Defaults.Exposed › Laporan
Apa Itu DNSSEC — dan Apakah Anda Benar-Benar Membutuhkannya? (2026)
Diterbitkan 2026-07-01
Angka per 2026-06-29 · metodologi v7. Data sensus agregat pada 261 juta domain yang dinilai. DNSSEC menambahkan tanda tangan kriptografis pada DNS sehingga resolver dapat membuktikan bahwa sebuah jawaban benar-benar berasal dari Anda dan tidak dirusak. Lihat cara kami menilai.
DNSSEC membubuhkan tanda tangan pada setiap jawaban DNS untuk domain Anda, sehingga penyerang tidak dapat diam-diam menukarnya dengan yang palsu dan mengarahkan pengunjung Anda ke tempat lain. Ini adalah salah satu kontrol yang paling sedikit diadopsi di web: hanya 1.99% dari 261 juta domain yang memiliki rantai tanda tangan yang valid. Ini juga salah satu dari sedikit kontrol yang konfigurasi buruknya lebih berbahaya daripada tidak ada sama sekali — 3.02% domain ditandatangani tetapi rusak, yang dapat membuatnya tidak dapat dijangkau. Berikut ini apa fungsinya dan apakah Anda membutuhkannya.
Apa yang sebenarnya dilindungi DNSSEC
DNS biasa tidak memiliki cara untuk membuktikan bahwa sebuah jawaban asli. Hal ini membuka pintu bagi cache poisoning dan spoofing DNS on-path — penyerang menyuapkan catatan palsu ke resolver dan mengarahkan pengunjung Anda, atau email Anda, ke server mereka, tanpa peringatan sertifikat yang menandainya. DNSSEC menutup celah tersebut dengan menandatangani catatan sehingga resolver yang memvalidasi menolak apa pun yang tidak terverifikasi.
Apa yang tidak dilakukannya: ia tidak mengenkripsi DNS, tidak mengamankan situs web itu sendiri, dan tidak menggantikan HTTPS, DMARC atau CAA. Ini adalah satu lapisan — integritas untuk jawaban DNS.
Gambaran adopsi
- 1.99% ditandatangani dan valid.
- 3.02% ditandatangani tetapi rusak — tanda tangan yang gagal validasi, yang dapat menjatuhkan domain bagi siapa pun yang menggunakan resolver yang memvalidasi. Inilah risiko yang membuat orang waswas.
- Di tempat registri secara aktif mempromosikannya, tingkat adopsinya jauh lebih tinggi: akhiran negara yang didorong registri mencapai 9.1% valid, dibandingkan 1.3% pada akhiran negara lainnya. Adopsi adalah tuas kebijakan, bukan batasan teknis. Lihat apakah DNSSEC wajib berhasil dan paradoks DNSSEC.
Berdasarkan akhiran domain, DNSSEC yang valid bervariasi luas: 18.38% pada .se, 11.86% pada .nl, 14.62% pada .cz — dibandingkan hanya 1.62% pada .com.
Apakah Anda membutuhkannya?
- Domain bernilai tinggi atau menjadi target — bank, pemerintah, infrastruktur, apa pun yang mengalihkan pengguna atau surat merupakan hadiah serius — paling banyak diuntungkan.
- Organisasi yang didorong kepatuhan — DNSSEC semakin sering muncul dalam kuesioner keamanan dan beberapa aturan sektoral.
- Semua orang lainnya — ini adalah langkah pengerasan yang wajar jika penyedia DNS Anda menjadikannya sekali klik dan mengelola pergantian kunci untuk Anda. Jika mengaktifkannya berarti mengelola kunci secara manual yang mungkin Anda salah tangani, risiko tanda tangan rusak itu nyata — lakukan di tempat yang otomatis.
Cara mengaktifkannya dengan aman
- Gunakan penyedia DNS yang mengotomatiskan DNSSEC — penandatanganan dan pergantian kunci ditangani untuk Anda (sebagian besar penyedia besar kini melakukannya dalam sekali klik). Lihat perbaiki DNSSEC.
- Aktifkan penandatanganan, lalu publikasikan catatan DS di registrar Anda untuk melengkapi rantai kepercayaan.
- Validasi bahwa rantai tersebut ter-resolve sebelum Anda meninggalkannya — domain yang ditandatangani-tetapi-rusak lebih buruk daripada yang tidak ditandatangani.
- Jangan pernah mengelola kunci secara manual kecuali Anda memiliki perkakas untuk merotasinya secara andal.
Pertanyaan yang sering diajukan
Apa itu DNSSEC dalam istilah sederhana? Ini adalah sekumpulan tanda tangan digital pada catatan DNS Anda sehingga resolver dapat membuktikan bahwa jawaban itu asli dan tidak dipalsukan saat transit.
Apakah saya benar-benar membutuhkan DNSSEC? Ini paling berharga untuk domain yang menjadi target tinggi dan di tempat kepatuhan mensyaratkannya. Bagi semua orang lainnya ini adalah langkah pengerasan yang baik jika penyedia DNS Anda mengotomatiskannya — risiko utamanya adalah salah konfigurasi, yang saat ini dialami 3.02% domain.
Apakah DNSSEC mengenkripsi DNS saya? Tidak. Ia membuktikan integritas (jawaban itu otentik) tetapi tidak menyembunyikan kueri. Itu teknologi yang berbeda (DoH/DoT).
Bisakah DNSSEC merusak situs web saya? Tanda tangan yang rusak atau kedaluwarsa dapat membuat domain Anda tidak dapat di-resolve bagi siapa pun yang menggunakan resolver yang memvalidasi. Itulah sebabnya penandatanganan dan pergantian kunci otomatis penting.
Apakah DNSSEC gratis? Ya pada sebagian besar penyedia DNS modern — ini adalah pengaturan, bukan pembelian.
Periksa DNSSEC domain Anda gratis
Lihat apakah domain Anda ditandatangani, valid, dan terangkai dengan benar — secara pribadi, dan hanya untuk pemilik.
Periksa domain Anda → · Perbaiki DNSSEC → · Apakah DNSSEC wajib berhasil? → · Cara kami menilai → · Hanya data agregat. Data disimpan dan diproses di UE.