Apa itu DNSSEC? Saat membahas tentang keamanan internet DNS (Domain Name System), maka tidak akan asing dengan istilah DNSSEC (Domain Name System Security Extensions). Secara singkat, DNSSEC adalah bagian dari internet engineering yang dibutuhkan agar kamu terbebas dari risiko yang mengancam keamanan privasi saat kamu berselancar di dunia maya.
Untuk memahami DNSSEC, kita harus paham dulu cara kerja sistem DNS secara dasar. DNS sendiri merupakan sebuah sistem yang berfungsi untuk mempermudah pencarian pada sistem komputer. Melalui DNS, URL di website akan diubah ke bentuk IP address. DNS digunakan untuk menerjemahkan nama domain ke IP address numerik seperti kombinasi angka.
Walaupun dengan sistem angka bagi komputer akan efisien, tapi tidak dengan kemampuan orang untuk mengingatnya. Akan sangat sulit bagi orang-orang untuk mengingat serangkaian IP address yang terdiri atas kombinasi angka. Orang sering menyebut DNS sebagai buku telepon internet.
Nah, untuk mengatasi masalah ini, IP address yang berupa angka tersebut dilampirkan ke setiap nama domain atau yang kita kenal dengan alamat website.
Tanpa DNS, pengguna internet harus repot mengetik IP address secara lengkap saat ingin mengunjungi sebuah website. Begitulah gambaran umum tentang DNS.
Di DNS inilah letak celah keamanan internet. Dengan metode DNS spoofing atau DNS poisoning, biasanya kamu akan diarahkan untuk mengunjungi website palsu alih-alih website yang ingin kamu tuju. Hal ini tentu berbahaya. Pasalnya, jika kamu berhasil masuk ke website palsu tersebut sampai pada tahap memasukkan data pribadi, maka data akan tersimpan ke sistem mereka. Bayangkan saat kamu ingin bertransaksi di sebuah toko online dengan menggunakan kartu kredit. Tapi ternyata website yang kamu kunjungi itu palsu dan kamu terlanjur memasukkan informasi terkait kartu kredit.
Untuk mencegah hal ini terjadi, maka ada fitur DNSSEC. Apa itu DNSSEC? Bagaimana cara kerjanya? Apa saja kelebihan yang dimiliki? Selengkapnya mari kita bahas dalam artikel ini!
Daftar Isi
Apa Itu DNSSEC?
DNSSEC adalah ekstensi keamanan sebuah DNS yang terbentuk dari sekumpulan IETF (Internet Engineering Task Force) yang berfungsi sebagai pengaman jenis informasi tertentu. DNSSEC mengamankan informasi yang disediakan oleh DNS. Misalnya seperti penggunaan jaringan IP atau Internet Protocol.
Cara kerja DNSSEC adalah melakukan otentikasi DNS menggunakan tanda tangan digital berdasarkan kriptografi kunci publik. Dengan kata lain, fungsi utama DNSSEC adalah meningkatkan keamanan website dari risiko cyber crime dan penyalagunaan data lainnya.
Kejadian yang sempat menghebohkan terkait kebocoran ini adalah insiden pada layanan Gmail dan Yahoo! pada tahun 2014 silam. Beberapa email yang seharusnya menggunakan layanan Gmail dan Yahoo! tersebut malah masuk ke server asing milik peretas.
Adanya DNSSEC mencoba untuk mencegah hal serupa terjadi lagi. Cara kerjanya dengan memanfaatkan digital signature technology atau tanda tangan digital tadi. Seluruh catatan pada sistem DNS dilengkapi dengan tanda tangan digital yang bersandi khusus. Dengan begitu, verifikasi keaslian informasi yang dikirim dari server ke klien akan lebih mudah dan aman dilakukan. Apabila terjadi ketidaksesuaian dengan catatan dalam authoritative DNS server, maka bisa dicegah langsung. Hal ini akan meminimalisir adanya risiko untuk pembobolan privasi tadi.
Kelebihan DNSSEC
Adanya DNSSEC membantu melakukan pencegahan agar tidak terjadi DNS spoofing dan DNS poisoning. DNSSEC juga menawarkan keamanan dengan keamanan tingkat tinggi sehingga mempersulit upaya peretas untuk melakukan penyusupan ke sistem DNS yang ada. Seperti yang sudah disebutkan di atas, keamanan ini dibantu dengan adanya digital signature technology yang harus dilewati dengan proses pencocokan keys. Ditambah lagi penggunaan teknik asimetris. Langkah peretas untuk menembus privasi akan semakin sulit dilakukan.
Tidak hanya itu, dengan adanya DNSSEC membuat kamu tidak perlu khawatir dengan informasi yang diterima. Pasalnya, DNSSEC memastikan sebuah informasi terverifikasi dengan benar. Proses verifikasi ini dilakukan melalui chain of trust untuk memastikan bahwa informasi berasal dari website yang benar. Saat DNSSEC diaktifkan dengan benar untuk nama domain, maka pengunjung dipastikan terhubung pada website yang benar. Jadi, kamu tidak perlu khawatir lagi untuk melakukan aktivitas yang melibatkan data sensitif pada sebuah website. Privasi bisa dilakukan dengan aman.
