Apa itu DNSSEC (ekstensi keamanan DNS)?

Secara sederhana, DNSSEC membantu memastikan bahwa pengguna diarahkan ke situs web yang sebenarnya mereka cari, dan bukan situs web palsu. Meskipun tidak menjaga privasi pencarian (keamanan lapisan transportasi, atau TLS, adalah protokol keamanan yang dirancang untuk memastikan privasi di internet), ia membantu mencegah entitas jahat menyisipkan respons DNS yang dimanipulasi ke dalam permintaan DNS.

DNSSEC (singkatan dari Domain Name System security extensions) digunakan untuk memperluas protokol DNS dan mengatasi kerentanan dalam DNS yang membuat sistem rentan terhadap berbagai serangan siber, seperti spoofing DNS, racun cache DNS, serangan man-in-the-middle, dan modifikasi tidak sah lainnya pada data DNS. Penerapan DNSSEC membantu membentengi DNS dari potensi risiko ini, menyediakan infrastruktur yang lebih aman dan andal untuk internet. Ketika DNS resolver meminta informasi, respons pencarian DNS divalidasi melalui verifikasi tanda tangan digital, yang mengonfirmasi keaslian dan integritas data yang diterima.

Karena ancaman keamanan siber terus berkembang, permintaan akan langkah-langkah keamanan yang kuat, termasuk DNSSEC, kemungkinan akan tumbuh. Organisasi seperti Internet Corporation for Assigned Names and Numbers (ICANN) secara aktif mempromosikan adopsi globalnya, yang mencerminkan pengakuan yang terus meningkat atas peran pentingnya dalam keamanan DNS.

Untuk membantu mengamankan DNS, ekstensi keamanan DNS menambahkan tanda tangan kriptografi ke catatan DNS yang ada. Tanda tangan ini disimpan di server nama DNS dengan jenis catatan DNS lainnya, seperti catatan A (yang membuat sambungan langsung antara alamat IPv4 dan nama domain), catatan AAAA (yang menghubungkan nama domain ke alamat IPv6), catatan MX (yang mengarahkan email ke server email domain), dan catatan CNAME (yang memetakan alias ke nama domain yang sebenarnya, atau nama domain "kanonis").

Catatan dan istilah terkait lainnya yang membantu untuk memahami fungsi DNSSEC meliputi:

Catatan DS digunakan untuk membangun rantai kepercayaan yang aman antara zona induk dan zona anak. Mereka berisi hash kriptografi dari catatan DNSKEY.

Catatan DNSKEY (juga dikenal sebagai kunci DNSSEC) menyimpan kunci publik yang terkait dengan zona DNS tertentu. Kunci-kunci ini digunakan untuk memverifikasi tanda tangan digital dan memastikan keaslian dan integritas data DNS di dalam zona tersebut.

Catatan RRSIG berisi tanda tangan kriptografi yang terkait dengan satu set catatan sumber daya DNS.

Ini adalah kumpulan dari semua catatan sumber daya dari jenis tertentu yang terkait dengan nama tertentu di DNS. Sebagai contoh, jika Anda memiliki dua alamat IP yang terkait dengan "example.com," catatan A untuk alamat-alamat ini akan digabungkan untuk membentuk RRset.

Ini adalah catatan yang berisi daftar jenis catatan yang ada untuk domain dan digunakan untuk menunjukkan penolakan terautentikasi atas keberadaan nama domain tertentu. Ini bekerja dengan mengembalikan catatan “aman berikutnya”. Sebagai contoh, jika resolver rekursif menanyakan server nama untuk catatan yang tidak ada, server nama akan mengirimkan catatan lain, "catatan aman berikutnya" yang didefinisikan pada server, yang mengindikasikan bahwa catatan yang diminta tidak ada.

Ini adalah peningkatan untuk NSEC. Ini meningkatkan keamanan dengan membuatnya lebih menantang bagi penyerang untuk memprediksi atau menebak nama-nama domain yang ada di suatu zona. Ia bekerja dengan cara yang mirip dengan NSEC tetapi menggunakan nama catatan yang di-hash secara kriptografis untuk menghindari daftar nama di zona tertentu.

