Panduan di bawah ini menunjukkan cara mengaktifkan DNSSEC di cPanel dan di registrar domain Anda untuk menghindari serangan man-in-the-middle, serangan racun cache, dan jenis pemalsuan DNS lainnya.
Mengingat bagaimana Internet saat ini mendefinisikan setiap aspek kehidupan kita, seringkali mudah untuk melupakan bahwa Sistem Nama Domain (DNS) yang membentuk inti pusatnya disatukan oleh saluran dan pita perekat.
Ketika DNS dirancang pada 1980-an, Internet jauh lebih kecil dan keamanan tidak pernah menjadi pertimbangan karena orang-orang di dalam jaringan saling percaya.
Dunia telah berubah.
Kemajuan teknologi telah memungkinkan internet menjadi bagian dari struktur kehidupan kita sehari-hari.
Ini telah menciptakan peluang untuk eksploitasi DNS yang mencakup spoofing/keracunan cache DNS, tunneling DNS, pembajakan DNS, serangan NXDOMAIN, serangan domain hantu, serangan CPE berbasis botnet, dan lainnya.
Ambil situasi di mana resolver rekursif mengirimkan kueri ke server nama otoritatif.
Seperti sekarang, resolver tidak memiliki cara untuk memverifikasi keaslian respons.
Itu hanya dapat memeriksa bahwa respons yang muncul berasal dari alamat IP yang sama, tempat resolver mengirim kueri asli, tetapi tidak dapat dengan mudah mendeteksi respons palsu ke salah satu kuerinya jika ada.
Penyerang dapat dengan mudah menyamar sebagai server otoritatif, membajak pencarian DNS untuk mengirim pengguna ke situs web palsu yang mendistribusikan malware, atau mengumpulkan informasi pribadi tanpa disadari oleh pengguna.
Para insinyur di Internet Engineering Task Force (IETF) (organisasi yang bertanggung jawab atas standar protokol DNS ) mengetahui kelemahan ini dan sedang mencari solusi.
Upaya ini menghasilkan apa yang kita kenal sekarang sebagai Ekstensi Keamanan DNSSEC (DNSSEC ).
DNSSEC (dirancang agar kompatibel ke belakang) adalah sekumpulan ekstensi yang menambahkan keamanan ekstra ke protokol DNS dengan menerapkan kebijakan penandatanganan digital hierarkis di semua lapisan DNS.
Di antara fungsi intinya adalah untuk berfungsi sebagai perlindungan efektif terhadap serangan DNS spoofing … bila diterapkan dengan benar.
Otentikasi asal data dari validasi permintaan DNS memungkinkan resolver memverifikasi secara kriptografis bahwa data yang diterimanya, benar-benar berasal dari zona tempat data tersebut diyakini berasal.
Dan perlindungan integritas data memungkinkan resolver mengetahui bahwa data belum diubah saat transit sejak awalnya ditandatangani oleh pemilik zona dengan kunci pribadi zona.
Sesuai dengan janji kami bahwa pelanggan kami akan selalu mendapatkan akses ke fitur terbaik dan terbaru yang ditawarkan cPanel , dengan senang hati kami umumkan bahwa Anda sekarang dapat mengaktifkan DNSSEC untuk domain Anda di semua server produksi cPanel kami.
Kami telah membuat panduan terperinci tentang cara melakukannya di https://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC
Saat Anda mengaktifkannya, DNSSEC menambahkan lapisan otentikasi di atas DNS Anda, sehingga memberi Anda cara untuk menghindari semua masalah yang kami sebutkan di atas.
Saat ini, DNSSEC tidak otomatis.
Setelah membuat kunci di cPanel, kunci tersebut harus diaktifkan secara khusus oleh Anda pemilik nama domain di server otoritatif zona Anda.
Prosesnya berbeda dari setiap registrar tetapi sama seperti Anda dapat membuat perubahan lain pada suatu zona (seperti server nama otoritatif zona ), Anda juga dapat memperbarui materi kunci publik zona untuk menyelesaikan implementasi DNSSEC.
Di halaman ini, kami telah mencantumkan beberapa pendaftar domain paling umum yang digunakan oleh beberapa pelanggan kami yang menghosting DNS mereka di luar sistem kami.
Jika milik Anda tidak terdaftar, harap hubungi tim dukungan pendaftar domain Anda untuk mendapatkan bantuan.
PERINGATAN BESAR:JANGAN ABAIKAN PERINGATAN INI
Pertanyaan pertama yang perlu Anda tanyakan pada diri sendiri adalah, haruskah saya mengaktifkan DNSSEC ?
Alasan Anda perlu menjawab pertanyaan ini adalah bahwa mengaktifkan DNSSEC secara mendasar mengubah cara Anda menghubungkan atau mengelola domain dan data DNS Anda.
Misalnya, setelah Anda mengaktifkan DNSSEC untuk domain Anda, Anda tidak dapat mengubah server nama Anda mau tak mau.
Sebelum mengubah server nama, Anda harus menonaktifkan DNSSEC dan menunggu setidaknya 72 jam sebelum melakukan perubahan tersebut.
Kegagalan untuk melakukannya dapat mengakibatkan domain Anda tidak terselesaikan.
Contoh lain adalah ketika Anda harus mentransfer nama domain ke registrar atau penyedia layanan hosting web lain.
Anda harus terlebih dahulu menghapus catatan Server Domain (DS), menunggu perubahan menyebar sebelum memulai transfer.
Jika Anda tidak menghapus data DS lama dari pencatat, domain dapat menghasilkan masalah resolusi DNS karena respons DNSSEC yang tidak valid.
Setelah selesai, di bawah ini adalah tautan yang mungkin Anda perlukan untuk menyelesaikan pengaktifan DNSSEC di pencatat domain Anda.
