Defaults.Exposed › Perbaikan › DNSSEC

Cara memperbaiki DNSSEC

DNSSEC adalah segel digital pada buku alamat domain Anda. Ini memungkinkan internet membuktikan bahwa jawaban atas pertanyaan 'di mana domain ini berada?' benar-benar berasal dari Anda dan tidak dirusak dalam perjalanan. Tanpanya, jawabannya bisa dipalsukan — dan pengunjung Anda diam-diam dikirim ke tempat lain.

Intinya bagi bisnis Anda: Tanpa DNSSEC, penyerang yang bisa meracuni jawaban DNS bisa mengarahkan pelanggan Anda ke salinan sempurna website Anda sementara browser mereka masih menampilkan nama domain asli Anda. Login, nomor kartu, dan data pribadi dipanen, dan Anda hanya mengetahuinya dari chargeback dan keluhan. Pengaturan DNSSEC yang setengah jadi dan rusak bahkan lebih buruk: itu bisa membuat website Anda tidak dapat dijangkau oleh sebagian pengunjung yang semakin banyak tanpa ada error yang pernah Anda perhatikan.

Kerugian yang dapat ditimbulkan

Pengunjung yang mengetikkan domain asli Anda diam-diam dialihkan ke tiruan yang menangkap kata sandi dan detail kartu mereka — dan karena bilah alamat menampilkan domain Anda sepanjang waktu, tidak ada yang mencurigai apa pun sampai laporan penipuan tiba.
Email Anda diam-diam dialihkan: penyerang memalsukan jawaban untuk mail server Anda, membaca atau mencegat pesan, dan mengatur ulang kata sandi di akun yang mengirimi Anda kode — semuanya tanpa menyentuh kotak masuk Anda.
Pengaturan DNSSEC yang setengah terkonfigurasi (segel publik ada tapi kunci yang cocok hilang) membuat website dan email Anda secara acak gagal bagi pelanggan di ISP besar dan jaringan perusahaan — laporan 'website Anda turun untuk saya' yang terputus-putus yang tidak bisa Anda reproduksi.
Tim keamanan calon pelanggan menjalankan pemeriksaan pra-kontrak, tidak melihat DNSSEC, dan menandai Anda sebagai lemah pada fundamental — mempertaruhkan kesepakatan atas pengaturan gratis.
Pembeli sektor publik dan B2B yang lebih besar semakin mengharapkan DNSSEC sebagai baseline (disebutkan dalam regulasi seperti NIS2); ketidakhadirannnya diam-diam mendiskualifikasi Anda dari tender sebelum percakapan bahkan dimulai.

Mengapa ini penting. DNS adalah buku alamat internet, dan secara default jawabannya bepergian tidak ditandatangani — siapa pun yang bisa menyelipkan balasan palsu bisa mengirim pelanggan dan email Anda ke mana saja yang mereka suka, dengan domain asli Anda masih ditampilkan di browser. DNSSEC memberi segel anti-manipulasi pada jawaban tersebut sehingga bisa diverifikasi sebagai milik Anda yang asli. Perbaikannya gratis di sebagian besar penyedia; satu-satunya biaya nyata adalah melakukannya salah, itulah mengapa kami menjalani kedua bagiannya dengan hati-hati.

DNSSEC, dalam bahasa sederhana

Setiap kali seseorang mengunjungi website Anda atau mengirimi Anda email, komputer mereka pertama-tama mengajukan pertanyaan sederhana ke internet: “di mana domain ini sebenarnya berada?” Jawabannya — kumpulan alamat untuk website dan mail server Anda — datang kembali dari DNS, buku alamat internet.

Inilah bagian yang tidak nyaman: secara default, jawaban tersebut bepergian tidak ditandatangani. Tidak ada yang dilampirkan untuk membuktikan jawabannya asli. Jika seseorang bisa menyelipkan balasan palsu ke dalam percakapan itu — dan ada cara yang terbukti dan terkenal untuk melakukan tepat itu — komputer pengunjung Anda akan dengan senang menerimanya. Dari saat itu, pengunjung bisa berbicara dengan server penyerang sementara browser mereka masih menampilkan nama domain Anda di bilah alamat.

