Menggunakan DNSSEC dan registrar

Halaman ini menjelaskan cara mengaktifkan dan menonaktifkan Domain Name System Security Extensions (DNSSEC) di registrar domain Anda.

Untuk mengetahui ringkasan konseptual DNSSEC, lihat ringkasan DNSSEC.

Mengaktifkan DNSSEC di registrar domain

Setelah mengaktifkan DNSSEC untuk zona, Anda harus mengaktifkan DNSSEC di registrar Anda. Untuk mengaktifkan DNSSEC, buat data DS untuk domain Anda di zona induk sehingga resolver mengetahui bahwa domain Anda diaktifkan oleh DNSSEC dan dapat memvalidasi datanya. Setiap registrar memiliki prosedur yang berbeda untuk membuat data DS ini; banyak registrar menggunakan formulir situs.

Anda dapat menemukan petunjuk khusus registrar domain untuk berbagai registrar di Tutorial Komunitas Google Cloud, yang berjudul Mengaktifkan DNSSEC untuk domain Cloud DNS.

Pastikan Anda menguji konfigurasi DNS secara menyeluruh sebelum mengaktifkan DNSSEC di domain penting. Setelah Anda mengaktifkan DNSSEC, diperlukan waktu 24 jam atau lebih untuk dinonaktifkan jika perlu karena penundaan propagasi dan cache resolver.

Mendapatkan data DS

Guna mendapatkan data DS untuk zona Anda, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Create a DNS zone.

    Buka Create a DNS zone

  2. Klik zona yang Anda inginkan untuk data DS-nya.

  3. Klik Registrar setup.

  4. Salin data DS dari dialog. Data DS mirip dengan hal berikut:

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

Gunakan perintah gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Ganti kode berikut:

  • MANAGED_ZONE: nama zona terkelola

Output anda mirip dengan hal berikut ini:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

Menonaktifkan DNSSEC di registrar domain

Sebelum menonaktifkan DNSSEC untuk zona terkelola yang masih ingin digunakan, Anda harus menonaktifkan DNSSEC untuk zona di registrar domain guna memastikan bahwa resolver yang memvalidasi DNSSEC masih dapat menyelesaikan nama di zona tersebut.

Untuk menonaktifkan DNSSEC, Anda harus menghapus semua data DS untuk domain dari zona induk sehingga resolver tidak lagi mencoba menggunakan DNSSEC untuk memvalidasi data domain Anda. Setiap registrar memiliki prosedur yang berbeda untuk menghapus data DS ini; banyak registrar menggunakan formulir situs.

Anda dapat menemukan petunjuk khusus registrar domain untuk berbagai registrar di Tutorial Komunitas Google Cloud, yang berjudul Mengaktifkan DNSSEC untuk domain Cloud DNS.

Setelah data DS dihapus dari registrar, Anda harus menunggu hingga penghapusan data DS disebarkan ke semua resolver sebelum menonaktifkan DNSSEC untuk zona tersebut. Proses ini mungkin memerlukan waktu 24 jam atau lebih, bergantung pada latensi propagasi yang disebabkan oleh registrar atau cache registry dan resolver.

Setelah data DS tidak lagi terlihat oleh resolver mana pun, Anda dapat menonaktifkan DNSSEC untuk zona dengan aman.

Langkah selanjutnya