Suryadi Kurniawan Suryadi is a digital content writer at Niagahoster. He keeps on pursuing opportunities to engage with more people through articles about WordPress, Internet Marketing and other IT-related issues. During his free time, he enjoys playing Clash Royale a lot.

DNSSEC: Pengertian, Kelebihan dan Cara Kerjanya

4 min read

Pengertian DNSSEC

Jika Anda sudah membaca artikel apa itu DNS kami, Anda akan paham pentingnya sistem ini bagi aktivitas online. Sayangnya, masih ada kelemahan pada sisi keamanan yang membuatnya dapat dibobol. Inilah yang membuat para ahli menemukan DNSSEC untuk memperbaikinya.

Apa itu DNSSEC? Mari pelajari secara lengkap, berikut kelebihan dan cara kerjanya.

Apa Itu DNSSEC?

DNSSEC adalah singkatan dari Domain Name System Security Extension.

Dari namanya, Anda pasti sudah dapat menebak bahwa DNSSEC dibuat khusus untuk menambahkan keamanan pada sistem DNS yang sudah ada.

Sistem DNS dibuat untuk memudahkan komunikasi antara manusia dengan komputer. Dengan adanya DNS, Anda tak perlu lagi mengetikkan 157.240.20.35 untuk bisa mengakses Facebook.com.

Lalu, bagaimana jika saat Anda mengetikkan Facebook.com Anda tidak dibawa ke IP address yang benar?

Itulah bahaya yang dihadapi. Sistem DNS masih rentan terhadap DNS Spoofing. Yaitu, serangan hacker yang mengganti catatan pada DNS sehingga membuat Anda mengakses website yang salah.

Baca Juga: Pengertian DDOS dan Cara Mengatasinya

Bayangkan jika Anda salah masuk ke toko online palsu dan bertransaksi menggunakan kartu kredit atau memasukkan informasi bank Anda.

Keadaan ini bukanlah isapan jempol semata. Faktanya, pernah terjadi insiden pada tahun 2014. Beberapa email yang seharusnya menggunakan layanan Gmail dan Yahoo! justru masuk ke server asing milik para hacker.

DNSSEC mencoba mencegah terjadinya kejadian serupa. Caranya dengan memanfaatkan digital signature technology. Semua catatan pada sistem DNS dilengkapi dengan tanda tangan digital bersandi khusus.

Apa artinya? Verifikasi keaslian informasi yang dikirimkan dari server ke klien lebih mudah dilakukan. Jadi, apabila tidak sesuai dengan catatan pada authoritative DNS server bisa langsung dicegah.

Dengan prosedur ini, penggunaan DNSSEC akan memastikan informasi yang Anda terima memang benar dari sumber resmi. Dan, dipastikan tidak terjadi perubahan informasi yang disusupi aktivitas hacker.

Bagaimana penjelasan prosesnya?

Cara Kerja DNSSEC

Pada penjelasan DNS, Anda sudah belajar berbagai macam record DNS seperti A, AAA, CNAME, MX, dan lainnya.

DNSSEC menambahkan beberapa record untuk digunakan, yaitu:

  • RRSIG berisi signature digital dengan sandi khusus
  • DNSKey menyimpan public signing key yang akan digunakan pada proses otentikasi informasi.
  • DS atau Delegation Signer adalah hash DNSKey yang tersimpan di parent zone. Tugasnya memastikan semua catatan dari childzone tertentu bisa dipercaya.
  • NSEC atau Next Secure Record bertugas memastikan informasi bahwa sebuah record DNS tidak ditemukan.

Nah, sebelum masuk ke cara kerja DNSSEC, mari ingat kembali cara kerja DNS. Dimulai dari request melalui browser, DNS resolver bertugas mencari informasi yang diperlukan.

Proses berjalan dari mencari di cache lokal, menghubungi ISP, hingga meminta bantuan root DNS server. Proses ini dilanjutkan hingga ke top level domain server dan authoritative name server.

Semua langkah ini membutuhkan verifikasi DNSSEC key yang sesuai dengan DNS Zone-nya.

Cara-Kerja-DNSSEC

Inilah penjelasannya:

RRSet

Pertama, DNSSEC system akan mengelompokkan semua record yang sama dalam satu wadah bernama RRSet. Tujuannya untuk memudahkan proses penggunaan signature. Misalnya, AAA record dikelompokkan sendiri, lalu ditandatangani secara digital dengan sandi khusus yang sama.

Zone Signing Key (ZSK)

Selanjutnya, DNS server authoritative akan memberikan tanda khusus bernama Zone Signing Key (ZSK) berpasangan pada tiap RRSet. Ada private key dan public key.

ZSK menggunakan metode asimetris seperti yang diterapkan dalam keamanan SSL.

Ketika RRSet mendapatkan signature untuk public key, informasinya akan disimpan pada RRSIG record. Di sisi lain, public zone singing key disimpan di DNSKey record.

Pada praktiknya, saat DNS resolver meminta suatu jenis DNS. Katakanlah AAA record, maka authoritative name server di DNS zone tersebut akan memberikan AAA record dan RRSIG record.

Artinya, DNS resolver harus meminta DNSKey record kepada DNS server yang berisi public ZSK untuk bisa memvalidasi bahwa request tersebut valid.

Key Signing Key (KSK)

Selain validasi yang dilakukan ZSK terhadap RRSet, ZSK sendiri perlu divalidasi oleh Key Signing Key (KSK). Tujuannya, untuk menunjukkan bahwa sistem DNSSEC aman, terutama di zone tertentu.