Pasangan kunci penandatanganan zona (kunci publik dan kunci privat) adalah kunci autentikasi yang digunakan untuk menandatangani dan memverifikasi RRset. Dalam DNSSEC, setiap zona memiliki pasangan ZSK. Kunci pribadi digunakan untuk membuat tanda tangan digital untuk RRSet. Tanda tangan ini disimpan sebagai catatan RRSIG di server nama. Kunci publik yang terkait, yang disimpan dalam catatan DNSKEY, memverifikasi tanda tangan, mengonfirmasi keaslian RRset. Namun, langkah-langkah tambahan diperlukan untuk memvalidasi ZSK publik. Untuk ini, kunci penandatanganan kunci digunakan.

Kunci penandatanganan kunci adalah pasangan kunci publik/pribadi lainnya dan digunakan untuk memverifikasi bahwa kunci penandatanganan zona publik tidak disusupi. 

Ekstensi keamanan DNS menyediakan kerangka kerja yang diamankan secara kriptografis yang dirancang untuk meningkatkan keamanan dan kepercayaan DNS. Pada intinya, DNSSEC menggunakan sistem pasangan kunci publik dan privat. Untuk mengaktifkan validasi DNSSEC, administrator zona membuat tanda tangan digital (disimpan sebagai data RRSIG) menggunakan kunci penandatanganan zona privat, dan kunci publik terkait yang didistribusikan sebagai catatan DNSKEY. Kunci penandatanganan kunci digunakan untuk menandatangani dan mengautentikasi ZSK, sehingga memberikan lapisan keamanan tambahan.

Resolver DNS, ketika ditanya, mengambil RRset yang diminta dan catatan RRSIG terkait, yang berisi kunci penandatanganan zona privat. Resolver kemudian meminta catatan DNSKEY yang menyimpan kunci ZSK publik. Ketiga aset ini bersama-sama memvalidasi respons yang diterima oleh resolver. Namun keaslian ZSK publik masih perlu diverifikasi. Di sinilah kunci penandatanganan kunci berperan.

Kunci penandatanganan kunci digunakan untuk menandatangani ZSK publik dan membuat RRSIG untuk DNSKEY. Server nama menerbitkan KSK publik dalam catatan DNSKEY, seperti yang terjadi untuk ZSK publik. Tindakan ini akan menciptakan RRset yang berisi kedua data DNSKEY. Catatan ini ditandatangani oleh KSK privat, dan divalidasi oleh KSK publik. Autentikasi ini memvalidasi ZSK publik, yang merupakan tujuan KSK, dan memverifikasi keaslian RRset yang diminta.

DNSSEC beroperasi dengan prinsip membangun "rantai kepercayaan" di seluruh hierarki DNS, dan penandatanganan data DNS di setiap tingkat untuk menciptakan jalur yang dapat diverifikasi yang memastikan integritas dan keaslian data. Setiap tautan dalam rantai diamankan dengan tanda tangan digital, menciptakan jangkar kepercayaan yang dimulai di server zona akar dan meluas ke bawah melalui server domain tingkat atas (TLD) ke server DNS resmi untuk domain individual.

Catatan penanda tangan delegasi (DS) digunakan untuk mengaktifkan transfer kepercayaan dari induk ke zona anak. Ketika resolver dirujuk ke zona anak, zona induk menyediakan catatan DS yang berisi hash catatan DNSKEY zona induk. Ini dibandingkan dengan KSK publik yang di-hash dari zona anak. Kecocokan menunjukkan keaslian KSK publik dan memberi tahu resolver bahwa catatan di subdomain (zona anak) dapat dipercaya. Proses ini bekerja dari satu zona ke zona lainnya, membangun rantai kepercayaan.

DNSSEC dan keamanan DNS adalah konsep yang terkait dalam ranah keamanan internet, masing-masing dengan fokus dan cakupan yang berbeda. DNSSEC secara khusus mengacu pada satu set ekstensi DNS yang dirancang untuk memperkuat keamanan Sistem Nama Domain. Tujuan utamanya adalah memastikan integritas dan keaslian catatan DNS melalui kriptografi kunci privat dan publik.

Keamanan DNS adalah istilah yang lebih luas yang mencakup pendekatan komprehensif untuk mengamankan seluruh lingkungan DNS. Meskipun DNSSEC adalah komponen penting dari keamanan DNS, cakupan keamanan DNS lebih luas daripada protokol khusus DNSSEC. Keamanan DNS mengatasi berbagai ancaman termasuk serangan denial-of-service terdistribusi atau (DDoS) dan pencurian domain, memberikan strategi holistik untuk melindungi terhadap aktivitas berbahaya yang mungkin membahayakan infrastruktur DNS.