Apa itu DNSSEC? Cara Kerjanya
DNSSEC (Domain Name System Security Extensions) menambahkan autentikasi kriptografis pada DNS, mencegah penyerang mengarahkan pengguna ke website palsu. Cara kerjanya adalah dengan menandatangani record DNS secara digital sehingga resolver dapat memverifikasi respons itu asli — tanpa mengenkripsi konten kueri DNS itu sendiri.
Mengapa DNS membutuhkan security extensions
Domain Name System standar dirancang pada tahun 1980-an tanpa mempertimbangkan keamanan. Ketika Anda mengetik domain di browser, komputer Anda menanyakan serangkaian DNS resolver "alamat IP apa yang melayani domain ini?" Setiap resolver menyimpan jawabannya dalam cache untuk kecepatan di masa depan — tetapi tanpa cara untuk memverifikasi respons berasal dari sumber yang sah.
Ini menciptakan serangan DNS cache poisoning: pelaku jahat menyuntikkan jawaban DNS palsu ke cache resolver. Setiap pengguna yang dilayani resolver tersebut kemudian diarahkan ke server penyerang alih-alih yang asli. Penemuan Kaminsky pada 2008 membuktikan serangan ini praktis dalam skala besar, mempercepat deployment DNSSEC.
DNSSEC tidak mengenkripsi kueri atau respons DNS — itu adalah pekerjaan DNS over HTTPS (DoH) atau DNS over TLS (DoT). Sebaliknya, DNSSEC menandatangani data DNS itu sendiri sehingga resolver mana pun dapat memverifikasi keaslian tanpa mempercayai jalur jaringan.
Cara kerja penandatanganan DNSSEC: rantai kepercayaan
DNSSEC membuat rantai kepercayaan hierarkis yang dimulai dari zona root DNS dan meluas ke setiap domain yang ditandatangani.
Zone Signing Key (ZSK): Setiap zona DNS menghasilkan ZSK untuk menandatangani record DNS individual. ZSK digunakan secara rutin dan dirotasi secara berkala (biasanya bulanan atau triwulanan).
Key Signing Key (KSK): KSK yang terpisah dan lebih tahan lama hanya menandatangani ZSK. Karena KSK berubah lebih jarang, ia dapat dilindungi dengan kontrol akses yang lebih ketat — untuk operator TLD, ini biasanya berarti HSM (Hardware Security Module).
Delegation Signer (DS) record: Zona induk mempublikasikan hash dari KSK zona anak sebagai record DS. Inilah cara kepercayaan berantai melintasi batas zona — tanda tangan induk pada record DS membuktikan KSK anak.
RRSIG records: Setiap set record DNS yang ditandatangani disertai RRSIG (Resource Record SIGnature) yang digunakan resolver untuk memverifikasi keaslian.
Persyaratan DNSSEC untuk operator TLD
ICANN mewajibkan penandatanganan DNSSEC untuk semua registry new gTLD. Sebelum delegasi, pemohon harus menunjukkan kemampuan DNSSEC sebagai bagian dari evaluasi teknis RSP.
Untuk operator TLD, manajemen DNSSEC melibatkan:
ADG mengelola seluruh siklus ini untuk operator TLD: upacara kunci, kustodian HSM, penandatanganan otomatis, pembaruan tanda tangan, dan rollover kunci darurat.
DNSSEC vs DNS-over-HTTPS: apa bedanya?
Kedua teknologi ini memecahkan masalah yang berbeda dan bersifat komplementer:
| DNSSEC | DNS-over-HTTPS (DoH) | |
|---|---|---|
| **Yang dilindungi** | Keaslian record DNS | Privasi kueri DNS |
| **Di mana beroperasi** | Data DNS (sisi server) | Transportasi DNS (sisi klien) |
| **Mencegah** | Spoofing, cache poisoning | Penyadapan, MITM pada kueri |
| **Mengenkripsi kueri?** | Tidak | Ya |
| **Dipersyaratkan ICANN?** | Ya (TLD) | Tidak |
Pertanyaan yang Sering Diajukan
Apakah DNSSEC diperlukan untuk semua domain atau hanya TLD?
ICANN mewajibkan penandatanganan DNSSEC di tingkat TLD (registry). Registran domain individual dapat secara opsional mengaktifkan DNSSEC untuk domain tingkat kedua mereka.
Apa yang terjadi jika tanda tangan DNSSEC kedaluwarsa?
Jika record RRSIG kedaluwarsa tanpa diperbarui, resolver yang memvalidasi DNSSEC akan mengembalikan error SERVFAIL untuk zona tersebut — secara efektif membuat domain tidak dapat dijangkau untuk pengguna dengan validasi DNSSEC aktif.
Bisakah DNSSEC diretas atau dilewati?
Fondasi kriptografis DNSSEC (tanda tangan RSA atau ECDSA) tidak dapat dipecahkan secara praktis dengan teknologi saat ini. Permukaan serangan bersifat operasional: kompromi kunci melalui penyimpanan yang tidak aman, kesalahan konfigurasi, atau penonaktifan yang disengaja.
Bagaimana DNSSEC berinteraksi dengan CDN?
Sebagian besar CDN besar sepenuhnya kompatibel dengan DNSSEC. Node edge CDN berfungsi sebagai name server autoritatif, dan penandatanganan DNSSEC terjadi di tingkat zona sebelum record didistribusikan ke node edge.