Penjelasannya begini. Masih menggunakan contoh proses di atas. Ternyata, DNS server memberikan baik ZSK dan KSK. Jadi, ZSK untuk memverifikasi RRSIG atas permintaan RRSet AAA. Setelah berhasil, ZSK sendiri akan tervalidasi jika cocok dengan public KSK.

Dengan demikian, apabila proses validasi berjalan sempurna, bisa diartikan bahwa seluruh DNS zone tersebut aman atau dapat dipercaya sumber informasinya.

Delegationn Signer (DS)

Lalu, siapa yang akan memvalidasi bahwa sebuah zone itu aman meskipun sudah ada bukti berbagai proses di atas yang valid?

DNSSEC akan memanfaatkan sistem hirarki DNS dengan asumsi bahwa jika parent zone tersebut aman, maka child zone yang dimiliki juga aman.

Caranya, ketika sebuah child zone terbentuk akan dibuat sebuah duplikat hash dari public KSK zone tersebut. Nantinya, setelah diberikan kepada parent zone, akan dibuatlah DS (Delegation Signer) record.

Prosesnya hampir sama, pada saat DNS resolver diminta untuk menghubungi sebuah child zone, parent zone akan membekalinya dengan sebuah DS record. Yang harus dilakukan kemudian adalah mencocokan public KSK dari child zone dengan DS record. Jika sama, maka semua records di child zone aman.

Baca juga: 6+ Rekomendasi DNS Tercepat [Update 2021]

Chain of Trust

Semua tahapan proses yang terjadi selanjutnya sama.

Untuk memastikan sebuah proses valid dibutuhkan pencocokan data dengan sistem di atasnya (parent). Begitu juga yang terjadi dengan DS record. Semua proses akan terus terjadi hingga masuk kepada root server.

Inilah yang kemudian dipahami sebagai Chain of Trust yang menjadi dasar dari sistem DNSSEC.

Kelebihan DNSSEC

Nah, setelah mengetahui cara kerja dari DNSSEC, tidak dapat dipungkiri bahwa sistem ini memiliki kelebihan sebagai berikut:

Memberikan Keamanan Ekstra

Penggunaan DNSSEC menjanjikan tingkat keamanan yang lebih tinggi. Jadi, akan mempersulit upaya hacker untuk dapat menyusup ke sistem DNS yang sudah ada.

Hal ini terutama karena diberlakukannya digital signature yang harus dilewati dengan proses pencocokan keys. Apalagi mengingat penggunaan teknik asimetris yang diterapkan, langkah peretasan akan semakin sulit dilakukan.

Baca Juga: Tips Menambah Keamanan Website

Memastikan Informasi Benar

Tak perlu lagi khawatir dengan informasi yang diterima. Sebab, proses di dalam DNSSEC memastikan informasi tersebut valid.

Berbagai verifikasi yang dilakukan melalui chain of trust memastikan informasi tersebut berasal dari website yang benar. Jadi, untuk aktivitas yang sensitif yang terkait data pribadi dan privasi bisa dilakukan dengan aman.

Siapa yang Membutuhkan DNSSEC?

Pada dasarnya, semua website membutuhkan keamanan dalam setiap aktivitas online yang dilakukan. Namun, ada beberapa jenis website yang paling membutuhkan penerapan DNSSEC ini.

1. Website yang Terkait Keuangan

Jika Anda memiliki website yang memproses transaksi keuangan seperti toko online, penggunaan DNSSEC sangat disarankan.

Selain untuk memastikan transaksi yang dilakukan aman, kepercayaan konsumen akan menentukan apakah mereka akan berbelanja lagi di toko online Anda.

2. Website yang Terkait Informasi Kesehatan

Semua informasi yang terkait dengan kesehatan harus valid. Jika tidak, bisa mengancam nyawa manusia.

Oleh karena itu, dengan penerapan DNSSEC akan memastikan tidak ada penyusup yang memanipulasi informasi yang Anda bagikan. Apalagi, jika informasi yang keliru tersebut terkait dengan kredibilitas Anda di dunia kesehatan.

3. Website yang Banyak Menyimpan Informasi Pribadi

Tak jarang website yang dikelola dengan menyimpan informasi dari pengguna. Salah satu contohnya adalah website membership seperti kelas online.

Dengan perlindungan DNSSEC, Anda bisa membantu melindungi data konsumen sekaligus kredibilitas online Anda. Jangan sampai terjadi pencurian data yang dilakukan oleh peretas dengan mudah.

4. Website yang Rentan Serangan Online Vandalism

Hacker banyak menyerang website yang banyak diketahui publik. Salah satunya, website pemerintah. Masih ingat dengan insiden deface pada website KPU beberapa waktu lalu?

Meskipun ada banyak proteksi lain yang harus dilakukan untuk pencegahan, menggunakan DNSSEC bisa menjadi langkah yang bijak.

Penutup

Nah, Anda sudah paham bahwa peran DNSSEC sangat penting dalam meningkatkan keamanan sistem DNS. Dengan DNSSEC, website Anda akan jauh lebih aman dan terhindar dari serangan hacker.

Untuk langkah tambahan, tidak ada salahnya untuk menerapkan langkah tambahan mengamankan website. Anda bisa dapatkan tips dan panduan lengkapnya di ebook ini:

ebook keamanan website

Semoga informasi ini bermanfaat bagi Anda untuk #BuildSuccessOnline dan Stay Secure!

Suryadi Kurniawan Suryadi is a digital content writer at Niagahoster. He keeps on pursuing opportunities to engage with more people through articles about WordPress, Internet Marketing and other IT-related issues. During his free time, he enjoys playing Clash Royale a lot.

Leave a Reply

Your email address will not be published. Required fields are marked *