Pakai DNSSEC kalau bisa

Seperti HTTPS yang sekarang sudah mulai lazim digunakan, baik karena alasan SEO (sabda Google 😛 ) atau keamanan transfer data. Apalagi sudah ada yang menyediakannya secara gratis. Sekarang perlahan tapi pasti mulai muncul istilah lainnya yakni DNSSEC dan kalau dibandingkan HTTPS akan jarang yang tahu karena kerjanya adalah dibalik layar. 😀

Sambil begadang kemarin malam (nonton livestream Dota2 di YouTube, hehe. 😀 ) saya ngecek saja apa fitur yang tersedia pada registrar domain yang saya gunakan (Namesilo dan Porkbun). Ada tulisan DNSSEC dan jadi ingat kalau fitur ini bisa dikatakan penting tapi juga opsional karena resiko ada orang yang membajak DNS record nama domain anda sangat kecil. Tapi tidak ada salahnya dipertimbangkan. 😀

Jadi fungsinya sederhana, setiap query DNS yang terjadi akan divalidasi dengan kunci (tanda tangan digital) yang dibuat dan ditambahkan ke registrar. Jadi kalau ada komunikasi dengan data DNS akan langsung diperiksa ke aslinya apakah valid. Bukan untuk enkripsi tapi identifikasi. Sehingga misal ada orang yang berniat jahat dengan memalsukan atau redirect website yang dikunjungi lewat celah DNS yang tidak diverifikasi (defaultnya seperti itu) maka akan dapat dicegah.

Kenapa saya katakan tidak wajib tapi kalau bisa dipakai? Ya selain karena registrar domain anda belum mendukung juga DNS hosting yang dipakai ya sama saja tidak mesti ada fiturnya. Masih belum standar fitur ini. Kebetulan saja saya pakai CloudFlare dan Namesilo/Porkbun yang sudah support jadi langsung saya aktifkan. Sangat mudah malah, cuma tinggal ngisi form yang disediakan saja.

Ya saya membuat himbauan saja. 😀

2 pemikiran pada “Pakai DNSSEC kalau bisa

  1. Iya saya juga sudah mengaktifkan DNSSEC di Domain saya 😀

    DNSSEC ini mesti disupport oleh DNS Server, kalau Provider Web Hosting tidak support, maka bisa pakai CloudFlare.

    Lucunya, Free Managed DNS (gratis dimanage oleh Registrar) yang biasanya include di pembelian Domain justru tidak mendukung DNSSEC juga, Registrar hanya support untuk menerapkan DNSSEC saja, tidak menerbitkan tanda tangan untuk DNSSEC.

    Padahal akan sangat mantap sekali kan kalau Free DNS dari Registrar mendukung DNSSEC, tentu yg bahagia adalah pengguna Blogger.com Custom Domain 😀

    Memang ini erat kaitannya dengan jenis DNS Server yang digunakan sih 😀

    Menurut saya, DNSSEC ini Wajib bro 😀

    Dikatakan Opsional karena meski Unsigned (tidak digunakan) pun Website masih bisa diakses, tapi kalau dari sudut pandang Security, ini wajib, karena kita menambal celah keamanan yang mungkin dimanfaatkan Hacker.

    Faktanya, banyak Situs Internet Banking pada Bank Lokal di Indonesia yang tidak menggunakan DNSSEC, padahal Domain-nya mendukung, coba cek Whois deh 😀

    DNSSEC ini mencegah praktek DNS Poisoning yakni level paling advance dari tindakan Phising yang ada, karena Domain masih tetap sama, misalnya ibanking.example.com (persis sama dengan nama bank bersangkutan), tapi DNS sudah diracuni, sehingga A Record untuk Subdomain itu bukan mengarah ke Server sebenarnya, tapi ke Server milik Hacker yang pada public_html-nya sudah disiapkan Template khusus yang sama persis dengan halaman Login website bersangkutan. Ngeri !

    Kalau untuk Blog, kita pribadi sebagai Webmaster/Administrator, bisa saja menambahkan Local Known DNS atau biasa disebut Hosts File, masing-masing OS punya cara masing2, kalau LInux, posisinya di /etc/host

    Tambahkan IP Address example.com (nama domain kita).

    Itu cara paling jitu untuk mencegah praktik DNS Poisioning selain menggunakan DNSSEC, jika yang Login cuma kita seorang sebagai pemilik Blog, DNSSEC itu anggap saja versi universalnya, agar tidak perlu Setting Hosts File tadi di tiap User yang berjumlah banyak 😀

    • Betul sekali mas Lukman. Memang DNSSEC ini sebaiknya diaktifkan kalau bisa. Tapi registrar di Indonesia yang bisa pakai DNSSEC rasanya kok jarang ya. Tanpa sebut merek, saya masih ada akun di beberapa webhosting di Indonesia, pakai WHMCS rata – rata dan opsi ini kadang tidak ada. 🙁

      Karena itu sejak tahun kemarin hampir seluruh domain yang saya miliki dan kelola sudah dipindahkan ke registrar luar yang lebih up to date soal keamanan domain. Harganya juga lebih murah walaupun pakai USD.

Tinggalkan komentar