DNSSEC adalah perbaikannya. Ini menambahkan segel digital anti-manipulasi pada jawaban DNS Anda. Ketika DNSSEC diaktifkan, internet dapat secara matematis memverifikasi bahwa jawaban benar-benar berasal dari Anda dan tidak diubah dalam perjalanan. Balasan palsu gagal pemeriksaan dan dibuang. Ini adalah perbedaan antara buku alamat yang bisa dicoret siapa saja dan buku di mana setiap entri ditandatangani dan disaksikan.

Halaman ini mencakup dua bagian yang dilihat pemeriksaan kami bersama: apakah segel diterbitkan (record DS) dan apakah kunci yang cocok di belakangnya benar-benar ada (record DNSKEY). Anda akan melihat mengapa keduanya penting segera — karena memiliki satu tanpa yang lain adalah masalah tersendiri.

Dampak finansial yang perlu diketahui

Ini adalah pola realistis dan agregat — bukan bisnis yang diberi nama satu pun.

Pengalihan yang tak terlihat. Penyerang meracuni jawaban DNS untuk domain Anda. Pelanggan mengetik alamat web asli Anda, melihat domain asli Anda di bilah, dan mendarat di salinan halaman login atau checkout Anda yang sempurna yang dihosting oleh penyerang. Setiap kata sandi dan nomor kartu yang mereka masukkan langsung ke kriminal. Anda mendengarnya hanya ketika chargeback dan panggilan “saya diretas melalui website Anda” mulai — dan jejak mengarah ke merek Anda, bukan penyerang.
Pencegahan email yang diam-diam. DNS tidak hanya menunjuk ke website Anda; ini juga menunjuk ke mail server Anda. Palsukan jawaban itu dan email masuk bisa dialihkan melalui penyerang terlebih dahulu. Mereka membaca pesan sensitif, memanen kode satu kali yang layanan emailkan untuk “memverifikasi ini Anda,” dan mengatur ulang kata sandi di akun yang terhubung ke domain Anda — semuanya tanpa pernah masuk ke kotak masuk Anda.
Pemadaman yang tidak bisa Anda reproduksi. Yang satu ini datang dari pengaturan DNSSEC yang setengah jadi. Segel publik (DS) ada di registrar Anda, tapi kunci yang cocok (DNSKEY) hilang atau salah. Pengunjung di ISP dan jaringan perusahaan yang memeriksa DNSSEC — dan semakin banyak setiap tahun — tidak bisa menyelesaikan domain Anda sama sekali. Website dan email Anda bekerja dengan baik untuk Anda dan teknisi, tapi sebagian pelanggan nyata mendapatkan “situs ini tidak dapat dijangkau” tanpa error yang bisa Anda lihat. Ini adalah salah satu masalah yang paling sulit didiagnosis justru karena tidak terlihat dari dalam.
Kesepakatan yang hilang. Tim keamanan atau pengadaan calon pelanggan menjalankan pemindaian pra-kontrak rutin pada domain Anda. Tidak ada DNSSEC muncul sebagai tanda merah pada “dasar-dasar keamanan DNS.” Untuk kontrol yang gratis dan dipahami dengan baik, ketidakhadirannnya terbaca sebagai kecerobohan — dan bisa diam-diam merugikan Anda kontrak yang tidak pernah Anda tahu sedang dalam bahaya.
Tender yang bahkan tidak Anda kualifikasikan. Regulasi dan daftar periksa pembeli semakin menyebutkan DNSSEC sebagai higienitas baseline yang diharapkan (ini direferensikan di bawah ketentuan keamanan DNS NIS2). Pembeli B2B dan sektor publik yang lebih besar mungkin menyaring Anda sebelum percakapan penjualan dimulai, hanya karena kotak tidak dicentang.

Apa sebenarnya itu

DNSSEC bekerja sebagai rantai kepercayaan, dan memiliki dua bagian yang bergerak yang harus setuju satu sama lain. Inilah inti mengapa pemeriksaan kami melihat dua hal.

DNSKEY — kunci Anda. Penyedia DNS Anda memegang kunci kriptografi dan menggunakannya untuk menandatangani record DNS Anda. Bagian publik dari kunci itu diterbitkan sebagai record DNSKEY. Pikirkan itu sebagai stamp-segel yang disimpan di ujung Anda.

