Apakah domain saya memerlukan DNSSEC?

Tidak sepenuhnya. Perlindungan yang diberikannya bermakna namun bersifat parsial. Untuk sebagian besar situs pribadi, biaya operasional menjalankan DNSSEC lebih besar daripada manfaatnya. Untuk situs yang menangani transaksi keuangan, layanan pemerintah, atau target bernilai tinggi, DNSSEC plus DANE menambahkan lapisan pertahanan yang bermanfaat.

Akankah DNSSEC mencegah semua serangan DNS?

Tidak. DNSSEC mencegah gangguan respons DNS secara langsung, namun tidak mencegah: server otoritatif jahat yang memiliki tanda tangan valid, pengambilalihan akun registrar (penyerang menerbitkan kunci baru), atau serangan terhadap IP tujuan setelah resolusi DNS yang sah. Itu hanya sebuah lapisan, bukan solusi lengkap.

Mengapa browser saya tidak memeriksa DNSSEC?

Browser mendelegasikan validasi DNSSEC ke penyelesai yang dikonfigurasi. Jika penyelesai memvalidasi dan menolak jawaban yang buruk, browser tidak akan pernah melihatnya. Ada usulan untuk validasi sisi browser tetapi tidak diadopsi. Gunakan penyelesai validasi (1.1.1.1, 9.9.9.9) dan Anda mendapatkan manfaat DNSSEC.

Apa yang terjadi jika domain bertanda tangan DNSSEC mengalami masalah?

Validasi gagal dan sebagian besar penyelesai mengembalikan SERVFAIL. Domain tampaknya tidak dapat dijangkau. Hal ini terjadi dalam produksi (pemadaman HBO Max pada tahun 2021 adalah kesalahan konfigurasi DNSSEC). Keuntungannya: ketika DNSSEC berfungsi, maka DNSSEC aman; kalau pecah pecahnya keras.

Apakah DNSSEC sama dengan DNS melalui HTTPS?

Tidak. DNSSEC menambahkan tanda tangan pada respons DNS untuk memverifikasi keaslian. DNS melalui HTTPS (DoH) mengenkripsi kueri DNS saat transit. Keduanya saling melengkapi dan paling baik digunakan bersama.

Penjelasan DNSSEC: Menambahkan Tanda Tangan Kriptografi ke Pencarian DNS

DNS, sistem yang menerjemahkan nama seperti example.com menjadi alamat IP, dirancang pada tahun 1983 tanpa otentikasi. Jawaban apa pun yang mengaku berasal dari server otoritatif domain telah diterima. DNSSEC memperbaikinya dengan melampirkan tanda tangan kriptografi ke setiap data DNS, sehingga klien dapat memverifikasi bahwa jawabannya belum diubah. Adopsinya berjalan lambat, namun jika diterapkan, maka akan berhasil.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

DNSSEC (Ekstensi Keamanan Sistem Nama Domain) menambahkan tanda tangan kriptografi ke catatan DNS, memungkinkan klien memverifikasi keaslian dan integritas respons DNS. Tanpa DNSSEC, penyerang jaringan dapat memalsukan balasan DNS dan mengalihkan lalu lintas ke server yang dikendalikan penyerang — dasar dari pembajakan DNS. Dengan DNSSEC, balasan palsu gagal dalam verifikasi tanda tangan dan ditolak.

Apa yang ditambahkan DNSSEC

Empat jenis catatan baru:

RRSIG — tanda tangan di atas sekumpulan catatan. Setiap rekaman yang ditandatangani memiliki RRSIG.
DNSKEY — kunci publik yang digunakan untuk memverifikasi tanda tangan RRSIG untuk suatu zona.
DS (Penandatangan Delegasi) — berada di zona induk, menunjuk ke DNSKEY pada anak. Membangun rantai kepercayaan.
NSEC/NSEC3 — membuktikan bahwa sebuah nama TIDAK ada di zona tersebut. Diperlukan karena "nama ini tidak ada" juga merupakan jawaban yang perlu diautentikasi.

