Apa perbedaan DNSSEC dengan enkripsi?

Ini adalah pertanyaan yang sering kita dengar: “Bukankah DNSSEC sama dengan DNS terenkripsi?”

Tidak juga. Untuk melindungi jaringan dari serangan man-in-the-middle, DNSSEC melakukannya melalui kriptografi kunci publik, yang berbeda dari enkripsi. Dengan kata lain, DNSSEC menyediakan bentuk autentikasi, tetapi bukan bentuk kerahasiaan.

DNSSEC menggunakan kriptografi kunci publik untuk secara digital “menandatangani”, atau mengautentikasi, kueri DNS. Ketika DNSSEC diaktifkan pada catatan zona, perangkat penerima dapat membandingkan informasi yang diterimanya dengan informasi asli yang dikirim oleh server aslinya. Tindakan ini diaktifkan oleh tanda tangan digital yang menggunakan kunci publik untuk mengautentikasi data.

Di DNSSEC, kunci autentikasi dilindungi melalui kriptografi, tetapi data itu sendiri tidak dilindungi. Lalu lintas data yang dilindungi DNSSEC masih dapat dicegat dan dibaca. Jika data dimanipulasi di suatu tempat di sepanjang jalur data dan dikirim ke tujuannya, server penerima akan dapat mengetahui bahwa ada sesuatu yang tidak beres karena kunci publiknya tidak cocok.

Enkripsi, di sisi lain, menggunakan kriptografi untuk mengodekan data itu sendiri. Enkripsi memastikan kerahasiaan dengan mengubah apa yang akan dilihat oleh penyerang jika mereka mencegat kueri di suatu tempat di sepanjang jalur data. Enkripsi membuat data itu tidak dapat dipahami kecuali penyerang dapat menguraikan sinyal menggunakan kunci enkripsi. Karena kunci itu tidak dibagikan secara publik, enkripsi melindungi data dari manipulasi.

DNS adalah salah satu protokol lama di Internet. Ketika diciptakan, Internet adalah tempat yang jauh lebih kecil di mana hampir semua orang saling mengenal. Pemikiran tentang keamanan baru muncul setelahnya.

Pada saat keamanan Internet menjadi perhatian, DNS digunakan secara luas sehingga setiap perubahan yang signifikan akan membuat seluruh sistem terhenti. Daripada mencoba mengembangkan protokol terenkripsi penuh untuk menggantikan DNS, diputuskan untuk memasang mekanisme autentikasi pada sistem yang sudah ada.

DNSSEC adalah kompromi. Kompromi ini memungkinkan autentikasi kueri dan data, meningkatkan keamanan protokol. Namun, hal ini dilakukan tanpa mengubah sistem yang mendasarinya, sehingga Internet dapat terus berkembang tanpa perlu merekayasa ulang apa pun. Penerapan DNSSEC bersifat opsional sehingga organisasi dapat bertransisi jika dan kapan pun mereka mau.

Keracunan cache DNS (juga dikenal sebagai spoofing DNS) adalah alasan besar untuk menerapkan DNSSEC. Dalam serangan spoofing DNS, jawaban yang tidak diautentikasi diganti dengan respons yang sah terhadap kueri DNS. Jawaban tersebut kemudian terjebak dalam cache, terus memberikan jawaban yang salah dan mengarahkan pengguna ke situs berbahaya hingga "waktu untuk aktif" berakhir.

DNSSEC melindungi dari serangan semacam ini dengan mengautentikasi respons DNS, memastikan bahwa hanya jawaban yang benar yang diberikan. Enkripsi dapat melindungi data yang mendasarinya dalam koneksi DNS, tetapi tidak akan melindungi dari serangan spoofing DNS.

Sayangnya, hanya sekitar 20% dari lalu lintas Internet (tautan berada di luar ibm.com) yang divalidasi melalui DNSSEC. Meskipun ini adalah peningkatan yang signifikan dibandingkan beberapa tahun yang lalu, namun masih jauh dari yang seharusnya. Kombinasi masalah kebergunaan, kurangnya informasi, dan kemalasan belaka menyumbang pada kesenjangan yang signifikan itu.

NS1 sangat mendorong semua pelanggannya untuk menerapkan DNSSEC, dan mempromosikan penggunaannya melalui proses penerapan yang sederhana. Tidak seperti penyedia lain, NS1 bahkan mendukung DNSSEC sebagai penyedia sekunder atau opsi DNS redundan melalui penawaran DNS Khusus kami.