Defaults.Exposed › Pengaturan › DNSSEC

Cara mengatur DNSSEC di Cloudflare

Aktifkan DNSSEC di Cloudflare dan tambahkan DS record di registrar Anda agar tidak ada yang bisa memalsukan jawaban DNS Anda.

Mengapa ini penting bagi bisnis Anda

Saat seseorang mengetik domain Anda atau mengirim email kepada Anda, komputer mereka bertanya kepada sistem DNS untuk mendapatkan alamat yang tepat. Biasanya jawaban tersebut berjalan tanpa tanda tangan, yang berarti penyerang yang dapat merusaknya bisa diam-diam mengarahkan pengunjung Anda ke website palsu atau mengalihkan email Anda ke server mereka. Pelanggan Anda melihat domain Anda yang asli di address bar sepanjang waktu.

DNSSEC menutup celah tersebut. Ia menandatangani jawaban DNS Anda secara kriptografis, sehingga orang yang mencari Anda dapat membuktikan bahwa jawabannya benar-benar berasal dari Anda dan tidak diubah di tengah jalan. Singkatnya: ini mencegah penjahat membajak domain Anda atau meracuni pencarian yang mengarahkan orang ke Anda. Gratis, dan ini adalah salah satu perlindungan terkuat yang bisa Anda aktifkan untuk fondasi tempat semua hal lainnya berdiri.

Cara DNSSEC sebenarnya bekerja (agar langkah-langkahnya masuk akal)

DNSSEC memiliki dua bagian yang berada di dua tempat:

• Host DNS Anda (Cloudflare) menandatangani record Anda dan menerbitkan kunci publik (sebuah DNSKEY) serta sidik jari kecil dari kunci tersebut yang disebut DS record.
• Registrar Anda (tempat Anda membeli dan memperbarui domain) menerbitkan DS record tersebut ke atas ke zone induk (misalnya .com).

DS record di registrar adalah penghubung dalam rantai kepercayaan. Cloudflare bisa menandatangani sepanjang hari, tetapi sampai DS record yang cocok didaftarkan di registrar Anda, internet yang lebih luas tidak memiliki cara yang ditandatangani untuk mempercayai tanda tangan tersebut. Jadi pekerjaannya adalah dua langkah: aktifkan di Cloudflare, lalu serahkan DS record ke registrar Anda.

Risiko nyata — lakukan ini dengan hati-hati

DNSSEC dapat membuat seluruh domain Anda offline jika dilakukan dengan salah. Dua cara itu terjadi:

• Menerbitkan DS record di registrar yang tidak cocok dengan apa yang sebenarnya digunakan host DNS Anda untuk menandatangani.
• Memindahkan DNS ke host yang berbeda (atau menonaktifkan Cloudflare) tanpa terlebih dahulu menghapus DS record di registrar — DS record lama terus menuntut tanda tangan yang sudah tidak ada, dan pencarian mulai gagal.

Keduanya tidak berbahaya jika Anda mengikuti alur di bawah ini secara berurutan dan tidak pernah menghapus DS record di registrar selama Cloudflare masih menjadi host penandatanganan Anda. Jika Anda berencana untuk pindah dari Cloudflare, nonaktifkan DNSSEC dan hapus DS record di registrar terlebih dahulu, lalu pindah.

Pastikan Cloudflare mengelola DNS Anda

Ini hanya berfungsi jika Cloudflare yang menjawab permintaan DNS untuk domain Anda. Cloudflare adalah host DNS Anda, belum tentu perusahaan tempat Anda membeli domain. DNS Cloudflare hanya aktif ketika nameserver domain Anda mengarah ke nameserver Cloudflare yang ditampilkan di dashboard. Buka domain Anda di Cloudflare dan periksa halaman Overview untuk memastikan Cloudflare aktif. Jika nameserver Anda mengarah ke tempat lain, aktifkan DNSSEC di penyedia yang mengelola DNS Anda.

Langkah-langkah di Cloudflare

1. Masuk ke Cloudflare dan pilih domain Anda.
2. Di menu sebelah kiri, buka DNS, lalu Settings (dashboard lama menampilkan bagian DNSSEC langsung di bawah DNS).
3. Temukan DNSSEC dan klik Enable DNSSEC.
4. Cloudflare akan menampilkan panel nilai — yang terpenting adalah DS record. Anda biasanya akan melihat kolom seperti Key Tag, Algorithm, Digest Type, Digest, dan baris DS record siap pakai. Biarkan panel ini terbuka; Anda perlu menyalin ini ke registrar Anda.
5. Sekarang masuk ke registrar Anda (perusahaan tempat Anda memperbarui domain — ini mungkin atau mungkin bukan Cloudflare).
6. Temukan bagian DNSSEC atau DS record untuk domain Anda di registrar dan tambahkan DS record baru menggunakan nilai persis yang diberikan Cloudflare:
   • Key Tag — angka yang ditampilkan Cloudflare.
   • Algorithm — biasanya 13 (ECDSA P-256 SHA-256).
   • Digest Type — biasanya 2 (SHA-256).
   • Digest — string heksadesimal panjang, disalin persis.
7. Simpan di registrar. Jika registrar Anda mengizinkan Anda menempelkan satu baris DS record gabungan daripada kolom terpisah, gunakan baris DS lengkap yang ditampilkan Cloudflare.
8. Kembali di Cloudflare, setelah registrar menerima DS record, status DNSSEC Cloudflare akan berubah menjadi active (ini bisa memakan waktu sebentar untuk dikonfirmasi).

Kesalahan umum di Cloudflare

• Dua sistem, bukan satu. Mengaktifkan DNSSEC di Cloudflare saja tidak melakukan apa pun sendiri — DS record juga harus didaftarkan di registrar Anda. Orang-orang berhenti setelah langkah 3 dan bertanya-tanya mengapa tidak pernah aktif.
• Salin digest dengan tepat. Satu karakter yang salah atau hilang di Digest berarti DS record registrar tidak akan cocok dengan tanda tangan Cloudflare, yang persis adalah miskonfigurasi yang membuat domain offline. Salin dan tempel; jangan ketik ulang.
• Cocokkan angka algoritma dan tipe digest. Jika registrar Anda memintanya secara terpisah, gunakan nilai yang ditampilkan Cloudflare — jangan menebak.
• Jika Cloudflare juga merupakan registrar Anda, langkah DS ditangani secara internal dan Anda mungkin tidak melihat formulir registrar terpisah — tetapi konfirmasi DNSSEC menunjukkan status aktif sebelum menganggapnya selesai.
• Jangan pernah hapus DS record saat Cloudflare masih menandatangani. Dan jika Anda pernah bermigrasi DNS dari Cloudflare, nonaktifkan DNSSEC dan hapus DS record di registrar sebelum pindah.
• Berikan waktu. Perubahan DNSSEC bisa memakan waktu dari beberapa menit hingga sehari untuk sepenuhnya tersebar dan menampilkan status aktif.

Verifikasi bahwa ini berhasil

Setelah DNSSEC menampilkan status aktif di Cloudflare dan DS record sudah terpasang di registrar Anda, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah DNSSEC sudah diterbitkan dengan benar dan dipercaya untuk domain Anda.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.