Record DS — sidik jari yang menjamin kunci. Sidik jari pendek dari kunci itu, yang disebut record DS (Delegation Signer), diterbitkan satu tingkat di atas — di registry domain Anda, melalui registrar Anda. Inilah yang memungkinkan sisa internet mempercayai kunci Anda: setiap tingkat menjamin untuk tingkat di bawahnya, sampai ke root internet. DS adalah segel yang secara resmi didaftarkan sehingga semua orang lain bisa mengenalinya.

Agar DNSSEC benar-benar melindungi Anda, keduanya harus ada dan harus cocok:

DS ada + DNSKEY ada dan cocok → baik. Rantai kepercayaan lengkap. Jawaban palsu ditolak; yang sah diverifikasi. Ini adalah kondisi “lulus”.
Tidak ada DS (dan tidak ada DNSKEY) → DNSSEC belum aktif. Anda tidak memiliki perlindungan, tapi tidak ada yang rusak. Ini adalah kondisi “belum selesai” yang paling umum. (Dalam penilaian kami ini adalah tempat pemeriksaan DS dihitung melawan Anda; pemeriksaan kunci gabungan memperlakukan kondisi “mati sepenuhnya” yang bersih sebagai informatif daripada kegagalan keras, karena tidak ada yang secara aktif rusak.)
DS ada, tapi DNSKEY hilang atau tidak cocok → rusak, dan lebih buruk dari mati. Internet melihat segel yang diterbitkan yang menunjuk ke kunci yang tidak ada. Resolver yang memvalidasi menyimpulkan domain Anda telah dimanipulasi dan menolak untuk menyelesaikannya — menyebabkan pemadaman intermiten yang dijelaskan di atas. Ini adalah kondisi paling mendesak untuk diperbaiki, dan pemeriksaan kami menandainya sebagai tingkat keparahan tinggi.
DNSKEY ada, tapi tidak ada DS di registrar → aktif tapi tidak diaktifkan. Record Anda ditandatangani, tapi karena sidik jari tidak pernah didaftarkan satu tingkat di atas, sisa internet tidak memiliki cara untuk mempercayainya. Anda mendapatkan pekerjaan tanpa perlindungan. Perbaikannya adalah menambahkan record DS di registrar Anda.

Seperti apa “baik” itu, dalam satu baris: record DS di registrar Anda yang sidik jarinya cocok dengan DNSKEY yang aktif di penyedia DNS Anda, keduanya dikonfirmasi dengan pencarian cepat.

Cara memperbaikinya (gratis, ~10–30 menit)

Berikan bagian ini kepada siapa pun yang mengelola domain atau website Anda. Perbaikannya sendiri gratis di sebagian besar penyedia — satu-satunya biaya adalah melakukannya dengan hati-hati sehingga kedua bagian tetap sinkron. Kami mengenakan biaya hanya jika Anda nanti ingin kami memantau bahwa itu tetap aktif dengan benar.

Aturan emas: aktifkan penandatanganan terlebih dahulu (yang membuat DNSKEY), lalu terbitkan record DS di registrar — jangan pernah sebaliknya, dan jangan pernah satu tanpa yang lain. Menerbitkan DS sebelum kunci ada adalah persis apa yang menyebabkan pemadaman.

Jalur sederhana (direkomendasikan — Cloudflare):

Di Cloudflare, pastikan Cloudflare benar-benar menjalankan DNS Anda (nameserver Anda menunjuk ke Cloudflare).
Pergi ke DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare menghasilkan dan mengelola kunci untuk Anda (ini membuat sisi DNSKEY secara otomatis).
Cloudflare menunjukkan detail record DS untuk diterbitkan di registrar Anda.
Masuk ke registrar domain Anda (misalnya GoDaddy, Namecheap, OVH) dan temukan bagian DNSSEC. Tempelkan nilai DS yang diberikan Cloudflare.
Tunggu 24–48 jam untuk propagasi penuh. Website dan email Anda terus bekerja selama proses.

Penyedia DNS lain (AWS Route 53, host web Anda, dll.):

Di panel kontrol penyedia DNS Anda, aktifkan DNSSEC / “tandatangani zona ini.” Ini menghasilkan kunci penandatanganan dan menerbitkan record DNSKEY.
Salin record DS yang dihasilkan penyedia.
Tambahkan record DS tersebut di registrar Anda di bawah pengaturan DNSSEC-nya.
Konfirmasi registrar menerimanya dan tunggu propagasi.

