Defaults.Exposed

Defaults.Exposed › Laporan

Apa Itu DNSSEC — dan Apakah Anda Benar-Benar Membutuhkannya? (2026)

Diterbitkan 2026-07-01

Angka per 2026-06-29 · metodologi v7. Data sensus agregat pada 261 juta domain yang dinilai. DNSSEC menambahkan tanda tangan kriptografis pada DNS sehingga resolver dapat membuktikan bahwa sebuah jawaban benar-benar berasal dari Anda dan tidak dirusak. Lihat cara kami menilai.

DNSSEC membubuhkan tanda tangan pada setiap jawaban DNS untuk domain Anda, sehingga penyerang tidak dapat diam-diam menukarnya dengan yang palsu dan mengarahkan pengunjung Anda ke tempat lain. Ini adalah salah satu kontrol yang paling sedikit diadopsi di web: hanya 1.99% dari 261 juta domain yang memiliki rantai tanda tangan yang valid. Ini juga salah satu dari sedikit kontrol yang konfigurasi buruknya lebih berbahaya daripada tidak ada sama sekali — 3.02% domain ditandatangani tetapi rusak, yang dapat membuatnya tidak dapat dijangkau. Berikut ini apa fungsinya dan apakah Anda membutuhkannya.

Apa yang sebenarnya dilindungi DNSSEC

DNS biasa tidak memiliki cara untuk membuktikan bahwa sebuah jawaban asli. Hal ini membuka pintu bagi cache poisoning dan spoofing DNS on-path — penyerang menyuapkan catatan palsu ke resolver dan mengarahkan pengunjung Anda, atau email Anda, ke server mereka, tanpa peringatan sertifikat yang menandainya. DNSSEC menutup celah tersebut dengan menandatangani catatan sehingga resolver yang memvalidasi menolak apa pun yang tidak terverifikasi.

Apa yang tidak dilakukannya: ia tidak mengenkripsi DNS, tidak mengamankan situs web itu sendiri, dan tidak menggantikan HTTPS, DMARC atau CAA. Ini adalah satu lapisan — integritas untuk jawaban DNS.

Gambaran adopsi

Berdasarkan akhiran domain, DNSSEC yang valid bervariasi luas: 18.38% pada .se, 11.86% pada .nl, 14.62% pada .cz — dibandingkan hanya 1.62% pada .com.

Apakah Anda membutuhkannya?

Cara mengaktifkannya dengan aman

  1. Gunakan penyedia DNS yang mengotomatiskan DNSSEC — penandatanganan dan pergantian kunci ditangani untuk Anda (sebagian besar penyedia besar kini melakukannya dalam sekali klik). Lihat perbaiki DNSSEC.
  2. Aktifkan penandatanganan, lalu publikasikan catatan DS di registrar Anda untuk melengkapi rantai kepercayaan.
  3. Validasi bahwa rantai tersebut ter-resolve sebelum Anda meninggalkannya — domain yang ditandatangani-tetapi-rusak lebih buruk daripada yang tidak ditandatangani.
  4. Jangan pernah mengelola kunci secara manual kecuali Anda memiliki perkakas untuk merotasinya secara andal.

Pertanyaan yang sering diajukan

Apa itu DNSSEC dalam istilah sederhana? Ini adalah sekumpulan tanda tangan digital pada catatan DNS Anda sehingga resolver dapat membuktikan bahwa jawaban itu asli dan tidak dipalsukan saat transit.

Apakah saya benar-benar membutuhkan DNSSEC? Ini paling berharga untuk domain yang menjadi target tinggi dan di tempat kepatuhan mensyaratkannya. Bagi semua orang lainnya ini adalah langkah pengerasan yang baik jika penyedia DNS Anda mengotomatiskannya — risiko utamanya adalah salah konfigurasi, yang saat ini dialami 3.02% domain.

Apakah DNSSEC mengenkripsi DNS saya? Tidak. Ia membuktikan integritas (jawaban itu otentik) tetapi tidak menyembunyikan kueri. Itu teknologi yang berbeda (DoH/DoT).

Bisakah DNSSEC merusak situs web saya? Tanda tangan yang rusak atau kedaluwarsa dapat membuat domain Anda tidak dapat di-resolve bagi siapa pun yang menggunakan resolver yang memvalidasi. Itulah sebabnya penandatanganan dan pergantian kunci otomatis penting.

Apakah DNSSEC gratis? Ya pada sebagian besar penyedia DNS modern — ini adalah pengaturan, bukan pembelian.

Periksa DNSSEC domain Anda gratis

Lihat apakah domain Anda ditandatangani, valid, dan terangkai dengan benar — secara pribadi, dan hanya untuk pemilik.

Periksa domain Anda → · Perbaiki DNSSEC → · Apakah DNSSEC wajib berhasil? → · Cara kami menilai → · Hanya data agregat. Data disimpan dan diproses di UE.