Cara kerja verifikasi

Untuk memverifikasi IP example.com:

Resolver menanyakan example.com untuk data A. Mendapatkan IP plus tanda tangan RRSIG.
Resolver menanyakan example.com untuk DNSKEY-nya (kunci penandatanganan zona, ZSK). example.com.
Catatan DS berisi hash dari DNSKEY example.com, yang ditandatangani dengan kunci .com.
Ini berulang hingga ke akar, yang kunci publiknya di-hardcode dalam penyelesai.

Hasil akhirnya: rantai terverifikasi dari akar melalui .com ke example.com, berakhir pada catatan A asli. Setiap gangguan pada langkah mana pun terdeteksi.

Jenis dan rotasi kunci

DNSSEC menggunakan dua jenis kunci per zona:

Zone-Signing Key (ZSK). Menandatangani catatan sebenarnya (A, MX, TXT, dll.). Sering dirotasi (berbulan-bulan hingga satu tahun) karena sering digunakan.
Key-Signing Key (KSK). Menandatangani ZSK. Jarang dirotasi karena ini adalah titik jangkar yang direferensikan oleh zona induk. Rotasinya memerlukan koordinasi dengan registrar untuk memperbarui catatan DS.

Root KSK dirotasi kira-kira sekali setiap lima tahun. Rotasi tahun 2017 adalah yang pertama dan membutuhkan persiapan bertahun-tahun untuk memastikan penyelesai di seluruh dunia memiliki kunci publik baru.

Adopsi

DNSSEC adopsi tidak merata:

TLD level: Sebagian besar TLD utama telah ditandatangani. .com, .org, .net, .gov, sebagian besar kode negara.
Tingkat domain: Sekitar 5% domain .com mengaktifkan DNSSEC pada tahun 2026 — pertumbuhannya lambat.
Tingkat pemecah masalah: Semua penyelesai publik utama (1.1.1.1, 8.8.8.8, 9.9.9.9) memvalidasi DNSSEC. Kebanyakan penyelesai ISP juga melakukan hal yang sama. Sistem yang tidak mengembalikan apa pun yang mereka dapatkan tanpa verifikasi.
Tingkat klien: Sebagian besar sistem operasi memercayai penyelesai yang dikonfigurasi untuk memvalidasi; mereka tidak memeriksa tanda tangannya sendiri. Beberapa aplikasi dan implementasi DNS-over-HTTPS melakukan validasi sisi klien.

Mengapa adopsi lambat

Beberapa hambatan:

Kompleksitas operasional. Kunci harus dibuat, tanda tangan dibuat ulang ketika catatan berubah, digulirkan secara teratur. Kesalahan konfigurasi merusak domain sepenuhnya (setiap penyelesai mengembalikan SERVFAIL).
Lespons DNS yang lebih besar. Respons yang ditandatangani beberapa kali lebih besar daripada yang tidak ditandatangani. Infrastruktur DNS lama mengasumsikan respons akan sesuai dengan paket UDP tunggal; respons yang ditandatangani sering kali tidak memerlukan fallback TCP.
Lmanfaat pengguna akhir yang terbatas. DNSSEC melindungi terhadap gangguan lapisan DNS namun tidak terhadap IP tujuan yang berbahaya. Sebagian besar pengguna tidak menyadari kapan DNSSEC ada atau tidak ada.
Alternatif yang lebih baik untuk beberapa kasus penggunaan. DNS Terenkripsi (DoH, DoT, DNSCrypt) melindungi permintaan DNS dari gangguan di jalur, yang mengatasi ancaman yang hampir sama dengan kompleksitas yang lebih sedikit.