Catatan platform:

Cloudflare — aktifkan satu klik, lalu tempelkan satu DS di registrar. Rute termudah sejauh ini.
AWS Route 53 — aktifkan penandatanganan DNSSEC pada hosted zone, lalu tambahkan record DS di registrar domain Anda (jika domain terdaftar dengan Route 53, AWS bisa menghubungkannya untuk Anda).
Microsoft 365 / Google Workspace — ini menjalankan email Anda, biasanya bukan zona DNS Anda. DNSSEC diaktifkan di mana pun record DNS Anda sebenarnya berada (sering registrar, host, atau Cloudflare Anda), bukan di pusat admin 365/Workspace.
Penyedia DNS Anda tidak mendukung DNSSEC sama sekali? Itu umum pada host lama atau anggaran. Perbaikan yang bersih adalah memindahkan manajemen DNS ke penyedia yang mendukung (Cloudflare gratis), lalu ikuti jalur sederhana di atas. Memindahkan DNS tidak memerlukan pemindahan website atau email Anda.

Verifikasi berhasil:

Jalankan dig DS yourdomain.com dan dig DNSKEY yourdomain.com — keduanya harus mengembalikan record.
Atau gunakan pemeriksa DNSSEC online gratis mana pun dan konfirmasi rantai kepercayaan hijau/valid.
Jangan menganggapnya selesai sampai keduanya mengembalikan record yang cocok. DS tanpa DNSKEY adalah kondisi rusak — perbaiki atau hapus segera.

Kesalahan umum

Menerbitkan DS sebelum kunci ada. Kesalahan tunggal yang paling merusak: menambahkan record DS di registrar sebelum penandatanganan benar-benar aktif di penyedia DNS. Ini membuat kondisi “segel diterbitkan, kunci hilang” yang membuat domain Anda tidak dapat diselesaikan oleh pengunjung yang memeriksa DNSSEC. Selalu aktifkan penandatanganan terlebih dahulu, lalu terbitkan DS.
Meninggalkan DS lama setelah beralih penyedia. Jika Anda memigrasikan penyedia DNS (atau menonaktifkan penandatanganan) tapi lupa menghapus atau memperbarui record DS lama di registrar, Anda dibiarkan menunjuk ke kunci yang tidak lagi ada — hasil rusak yang sama. Saat Anda menonaktifkan DNSSEC atau memindahkannya, perbarui DS di registrar dalam perubahan yang sama.
Berhenti setelah langkah satu. Mengaktifkan penandatanganan di penyedia DNS (membuat DNSKEY) tapi tidak pernah menambahkan DS di registrar. Semuanya terlihat “aktif” di dasbor DNS, tapi tanpa DS perlindungan tidak pernah aktif. Anda melakukan pekerjaan dan tidak mendapatkan manfaatnya.
Mengasumsikan HTTPS atau autentikasi email sudah mencakup. Gembok dan autentikasi email (SPF / DKIM / DMARC) berharga tapi memecahkan masalah yang berbeda. Tidak satu pun dari mereka menghentikan jawaban DNS palsu dari mengirim pengunjung ke tempat yang salah sejak awal.
Tidak memantau setelah mengaktifkan. Kunci diputar, penyedia berubah, record diedit. Pengaturan yang sempurna hari ini bisa diam-diam rusak berbulan-bulan kemudian. Jika DNSSEC cukup penting untuk diaktifkan, layak untuk pemeriksaan berkala bahwa masih valid.

Di mana ini berada dalam nilai Anda

Kedua pemeriksaan ini berkontribusi pada skor Keamanan DNS Anda. Pemeriksaan record DS diperlakukan sebagai yang berprioritas lebih tinggi dari dua: DS yang hilang adalah kesenjangan nyata dan dinilai sebagai kegagalan. Pemeriksaan DNSKEY mengonfirmasi sisa rantai utuh — hanya lulus ketika DS dan DNSKEY yang cocok keduanya ada, dan menandai kondisi “DS-tanpa-kunci” yang berbahaya sebagai tingkat keparahan tinggi. Hasil “DNSSEC belum diaktifkan” yang bersih adalah titik awal umum bagi banyak bisnis; bergerak dari sana ke pasangan DS + DNSKEY yang lengkap dan cocok adalah peningkatan gratis yang dipahami dengan baik yang meningkatkan posisi Keamanan DNS Anda dan menghapus jalur nyata untuk peniruan dan pencegahan.

