Mengaktifkan DNSSEC

Halaman ini menjelaskan cara mengaktifkan dan menonaktifkan Domain Name System Security Extensions (DNSSEC) di registrar domain Anda.

Untuk mempelajari DNSSEC, lihat ringkasan DNSSEC.

Mengaktifkan DNSSEC di registrar domain

Setelah mengaktifkan DNSSEC untuk zona publik terkelola yang ada, Anda harus mengaktifkan DNSSEC di registrar domain Anda. Untuk mengaktifkan DNSSEC, Anda membuat data DS untuk domain di zona induk sehingga resolver dapat mengidentifikasi bahwa domain Anda mengaktifkan DNSSEC dan dapat memvalidasi datanya.

Setiap registrar memiliki prosedur yang berbeda untuk membuat data DS ini. Banyak pendaftar menggunakan formulir situs. Untuk informasi selengkapnya, lihat dokumentasi registrar Anda.

Setelah Anda mengaktifkan DNSSEC, data DS harus di-propagate di seluruh DNS. Proses ini dapat memerlukan waktu 24 jam atau lebih, bergantung pada nilai time to live (TTL) yang Anda tetapkan untuk data DNS dan perilaku penyimpanan dalam cache dari berbagai resolver DNS.

Sebelum mengaktifkan DNSSEC di domain penting, uji konfigurasi DNS Anda secara menyeluruh.

Mendapatkan data DS

Untuk mendapatkan data DS untuk zona Anda, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Create a DNS zone.

    Buka Membuat zona DNS

  2. Klik zona yang data DS-nya Anda inginkan.

  3. Klik Penyiapan pendaftar.

  4. Salin data DS dari dialog. Data DS mirip dengan hal berikut:

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

Gunakan perintah gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Ganti kode berikut:

  • MANAGED_ZONE: nama zona terkelola

Output anda mirip dengan hal berikut ini:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

Menonaktifkan DNSSEC di registrar domain Anda

Sebelum menonaktifkan DNSSEC untuk zona terkelola yang masih ingin Anda gunakan, Anda harus menonaktifkan DNSSEC untuk zona Anda di registrar domain Anda untuk membantu memastikan bahwa resolver yang memvalidasi DNSSEC masih dapat me-resolve nama di zona.

Untuk menonaktifkan DNSSEC, hapus semua data DS untuk domain Anda dari zona induk; tindakan ini mencegah resolver menggunakan DNSSEC untuk memvalidasi data domain Anda.

Setelah menghapus data DS dari registrar, Anda harus menunggu penghapusan data DS diterapkan ke semua resolver sebelum dapat menonaktifkan DNSSEC untuk zona tersebut. Proses ini mungkin memerlukan waktu 24 jam atau lebih, bergantung pada latensi penyebaran yang ditimbulkan oleh penyimpanan dalam cache registrar, registry, dan resolver.

Setelah mengonfirmasi bahwa data DS dihapus dari registrar dan tidak lagi dapat diakses oleh resolver, Anda dapat dengan aman menonaktifkan DNSSEC untuk zona tersebut.

Langkah selanjutnya