DNSSEC vs terenkripsi DNS

Keduanya memecahkan masalah yang tumpang tindih namun berbeda:

DNSSEC membuktikan bahwa jawabannya asli dan tidak diubah. Kueri itu sendiri masih terlihat di jaringan.
DNS terenkripsi menyembunyikan kueri dan jawaban dari jaringan, namun tidak membuktikan bahwa jawabannya autentik — ia hanya memercayai penyelesai yang dikonfigurasi.

Penyiapan terkuat: DNS terenkripsi ke penyelesai validasi DNSSEC. Sembunyikan kueri saat transit, verifikasi jawabannya secara kriptografis. Cloudflare 1.1.1.1 dan Google 8.8.8.8 melalui DoH menyediakan keduanya saat ini.

DANE: apa yang dimungkinkan oleh DNSSEC

Salah satu teknologi hilir yang dibuka DNSSEC adalah DANE (Otentikasi Entitas Bernama berbasis DNS). DANE menerbitkan sidik jari sertifikat TLS di DNS, diamankan oleh DNSSEC. Browser dapat memverifikasi sertifikat situs web dengan menanyakan DNS, bukan hanya mengandalkan Otoritas Sertifikat. Adopsi terbatas (kebanyakan digunakan untuk SMTP, bukan HTTPS, karena politik implementasi browser).

Cara memeriksa apakah suatu domain bertanda tangan DNSSEC

Pemeriksaan baris perintah: dig +dnssec example.com — respons menyertakan tanda tangan jika DNSSEC diaktifkan. Alat online seperti DNSSEC-Analyzer (Verisign Labs) menunjukkan rantai kepercayaan penuh secara visual. Ekstensi browser dapat menandai status validasi DNSSEC per halaman.

Pertanyaan yang sering diajukan

Apakah domain saya memerlukan DNSSEC?: Tidak sepenuhnya. Perlindungan yang diberikannya bermakna namun bersifat parsial. Untuk sebagian besar situs pribadi, biaya operasional menjalankan DNSSEC lebih besar daripada manfaatnya. Untuk situs yang menangani transaksi keuangan, layanan pemerintah, atau target bernilai tinggi, DNSSEC plus DANE menambahkan lapisan pertahanan yang bermanfaat.
Akankah DNSSEC mencegah semua serangan DNS?: Tidak. DNSSEC mencegah gangguan respons DNS secara langsung, namun tidak mencegah: server otoritatif jahat yang memiliki tanda tangan valid, pengambilalihan akun registrar (penyerang menerbitkan kunci baru), atau serangan terhadap IP tujuan setelah resolusi DNS yang sah. Itu hanya sebuah lapisan, bukan solusi lengkap.
Mengapa browser saya tidak memeriksa DNSSEC?: Browser mendelegasikan validasi DNSSEC ke penyelesai yang dikonfigurasi. Jika penyelesai memvalidasi dan menolak jawaban yang buruk, browser tidak akan pernah melihatnya. Ada usulan untuk validasi sisi browser tetapi tidak diadopsi. Gunakan penyelesai validasi (1.1.1.1, 9.9.9.9) dan Anda mendapatkan manfaat DNSSEC.
Apa yang terjadi jika domain bertanda tangan DNSSEC mengalami masalah?: Validasi gagal dan sebagian besar penyelesai mengembalikan SERVFAIL. Domain tampaknya tidak dapat dijangkau. Hal ini terjadi dalam produksi (pemadaman HBO Max pada tahun 2021 adalah kesalahan konfigurasi DNSSEC). Keuntungannya: ketika DNSSEC berfungsi, maka DNSSEC aman; kalau pecah pecahnya keras.
Apakah DNSSEC sama dengan DNS melalui HTTPS?: Tidak. DNSSEC menambahkan tanda tangan pada respons DNS untuk memverifikasi keaslian. DNS melalui HTTPS (DoH) mengenkripsi kueri DNS saat transit. Keduanya saling melengkapi dan paling baik digunakan bersama.