CARA KERJA DNSSEC

Gugus Tugas Rekayasa Internet (IETF) telah bekerja selama lebih dari 15 tahun untuk mengembangkan standar yang layak untuk ekstensi keamanan sistem nama domain (DNSSEC). DNSSEC melindungi komunitas Internet dari data DNS palsu menggunakan kriptografi kunci publik untuk menandatangani data zona secara digital dalam hal sistem, lalu memvalidasinya di tujuannya. Selengkapnya tentang kriptografi kunci publik.


Penandatanganan digital memberikan jaminan kepada pengguna bahwa data berasal dari sumber yang dinyatakan dan tidak dimodifikasi selama dalam perjalanan. DNSSEC juga dapat membuktikan bahwa suatu nama domain tidak ada. Kemampuan ini sangat penting untuk menjaga kepercayaan di Internet.

Dalam DNSSEC, masing-masing zona memiliki pasangan kunci publik/pribadi. Kunci publik zona diterbitkan menggunakan DNS, sementara kunci pribadi zona dijaga keamanannya dan idealnya disimpan secara offline. Kunci pribadi zona menandatangani data DNS individual di zona tersebut, membuat tanda tangan digital yang juga diterbitkan bersama DNS.

DNSSEC menggunakan model kepercayaan yang kaku, dan rantai kepercayaan ini mengalir dari zona induk ke zona anak. Zona (induk) tingkat yang lebih tinggi menandatangani, atau bertanggung jawab pada, kunci publik zona tingkat yang lebih rendah (anak). Server nama berwenang untuk zona ini dapat dikelola oleh masing-masing pencatat, penyedia layanan Internet (ISP), perusahaan hosting web, atau operator situs web (pendaftar).

Bila pengguna akhir ingin mengakses situs web, penyelesai stub pada komputer pengguna meminta alamat IP situs web dari server nama rekursif. Setelah server meminta catatan ini, server juga meminta kunci DNSSEC yang terkait dengan zona. Kunci ini memungkinkan server memverifikasi bahwa catatan alamat IP yang diterimanya identik dengan catatan di server nama berwenang.

Jika server nama rekursif memutuskan bahwa catatan alamat telah dikirim oleh server nama berwenang dan belum diubah selama perjalanan, maka server tersebut akan memecahkan nama domain dan pengguna dapat mengakses situs. Proses ini disebut validasi. Jika catatan alamat telah dimodifikasi atau tidak berasal dari sumber yang dinyatakan, maka server nama rekursif tidak mengizinkan alamat palsu tersebut terbuka. DNSSEC juga dapat membuktikan bahwa suatu nama domain tidak ada. Akibat proses ini, permintaan dan tanggapan DNS dilindungi dari serangan man-in-the-middle (MITM) dan jenis pemalsuan yang mungkin dapat mengalihkan pengguna Internet ke situs penipuan dan pharming.

PERLU INFORMASI LEBIH LANJUT?