Domain Name System Security Extensions (DNSSEC) merupakan tambahan perlindungan untuk DNS dan kumpulan dari Internet Engineering Task Force (IETF) dengan tujuan melindungi jenis informasi tertentu yang disediakan DNS, seperti dalam penerapan jaringan Internet Protocol (IP). Domain Name System (DNS) merupakan suatu sistem yang dirancang untuk mempermudah pencarian dilingkungan komputer.

DNS berfungsi untuk mengubah URL pada sebuah situs web menjadi IP Address. Pengguna yang tidak menggunakan DNS perlu memasukan IP Assress secara lengkap jika ingin mengakses sebuah situs web. DNSSEC melakukan autentikasi pada DNS melalui tanda tangan digital yang disusun berdasarkan kriptografi dengan kunci publik.

Namun yang ditanda tangani oleh DNSSEC bukanlah pertanyaan atau jawaban dari DNS, melainkan data dari DNS itu sendiri yang akan ditandatangani oleh pemilik data. Untuk pemahaman lebih dalam tentang DNSSEC, berikut adalah rangkuman dari keseluruhan topik tersebut.

Pengertian Apa Itu DNSSEC

Memahami DNSSEC memerlukan pengetahuan dasar tentang operasi sistem DNS. DNS berfungsi untuk mengkonversi nama domain seperti namadomain(dot)com menjadi alamat Internet dalam bentuk angka seperti 198.161.0.1. Meskipun cara ini sangat efisien bagi komputer untuk membaca dan memproses informasi, sulit bagi manusia untuk mengingatnya. Bayangkan jika setiap kali Anda ingin mengunjungi situs web, Anda harus mengingat alamat IP dari server tempat situs tersebut berada.

Orang sering menggunakan istilah buku telepon Internet untuk merujuk pada sistem DNS. Untuk mengatasi tantangan ini, alamat IP numerik dihubungkan dengan setiap nama domain, sehingga alamat situs web yang kita kenali sebenarnya adalah nama domain itu sendiri. Data tentang nama domain disimpan dan diambil dari server khusus, yang disebut server nama domain, yang berfungsi untuk mengubah nama domain menjadi alamat IP dan sebaliknya.

Tingkat teratas dari DNS ditemukan di zona akar di mana semua alamat IP dan nama domain disimpan dalam sebuah database dan diorganisir berdasarkan nama domain tingkat atas seperti .com, .net, .org, dan sebagainya. Saat sistem DNS pertama kali diperkenalkan, ia tidak memiliki jaminan keamanan, dan segera beberapa kelemahan ditemukan setelah penerapannya. Sebagai respons, sistem keamanan dikembangkan dalam bentuk ekstensi yang dapat ditambahkan ke protokol DNS yang ada.

Domain Name System Security Extensions (DNSSEC) terdiri dari serangkaian protokol yang memberikan tambahan lapisan keamanan untuk proses pencarian dan pertukaran sistem nama domain (DNS), yang menjadi sangat penting untuk mengakses situs web melalui Internet.

Kelebihan dan Kekurangan dari DNSSEC

DNSSEC bertujuan untuk meningkatkan kepercayaan pengguna di dunia maya dengan membantu mencegah pengalihan ke situs-situs palsu dan alamat yang tidak diinginkan. Dengan cara ini, ancaman berbahaya seperti perusakan cache, pharming, dan serangan man-in-the-middle dapat dicegah. Tujuannya juga adalah untuk mengurangi berbagai risiko serangan atau penipuan. Dalam hal ini, DNSSEC berperan dalam mengautentikasi resolusi alamat IP melalui tanda tangan kriptografi, guna memastikan bahwa jawaban yang diterima dari server DNS adalah sah dan asli.

Jika DNSSEC diimplementasikan dengan benar pada nama domain Anda, pengunjung akan yakin bahwa mereka terhubung ke situs yang tepat sesuai dengan nama domain tersebut. Walaupun DNSSEC meningkatkan keamanan secara signifikan di Internet, penelitian terbaru menunjukkan bahwa hal ini bisa menciptakan kerentanan baru yang dikenal dengan pencacahan zona.

Data zona DNS biasanya dijaga kerahasiaannya karena mencakup informasi jaringan tentang situs web dan server tertentu. Siapa pun yang dapat mengakses informasi ini akan dapat melaksanakan serangan dengan lebih mudah.

