Ringkasan DNS Security Extensions (DNSSEC)

Domain Name System Security Extensions (DNSSEC) adalah fitur Domain Name System (DNS) yang mengautentikasi respons terhadap pencarian nama domain. Fitur ini tidak memberikan perlindungan privasi untuk pencarian tersebut, tetapi mencegah penyerang memanipulasi atau meracuni respons terhadap permintaan DNS.

Untuk melindungi domain dari serangan spoofing dan poisoning, aktifkan dan konfigurasikan DNSSEC di tempat berikut:

  1. Zona DNS. Jika Anda mengaktifkan DNSSEC untuk zona, Cloud DNS akan otomatis mengelola pembuatan dan rotasi kunci DNSSEC (data DNSKEY) dan penandatanganan data zona dengan data resource record digital signature (RRSIG).

  2. Registry domain level teratas (TLD) (untuk example.com, ini adalah .com). Di registry TLD, Anda harus memiliki data DS yang mengautentikasi data DNSKEY di zona Anda. Lakukan hal ini dengan mengaktifkan DNSSEC di registrar domain Anda.

  3. Resolver DNS. Untuk perlindungan DNSSEC penuh, Anda harus menggunakan resolver DNS yang memvalidasi tanda tangan untuk domain yang ditandatangani DNSSEC. Anda dapat mengaktifkan validasi untuk setiap sistem atau resolver caching lokal jika mengelola layanan DNS jaringan.

    Untuk informasi selengkapnya tentang validasi DNSSEC, lihat referensi berikut:

    Anda juga dapat mengonfigurasi sistem untuk menggunakan resolver publik yang memvalidasi DNSSEC, terutama Google Public DNS dan Verisign Public DNS.

Poin kedua membatasi nama domain tempat DNSSEC dapat berfungsi. Registrar dan registry harus mendukung DNSSEC untuk TLD yang Anda gunakan. Jika Anda tidak dapat menambahkan data DS melalui registrar domain untuk mengaktifkan DNSSEC, mengaktifkan DNSSEC di Cloud DNS tidak akan berpengaruh.

Sebelum mengaktifkan DNSSEC, periksa referensi berikut:

  • Dokumentasi DNSSEC untuk registrar domain dan registry TLD Anda
  • Petunjuk khusus registrar domain Google Cloud tutorial komunitas
  • Daftar ICANN dukungan DNSSEC registrar domain untuk mengonfirmasi dukungan DNSSEC untuk domain Anda.

Jika registry TLD mendukung DNSSEC, tetapi registrar Anda tidak mendukungnya (atau tidak mendukungnya untuk TLD tersebut), Anda mungkin dapat mentransfer domain ke registrar lain yang mendukungnya. Setelah menyelesaikan proses tersebut, Anda dapat mengaktifkan DNSSEC untuk domain.

Operasi pengelolaan

Untuk petunjuk langkah demi langkah guna mengelola DNSSEC, lihat referensi berikut:

Jenis kumpulan data yang ditingkatkan oleh DNSSEC

Untuk informasi selengkapnya tentang jenis set data dan jenis data lainnya, lihat referensi berikut:

  • Untuk mengontrol certificate authority (CA) publik mana yang dapat membuat TLS atau sertifikat lainnya untuk domain Anda, lihat data CAA.

  • Untuk mengaktifkan enkripsi oportunistik melalui tunnel IPsec, lihat data IPSECKEY.

Jenis data DNS dengan zona yang diamankan DNSSEC

Untuk informasi selengkapnya tentang jenis data DNS dan jenis data lainnya, lihat referensi berikut:

  • Agar aplikasi klien SSH dapat memvalidasi server SSH, lihat data SSHFP.

Migrasi atau transfer zona yang diaktifkan DNSSEC

Cloud DNS mendukung migrasi zona yang mengaktifkan DNSSEC dengan DNSSEC telah diaktifkan di kantor pendaftaran domain tanpa merusak rantai kepercayaan. Anda dapat memigrasikan zona ke atau dari operator DNS lain yang juga mendukung migrasi.

Jika domain yang ada dihosting oleh registrar, sebaiknya migrasikan server nama ke Cloud DNS sebelum mentransfer ke registrar lain.

Langkah berikutnya