Cara Kerja DNSSEC
Lalu, bagaimana cara kerja DNSSEC untuk meningkatkan keamanan website? Cara kerja DNSSEC dilengkapi dengan kode kriptografik. Dengan begitu, saat terjadi kesalahan informasi yang diterima oleh komputer bisa dideteksi dengan cepat dan optimal.
Dalam kerjanya, DNSSEC menambahkan beberapa record yang dapat digunakan, seperti RRSIG yang berisi tanda tangan digital dengan sandi khusus, DNSKey yang menyimpan public signing key yang digunakan saat proses otentikasi informasi, DS (Delegation Signer) atau DNSKey yang tersimpan di parent zone dan bertugas untuk memastikan semua catatan bisa dipercya, dan NSEC (Next Secure Record) yang bertugas untuk memastikan informasi saat sebuah record DNS tidak ditemukan.
Sebelum masuk ke cara kerja DNSSEC, perlu mengingat kembali bagaimana cara kerja DNS. Cara kerja DNS dimulai dari request melalui browser dan DNS resolver bertugas untuk mencari informasi yang dibutuhkan. Proses ini dimulai dari mencari di cache lokal, menghubungi ISP, hingga meminta bantuan pada root DNS server. Tidak hanya sampai disitu, proses tersebut akan berlanjut sampai ke top level domain server dan authoritative name server.
Untuk memahami cara kerja DNSSEC lebih lanjut, mari kita bahas lebih detail.
RRSet
Dengan RRSet, DNSSEC akan membagi dan mengelompokkan seluruh record yang sama. Nah, RRSest inilah yang disebut sebagai wadahnya. Tujuannya adalah agar memudahkan proses penggunakan tanda tangan digital. Misalnya, AAA record dikelompokkan sendiri lalu ditandatangani dengan sandi khusus yang sama secara digital.
Zone Signing Key (ZSK)
Setelah melakukan pengelompokan, DNS server authoritative akan memberikan tanda khusus yang disebut Zone Signing Key atau biasa disingkat ZSK. Lalu, ZSK ini akan berpasangan dengan masing-masing RRSet private key maupun public key.
ZSK menggunakan metode asimetri layaknya keamanan SSL. Jadi, saat RRSet memperoleh signature untuk public key, informasinya akan disimpan di RRSIG record. Sementara public key disimpan di DNSKey record. Misalnya, authoritative name server pada DNS zone akan memberikan AAA record dan RRSIG record. Dengan kata lain, DNS resolver harus minta DNSKey record ke DNS server yang isinya adalah public ZSK agar bisa melakukan validasi bahwa request yang diminta valid.
Key Signing Key (KSK)
Validasi tidak hanya dilakukan ZSK pada RRSet, tapi juga KSK. KSK berfungsi untuk melakukan validasi pada ZSK. Hal ini dilakukan untuk menunjukkan bahwa sistem DNSSEC itu aman. Terutama pada zona tertentu. Saat proses validasi berjalan dengan baik, bisa diartikan bahwa semua DNS zone sudah pasti aman. Selain itu seluruh sumber informasinya dapat dipercaya.
Delegation Signer (DS)
Proses validasi tidak berhenti pada KSK. Validasi ulang diperlukan untuk menjamin sebuah zone itu aman walaupun sudah ada bukti dari berbagai proses validasi sebelumnya. Setelah melakukan validasi seperti yang dijelaskan di poin sebelumnya, DNSSEC akan memanfaatkan sistem hierarki pada DNS untuk melakukan validasi kembali.
Dengan begitu, bisa diasumsikan bahwa parent zone sudah berubah status menjadi aman. Secara otomatis, child zone yang mengikutinya juga jadi aman. Saat sebuah child zone terbentuk, maka akan dibuat suatu dublikat public KSK zone. Setelah diberikan pada parent zone, akan dibuatkan DS record.
Chain of Trust
Selanjutnya masuk ke verifikasi terakhir. Untuk memastikan bahwa semua proses yang terjadi benar-benar valid, maka perlu mencocokkan data yang ada dengan sistem parent yang dimilikinya. Seluruh tahapan selanjutnya sama. Prosesnya sama dengan yang terjadi pada DS record yang terus berulang hingga masuk ke root dari server. Nah, hal ini disebut dengan Chain of Trust yang biasa dianggap sebagai dasar dari sistem DNSSEC itu sendiri.
Kesimpulan
Itu dia hal-hal yang perlu dipahami tentang DNSSEC. DNSSEC dibutuhkan untuk menjaga privasi kamu saat berselancar di dunia maya semakin aman. DNSSEC merupakan ekstensi keamanan sebuah DNS yang terbentuk dari sekumpulan IETF sebagai pengaman jenis informasi tertentu. Hal ini akan meminimalisir adanya risiko untuk pembobolan privasi.