DNSSEC awalnya mengharuskan server DNS untuk mengungkapkan seluruh data zona DNS, sehingga laporan dapat dihasilkan ketika nama domain tidak terdeteksi. Namun, versi terbaru dari DNSSEC menggunakan satu atau lebih metode, yang sering memanfaatkan data NSEC3.

Cara Kerja dari DNSSEC

Dalam DNS, terdapat berbagai jenis catatan, seperti CNAME, MX, dan lain-lain. Sementara itu, DNSSEC juga memperkenalkan beberapa jenis catatan baru yang dapat digunakan, seperti RRSIG, yang berfungsi untuk menyimpan tanda tangan digital menggunakan kunci tertentu, DNSKey, yang menyimpan kunci publik untuk penandatanganan yang akan digunakan dalam autentikasi informasi, Delegation Signer yang terdapat dalam zona parent dan bertugas untuk memastikan semua catatan di child zone tertentu dapat dipercaya, serta NSEC atau Next Secure Record yang memastikan bahwa informasi pada suatu catatan DNS tidak ada. Lalu, bagaimana cara kerja DNSSEC? Berikut ini penjelasannya.

• RRSet

Ini merupakan wadah yang digunakan oleh DNSSEC untuk mengorganisir semua catatan yang serupa dan ini adalah langkah awal yang dilakukan oleh DNSSEC dengan tujuan untuk mempermudah proses penggunaan tanda tangan di kemudian hari

• Zone Signing Key

Pada tahap berikutnya, server DNS yang memiliki otoritas akan memberikan tanda yang dikenal sebagai Zone Signing Key, atau ZSK, yang akan terhubung dengan masing-masing RRSet melalui private key dan public key. ZSK menggunakan metode asimetris, yang mirip dengan sistem keamanan pada SSL.

Cara kerjanya adalah sebagai berikut: saat RRSet mendapatkan tanda tangan untuk kunci publik, informasi itu akan tercatat dalam RRSIG. Sedangkan public zone signing key akan disimpan dalam DNSKey record.

• Key Signing Key

Key Signing Key, disingkat KSK, perlu memverifikasi ZSK dengan cara yang sama seperti ZSK memeriksa RRSet. Tujuannya adalah untuk menunjukkan bahwa sistem yang diterapkan di DNSSEC aman, khususnya di area tertentu. Jika proses verifikasi ini berjalan dengan baik, maka hal itu menandakan bahwa semua zona DNS yang ada adalah aman dan dapat dipercaya sepenuhnya dalam hal sumber informasinya.

• Delegation Signer atau DS

Untuk memastikan bahwa zona yang ada sudah terlindungi dengan bukti dari proses sebelumnya yang sudah diverifikasi, DNSSEC akan menggunakan struktur hierarki yang terdapat dalam DNS. Oleh karena itu, dapat diasumsikan bahwa jika zona induk dinyatakan aman, maka zona anak yang berkaitan juga akan aman.

• Chain of Trust

Selanjutnya seluruh langkah-langkah yang terjadi dalam DNSSEC akan konsisten, tentu saja untuk memverifikasi bahwa semua proses yang dilakukan sudah benar, Anda perlu mencocokan informasi yang ada dengan konsep sistem induknya.

Hal ini mirip dengan apa yang berlangsung dengan catatan DS, semua langkah yang diambil akan berlanjut hingga mencapai akar dari server. Inilah yang dikenal sebagai konsep Chain of Trust, yang merupakan fondasi dari sistem DNSSEC itu sendiri.

Kesimpulan

Diawal penerapan DNS tidak ada elemen keamanan yang terkandung, akibatnya beberapa celah dan serangan terdeteksi, sehingga sistem keamanan pun perlu dikembangkan dalam bentuk ekstensi untuk bisa ditambahkan pada protokol DNS itu sendiri. Seiring waktu, sistem tersebut mengalami evaluasi dan penyesuaian hingga akhirnya diakui sebagai standar oleh Internet Engineering Task Force (IETF). Dalam masa perkembangan DNSSEC melakukan uji coba beberapa sistem, dan setelah uji coba selesai, DNSSEC secara resmi diterapkan pada tahun 2007.

DNSSEC adalah istilah yang merujuk pada Domain Name System Security Extensions, di mana ini bisa diartikan sebagai sistem ekstensi keamanan yang terintegrasi dalam DNS. Fungsinya adalah untuk melindungi tipe informasi tertentu yang telah disediakan, secara singkat, cara kerja DNSSEC berhubungan erat dengan penciptaan keamanan dalam DNS.