Ringkasan DNS Security Extensions (DNSSEC)

Domain Name System Security Extensions (DNSSEC) adalah fitur Domain Name System (DNS) yang mengautentikasi respons terhadap pencarian nama domain. DNS tidak memberikan perlindungan privasi untuk pencarian tersebut, tetapi mencegah penyerang memanipulasi atau melakukan poisoning respons terhadap permintaan DNS.

Untuk melindungi domain dari serangan spoofing dan poisoning, aktifkan dan konfigurasi DNSSEC di tempat berikut:

  1. Zona DNS. Jika Anda mengaktifkan DNSSEC untuk suatu zona, Cloud DNS akan otomatis mengelola pembuatan dan rotasi kunci DNSSEC (data DNSKEY) dan penandatanganan data zona dengan data tanda tangan digital (RRSIG) data resource.

  2. Registry domain level teratas (TLD) (untuk example.com, ini akan menjadi .com). Dalam registry TLD, Anda harus memiliki data DS yang mengautentikasi data DNSKEY di zona Anda. Lakukan hal ini dengan mengaktifkan DNSSEC di registrar domain Anda.

  3. DNS {i>resolver<i}. Untuk perlindungan DNSSEC penuh, Anda harus menggunakan resolver DNS yang memvalidasi tanda tangan untuk domain yang ditandatangani DNSSEC. Anda dapat mengaktifkan validasi untuk setiap sistem atau resolver cache lokal, jika Anda mengelola layanan DNS jaringan.

    Untuk mengetahui informasi selengkapnya tentang validasi DNSSEC, lihat referensi berikut:

    Anda juga dapat mengonfigurasi sistem untuk menggunakan resolver publik yang memvalidasi DNSSEC, terutama Google Public DNS dan Verisign Public DNS.

Titik kedua membatasi nama domain tempat DNSSEC dapat berfungsi. registrar dan registry harus mendukung DNSSEC untuk TLD yang Anda gunakan. Jika Anda tidak dapat menambahkan data DS melalui registrar domain untuk mengaktifkan DNSSEC, pengaktifan DNSSEC di Cloud DNS tidak akan memberikan pengaruh apa pun.

Sebelum mengaktifkan DNSSEC, periksa resource berikut:

  • Dokumentasi DNSSEC untuk registrar domain dan registry TLD
  • Petunjuk khusus registrar domain tutorial komunitas Google Cloud
  • Daftar ICANN dari dukungan DNSSEC domain registrar untuk mengonfirmasi dukungan DNSSEC untuk domain Anda.

Jika registry TLD mendukung DNSSEC, tetapi registrar Anda tidak (atau tidak mendukungnya untuk TLD tersebut), Anda mungkin dapat mentransfer domain Anda ke registrar lain yang mendukungnya. Setelah menyelesaikan proses tersebut, Anda dapat mengaktifkan DNSSEC untuk domain.

Operasi pengelolaan

Guna mengetahui petunjuk langkah demi langkah untuk mengelola DNSSEC, lihat referensi berikut:

Jenis kumpulan kumpulan data yang ditingkatkan oleh DNSSEC

Untuk mengetahui informasi selengkapnya tentang jenis kumpulan data dan jenis data lainnya, lihat referensi berikut:

  • Untuk mengontrol otoritas sertifikat publik (CA) yang dapat membuat TLS atau sertifikat lainnya untuk domain Anda, lihat data CAA.

  • Untuk mengaktifkan enkripsi oportunistik melalui tunnel IPsec, lihat data IPSECKEY.

Jenis data DNS dengan zona yang diamankan oleh DNSSEC

Untuk mengetahui informasi selengkapnya tentang jenis data DNS dan jenis data lainnya, lihat referensi berikut:

  • Untuk mengaktifkan aplikasi klien SSH guna memvalidasi server SSH, lihat data SSHFP.

Migrasi atau transfer zona yang diaktifkan oleh DNSSEC

Cloud DNS mendukung migrasi zona yang mengaktifkan DNSSEC, tempat DNSSEC telah diaktifkan di registry domain tanpa memutus rantai kepercayaan. Anda dapat memigrasikan zona ke atau dari operator DNS lain yang juga mendukung migrasi.

Jika domain yang sudah ada dihosting oleh registrar Anda, sebaiknya migrasikan server nama ke Cloud DNS sebelum mentransfernya ke registrar lain.

Langkah selanjutnya