Ringkasan DNS Security Extensions (DNSSEC)

Domain Name System Security Extensions (DNSSEC) adalah fitur Domain Name System (DNS) yang mengautentikasi respons terhadap pencarian nama domain. Fitur ini tidak memberikan perlindungan privasi untuk pencarian tersebut, tetapi mencegah penyerang memanipulasi atau merusak respons terhadap permintaan DNS.

Untuk melindungi domain dari serangan spoofing dan poisoning, aktifkan dan konfigurasi DNSSEC di tempat berikut:

1. Zona DNS. Jika Anda mengaktifkan DNSSEC untuk zona, Cloud DNS akan otomatis mengelola pembuatan dan rotasi kunci DNSSEC (data DNSKEY) serta penandatanganan data zona dengan data tanda tangan digital resource record (RRSIG).

2. Registry domain level teratas (TLD) (untuk example.com, registry-nya adalah .com). Di registry TLD Anda, Anda harus memiliki data DS yang mengautentikasi data DNSKEY di zona Anda. Lakukan ini dengan mengaktifkan DNSSEC di registrar domain Anda.

3. Resolver DNS. Untuk perlindungan DNSSEC penuh, Anda harus menggunakan resolver DNS yang memvalidasi tanda tangan untuk domain yang ditandatangani DNSSEC. Anda dapat mengaktifkan validasi untuk setiap sistem atau resolver caching lokal jika Anda mengelola layanan DNS jaringan Anda.

   Untuk mengetahui informasi selengkapnya tentang validasi DNSSEC, lihat referensi berikut:

   • Apakah Anda telah mengaktifkan validasi DNSSEC?
   • Men-deploy DNSSEC dengan BIND dan Ubuntu Server (Bagian 1)
   • Panduan DNSSEC: Bab 3. Validasi
   • DNSSEC

   Anda juga dapat mengonfigurasi sistem untuk menggunakan resolver publik yang memvalidasi DNSSEC, terutama Google Public DNS dan Verisign Public DNS.

Poin kedua membatasi nama domain tempat DNSSEC dapat berfungsi. Registrar dan registry harus mendukung DNSSEC untuk TLD yang Anda gunakan. Jika Anda tidak dapat menambahkan data DS melalui registrar domain untuk mengaktifkan DNSSEC, mengaktifkan DNSSEC di Cloud DNS tidak akan berpengaruh.

Sebelum mengaktifkan DNSSEC, periksa referensi berikut:

• Dokumentasi DNSSEC untuk registrar domain dan registry TLD Anda
• Petunjuk khusus registrar domain untuk tutorial komunitasGoogle Cloud
• Daftar ICANN dukungan DNSSEC registrar domain untuk mengonfirmasi dukungan DNSSEC untuk domain Anda.

Jika registry TLD mendukung DNSSEC, tetapi registrar Anda tidak mendukungnya (atau tidak mendukungnya untuk TLD tersebut), Anda mungkin dapat mentransfer domain Anda ke registrar lain yang mendukungnya. Setelah menyelesaikan proses tersebut, Anda dapat mengaktifkan DNSSEC untuk domain.

Operasi pengelolaan

Untuk petunjuk langkah demi langkah dalam mengelola DNSSEC, lihat referensi berikut:

• Untuk mengubah status DNSSEC zona dari Transfer menjadi On, lihat bagian Meninggalkan status transfer DNSSEC.

• Untuk mengaktifkan DNSSEC bagi subdomain yang didelegasikan, lihat artikel Mendelegasikan subdomain bertanda tangan DNSSEC.

Jenis set data yang ditingkatkan oleh DNSSEC

Untuk mengetahui informasi selengkapnya tentang jenis set data dan jenis data lainnya, lihat referensi berikut:

• Untuk mengontrol certificate authorities (CA) publik mana yang dapat membuat TLS atau sertifikat lainnya untuk domain Anda, lihat data CAA.

• Untuk mengaktifkan enkripsi oportunistik melalui tunnel IPsec, lihat data IPSECKEY.

Jenis data DNS dengan zona yang diamankan DNSSEC

Untuk mengetahui informasi selengkapnya tentang jenis data DNS dan jenis data lainnya, lihat referensi berikut:

• Untuk mengaktifkan aplikasi klien SSH agar dapat memvalidasi server SSH, lihat data SSHFP.

Migrasi atau transfer zona yang diaktifkan DNSSEC

Cloud DNS mendukung migrasi zona yang diaktifkan DNSSEC yang DNSSEC-nya telah diaktifkan di registry domain tanpa merusak rantai kepercayaan. Anda dapat memigrasikan zona ke atau dari operator DNS lain yang juga mendukung migrasi.

• Untuk memigrasikan zona bertanda tangan DNSSEC ke Cloud DNS, lihat bagian Memigrasikan zona bertanda tangan DNSSEC ke Cloud DNS.

• Untuk memigrasikan zona bertanda tangan DNSSEC ke operator DNS lain, lihat bagian Memigrasikan zona bertanda tangan DNSSEC dari Cloud DNS.

Jika domain yang ada dihosting oleh registrar Anda, sebaiknya migrasikan server nama ke Cloud DNS sebelum mentransfer ke registrar lain.

Langkah berikutnya

• Untuk melihat data kunci DNSSEC, lihat Melihat kunci DNSSEC.
• Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
• Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
• Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.