DNS vs DNSSEC: Apa Bedanya?
DNS (Domain Name System) menerjemahkan nama domain yang mudah dibaca manusia ke alamat IP yang digunakan komputer untuk berkomunikasi. DNSSEC menambahkan lapisan verifikasi kriptografis di atas DNS, memastikan alamat IP yang Anda terima tidak telah dimanipulasi. DNS memberi tahu Anda ke mana harus pergi; DNSSEC membuktikan petunjuknya dapat dipercaya.
Apa yang dilakukan DNS
Setiap kali Anda mengunjungi sebuah website, perangkat Anda menanyakan sistem DNS untuk mengetahui alamat IP apa yang menghosting domain tersebut. DNS adalah database hierarkis dan terdistribusi yang dikelola di jutaan server di seluruh dunia.
Proses pencarian:
Proses ini biasanya membutuhkan 20–120 milidetik.
Apa yang ditambahkan DNSSEC
DNSSEC memperluas DNS dengan tanda tangan digital di setiap langkah rantai pencarian. Tambahan utama:
DNSKEY records — Diterbitkan oleh setiap zona, berisi kunci publik yang digunakan untuk memverifikasi tanda tangan di zona tersebut.
RRSIG records — Tanda tangan digital yang mencakup setiap set record DNS.
DS records — Record Delegation Signer yang diterbitkan di zona induk, menciptakan tautan (rantai kepercayaan) antara zona induk dan anak.
NSEC/NSEC3 records — Record penolakan keberadaan yang diautentikasi, membuktikan bahwa nama yang ditanyakan tidak ada di zona.
DNS vs DNSSEC: perbandingan berdampingan
| Fitur | DNS | DNSSEC |
|---|---|---|
| **Fungsi** | Menyelesaikan nama ke alamat IP | Memverifikasi keaslian data DNS |
| **Diperkenalkan** | 1983 | 1997–2005 |
| **Enkripsi** | Tidak ada | Tanda tangan (bukan enkripsi) |
| **Mencegah cache poisoning** | Tidak | Ya |
| **Mencegah penyadapan** | Tidak | Tidak (gunakan DoH/DoT) |
| **Dipersyaratkan ICANN untuk TLD** | Ya | Ya |
| **Mode kegagalan** | Mengembalikan jawaban salah diam-diam | Mengembalikan SERVFAIL (error terlihat) |
Ketika validasi DNSSEC gagal
Perbedaan perilaku utama: ketika DNS mengembalikan jawaban yang buruk (cache poisoning), browser Anda menavigasi ke situs penyerang secara diam-diam. Ketika validasi DNSSEC gagal, resolver mengembalikan error SERVFAIL — domain tampak tidak dapat dijangkau daripada diam-diam dialihkan ke server penipuan.
Ini sebenarnya diinginkan: error yang terlihat lebih aman daripada pengalihan tak terlihat ke server penipuan. Pengguna atau sistem pemantauan dapat mendeteksi SERVFAIL; mereka tidak dapat mendeteksi pembajakan DNS yang diam-diam.
Pertanyaan yang Sering Diajukan
Apakah DNSSEC memperlambat resolusi DNS?
Validasi DNSSEC menambahkan sedikit waktu pemrosesan di sisi resolver dan meningkatkan ukuran respons DNS. Dalam praktiknya, latensi tambahan biasanya 1–5ms untuk resolver modern, yang dapat diabaikan.
Bisakah saya menggunakan DNSSEC tanpa RSP?
Pemilik domain individual dapat mengaktifkan DNSSEC melalui panel kontrol registrar mereka — ini tidak memerlukan RSP. Operator TLD (operator registry) memerlukan dukungan tingkat RSP karena mengelola zone signing key, upacara kunci, dan pengiriman record DS di tingkat TLD memerlukan infrastruktur khusus.
Apakah DNSSEC mencegah semua serangan DNS?
DNSSEC mencegah serangan keaslian data — cache poisoning, spoofing, dan injeksi man-in-the-middle. Ini tidak mencegah serangan Denial-of-Service (DoS/DDoS) terhadap infrastruktur DNS, penyadapan kueri DNS, atau kompromi akun registrar/registry.