Atur di host Anda

Langkah demi langkah untuk penyedia populer:

FAQ

Saya tidak teknis — apakah ini sesuatu yang harus saya tangani secara pribadi?

Tidak. Anda perlu memahami mengapa ini penting (halaman ini mencakup itu), tapi perubahan sebenarnya berada di pengaturan DNS domain dan registrar Anda, jadi itu milik siapa pun yang mengelola domain atau website Anda. Berikan bagian 'Cara memperbaikinya' kepada mereka — gratis dan biasanya membutuhkan kurang dari setengah jam. Kami hanya mengenakan biaya jika Anda nanti ingin kami terus memantau bahwa itu tetap aktif dengan benar.

Jika website saya sudah memiliki gembok (HTTPS), bukankah saya sudah terlindungi?

Mereka melindungi hal yang berbeda. Gembok mengamankan koneksi setelah pengunjung menjangkau server yang tepat. DNSSEC melindungi langkah sebelum itu — memastikan mereka menjangkau server yang tepat sejak awal. Penyerang yang memalsukan DNS Anda bisa mengirim pengunjung ke server mereka sendiri, yang bisa memiliki gembok yang valid sendiri di domain tiruan atau bahkan pada salinan milik Anda. Anda membutuhkan keduanya; satu tidak menggantikan yang lain.

Bisakah mengaktifkan DNSSEC merusak website atau email saya?

Dilakukan di satu tempat oleh penyedia yang mendukungnya, tidak — penyedia modern menangani kunci untuk Anda dan semuanya berjalan. Risikonya datang dari melakukannya dalam dua langkah terputus dan hanya menyelesaikan satu: menerbitkan 'segel' publik (record DS) di registrar Anda sementara kunci yang cocok (DNSKEY) hilang atau tidak cocok. Kondisi rusak itu lebih buruk dari tidak ada DNSSEC dan menyebabkan pemadaman intermiten. Langkah-langkah di bawah ini menjaga kedua bagian tetap sinkron sehingga ini tidak terjadi.

Kami meng-host dengan Cloudflare / Google Workspace / Microsoft 365 — apakah itu sudah mencakup?

Tidak secara otomatis, tapi membuatnya mudah. Yang penting adalah di mana DNS Anda dikelola. Jika Cloudflare menjalankan DNS Anda, itu adalah satu klik aktifkan ditambah menempelkan satu record di registrar Anda. Microsoft 365 dan Google Workspace menangani email, biasanya bukan zona DNS Anda — DNSSEC diaktifkan di mana pun record DNS domain Anda benar-benar berada (sering Cloudflare, registrar Anda, atau host Anda). Langkah-langkah di bawah ini mencakup kasus umum.

Apa sebenarnya 'DS' dan 'DNSKEY' — dan mengapa halaman ini menyebutkan keduanya?

Mereka adalah dua bagian dari satu kunci. DNSKEY adalah kunci yang dipegang penyedia DNS Anda dan digunakan untuk menandatangani record Anda. DS adalah sidik jari dari kunci itu, diterbitkan satu tingkat di atas di registrar Anda sehingga sisa internet bisa mengonfirmasi bahwa kunci itu benar-benar milik Anda. Keduanya harus ada dan harus cocok. Kami memeriksa keduanya: DS yang hilang berarti DNSSEC tidak aktif; DS tanpa DNSKEY yang cocok berarti aktif tapi rusak.

Berapa lama sampai berfungsi, dan bagaimana saya mengonfirmasinya?

Izinkan 24–48 jam agar perubahan menyebar sepenuhnya di seluruh internet; website dan email Anda yang ada terus bekerja selama proses jika dilakukan dengan benar. Untuk mengonfirmasi, orang IT Anda bisa menjalankan 'dig DS yourdomain' dan 'dig DNSKEY yourdomain' dan melihat record dikembalikan untuk keduanya, atau menggunakan pemeriksa DNSSEC online gratis mana pun. Kami juga bisa memantaunya secara terus-menerus sehingga pemutusan di masa depan tertangkap pada hari itu terjadi, bukan pada hari pelanggan mengeluh.