bahwa hasil resolusi yang diterima pengguna tidak dipalsukan atau dimodifikasi.
Proses ini terdiri dari dua fase:
Fase konfigurasi (aksi admin)
Aktifkan DNSSEC pada penyedia DNS otoritatif Anda, seperti Alibaba Cloud DNS. Sistem akan menghasilkan kunci, menandatangani semua rekaman, dan membuat Delegation Signer (DS) record. DS record merupakan sidik jari kriptografis dari kunci publik.
Kirimkan DS record tersebut ke pendaftar nama domain Anda (misalnya Alibaba Cloud). Pendaftar kemudian menyinkronkannya ke registri untuk top-level domain (TLD), seperti
.com.
Fase validasi (otomatis)
Saat pengguna mengakses nama domain, resolver yang mendukung DNSSEC melakukan langkah-langkah berikut:
Mengambil DS record terdaftar (sidik jari resmi) dari registri TLD
.com.Mengambil kunci publik saat ini (DNSKEY) dari penyedia DNS nama domain.
Menghitung sidik jari dari DNSKEY dan membandingkannya dengan DS record. Jika sesuai, resolver mempercayai respons tersebut. Jika tidak, resolver menolak respons tersebut.
Hanya data DNS yang telah divalidasi yang dikembalikan kepada pengguna. Hal ini secara efektif mencegah serangan DNS cache poisoning dan man-in-the-middle.
Prosedur
Langkah 1: Dapatkan DS record dari penyedia DNS Anda
Jika layanan DNS Anda dihosting di Alibaba Cloud: Di halaman Public Zone Konsol Alibaba Cloud DNS, temukan nama domain target dan klik DNSSEC Settings di kolom Actions. Setelah Anda mengaktifkan fitur tersebut, peroleh informasi yang diperlukan dari halaman konfigurasi.
Jika layanan DNS Anda dihosting di luar Alibaba Cloud: Peroleh DS record dari penyedia DNS Anda.
Langkah 2: Tambahkan DS record di Konsol Domain Names Alibaba Cloud
Buka halaman Domain Names, temukan nama domain yang ingin Anda konfigurasi, lalu klik Manage di kolom Actions.
Di halaman detail domain, pada panel sebelah kiri, klik DNSSEC Configurations.
Di halaman yang muncul, klik Add DS Record di pojok kanan atas.
Masukkan data DS yang Anda peroleh dari penyedia DNS Anda. Lalu, klik Submit dan selesaikan verifikasi.
Anda dapat menambahkan maksimal delapan DS record untuk setiap nama domain.
Langkah 3: Verifikasi konfigurasi
Tool yang direkomendasikan: DNSViz
Cara verifikasi: Masukkan nama domain Anda di tool tersebut dan mulai analisis. Jika hasilnya menunjukkan adanya DS record di setiap level hierarki DNS dan tidak ada kotak error merah yang muncul, hal ini menandakan bahwa DNSSEC telah diaktifkan dan berfungsi dengan benar.
Kelola rekaman DNSSEC
Sinkronkan DS record
Jika Anda mentransfer nama domain ke Alibaba Cloud dari pendaftar lain dan telah menambahkan rekaman DNSSEC di pendaftar asal, Anda dapat mengklik Synchronize DS Record di halaman DNSSEC Configurations untuk menyinkronkan rekaman DNSSEC ke Konsol Manajemen Alibaba Cloud. Anda tidak perlu menambahkan rekaman tersebut secara manual.
Nonaktifkan DNSSEC
Di Konsol Domain Names Alibaba Cloud, buka halaman DNSSEC Configurations untuk nama domain Anda dan hapus DS record tersebut.
Di Konsol penyedia DNS Anda, nonaktifkan DNSSEC.
Pertimbangan penting
Untuk mencegah kegagalan resolusi DNS, Anda harus menonaktifkan DNSSEC dengan menghapus DS record di pendaftar nama domain Anda sebelum mengganti penyedia DNS atau mentransfer nama domain Anda. Jika tidak, rantai kepercayaan DNSSEC akan terputus dan menyebabkan nama domain Anda menjadi tidak dapat diakses.
Saat layanan DNS berbayar Anda akan segera kedaluwarsa: Jika Anda berencana membiarkan layanan DNS Alibaba Cloud berbayar Anda kedaluwarsa tanpa diperpanjang, Anda harus terlebih dahulu menghapus DS record di pendaftar nama domain Anda, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS.
Saat mentransfer nama domain ke akun Alibaba Cloud yang berbeda: Sebelum mentransfer nama domain Anda, Anda harus terlebih dahulu menghapus DS record di pendaftar nama domain Anda, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS.
Saat mentransfer rekaman DNS untuk nama domain ke akun Alibaba Cloud yang berbeda: Sebelum mentransfer rekaman DNS Anda, Anda harus terlebih dahulu menghapus DS record di pendaftar nama domain Anda, lalu menonaktifkan DNSSEC di Konsol Alibaba Cloud DNS.
FAQ
Mengapa saya perlu menonaktifkan DNSSEC saat mentransfer nama domain?
Untuk menghindari kegagalan resolusi, nonaktifkan DNSSEC sebelum mentransfer nama domain. DNSSEC bergantung pada DS record di pendaftar untuk mengautentikasi respons DNS. Jika Anda tidak menghapus DS record sebelum transfer, rantai kepercayaan akan terputus. Resolver rekursif kemudian akan menolak respons tersebut, yang menyebabkan gangguan layanan. Anda dapat mengaktifkan kembali DNSSEC setelah proses transfer selesai.
Mengapa opsi DNSSEC Configurations tidak tersedia di Konsol untuk nama domain saya?
DNSSEC tidak didukung untuk semua TLD. Saat ini, TLD yang didukung mencakup .com, .net, .cc, .tv, .name, .biz, .club, .cn, dan .top. Jika Anda tidak dapat menemukan opsi DNSSEC Configurations di Konsol Domain Names, hal ini menunjukkan bahwa TLD nama domain Anda tidak mendukung fitur ini.