Pendaftar
Petunjuk
123 Reg
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat di Web Hosting Magic cPanel.
DNSSederhana
Menggunakan Web Hosting Magic cPanel DNSSEC dengan DNSimple
diskon domain24
DNSSEC
orang bodoh
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat di Web Hosting Magic cPanel.
DreamHost
Ikhtisar DNSSEC
Di DreamHost, gunakan 2 sebagai Tipe Intisari, bukan SHA256 .
dinadot
Bagaimana cara menyiapkan DNSSEC?
Enom
Pada saat penulisan ini, server nama default Enon tidak mendukung pembuatan catatan sumber daya yang sesuai untuk membuat rantai DNSSEC yang tepat.
Pelajari lebih lanjut di Menambahkan DNSSEC ke Nama Domain
gandi
DNSSEC
Di gandi, pastikan Anda memilih Algorithm 13 untuk dropdown Algorithm.
GoDaddy
Untuk mengonfigurasi data DS dengan GoDaddy, lakukan langkah-langkah berikut:
- Klik Kelola.
- Di pojok kanan atas antarmuka, pilih tampilan daftar.
- Pilih domain untuk membuat data DS.
- Di bagian DS Records pada antarmuka Pengaturan, klik Kelola.
- Klik Tambahkan Data DS.
- Masukkan informasi kunci DNSSEC di kotak teks dan klik Berikutnya. Sistem akan memvalidasi informasi catatan DS yang Anda tambahkan.
- Klik Berikutnya, lalu klik Oke.
Tambahkan data DS
zona dewa
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat di Web Hosting Magic cPanel.
Di panel kontrol web godzone, Anda mungkin dapat menambahkan data DS di bawah Domain tab.
Google Domains
Jika Anda menggunakan server nama Google Domains, Anda dapat mengaktifkan DNSSEC dengan satu klik. Ikuti petunjuk berikut:
- Masuk ke Google Domains.
- Pilih nama domain Anda.
- Buka menu
- Klik DNS .
- Gulir ke “DNSSEC”.
- Klik Aktifkan DNSSEC atau Nonaktifkan DNSSEC untuk mengubah setelan domain.
Saat Anda mengaktifkan DNSSEC, dibutuhkan kira-kira 2 jam agar DNSSEC diaktifkan sepenuhnya. Saat Anda mematikannya, ada penundaan hingga 2 hari sebelum penonaktifan.
Jika Anda memiliki server nama khusus, Anda mungkin memerlukan penyedia DNS pihak ketiga untuk mengonfigurasi DNSSEC untuk domain Anda. Selain itu, Anda harus mengaktifkan DNSSEC di Google Domains. Ikuti petunjuk di bawah ini:
- Identifikasi satu atau beberapa data DNSKEY yang telah Anda buat di Web Hosting Magic cPanel untuk domain Anda.
- Dapatkan nilai berikut:
- Tag kunci: Nilai numerik yang mengacu pada data DNSKEY yang ada.
- Algoritme: Algoritme enkripsi yang membuat kunci keamanan dalam data DNSKEY. Biasanya dipasangkan dengan fungsi hash, seperti pada RSA/SHA1.
- Jenis intisari: Algoritma yang digunakan untuk membuat intisari dari catatan DNSKEY. Disebut juga “algoritma intisari”, “hash intisari”, atau “fungsi hash intisari”.
- Intisari: Nilai hash dari data DNSKEY yang mengidentifikasinya secara unik tanpa memperlihatkan nilai kuncinya. Tergantung pada jenis intisari, panjangnya adalah:
- SHA1 – 40 digit heksadesimal
- SHA256 – 64 digit heksadesimal
- SHA384 – 96 digit heksadesimal
- Untuk setiap catatan DNSKEY, buat setidaknya satu delegasi catatan sumber daya penandatanganan (DS). Ikuti langkah ini:
- Masuk ke Google Domains.
- Pilih nama domain Anda.
- Buka menu.
- Klik DNS .
- Gulir ke “DNSSEC”.
- Buat entri menggunakan nilai dari langkah sebelumnya.
Google Cloud DNS &DNSSEC
Jika DNSSEC diaktifkan selama pembuatan zona DNS, pilih DNSSEC ke Aktif dan klik simpan.
Google Cloud DNS akan membuat data DNSSEC untuk kunci publik (DNSKEY), tanda tangan (RRSIG), dan non-eksistensi (NSEC, atau NSEC3 dan NSEC3PARAM) untuk mengautentikasi konten zona Anda dan mengelolanya secara otomatis.
Setelah tindakan ini dilakukan, sekarang saatnya untuk menangani bagian Pencatat.
Klik nama Zona, lalu Registrar Setup di kanan atas untuk melihat catatan sumber daya DNSSEC yang akan diperbarui di domain Anda.
Anda akan mendapatkan nilai-nilai ini yang Anda perlukan untuk mengamankan nama domain di registrar Anda.
- Tag kunci:Nilai numerik yang merujuk ke data DNSKEY atau nilai integer yang ada yang mengidentifikasi data DNSSEC domain.
- Algoritma:Algoritme enkripsi yang membuat kunci keamanan di data DNSKEY.
- Jenis intisari:Algoritma yang digunakan untuk membuat intisari data DNSKEY.
- Intisari:Nilai hash dari data DNSKEY yang mengidentifikasinya secara unik tanpa memperlihatkan nilai kuncinya.
arahkan kursor
Memahami dan mengelola DNSSEC
internet.bs
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat di Web Hosting Magic cPanel.
Anda mungkin dapat menambahkan data DS:
- Domain Saya> Perbarui Daftar DNS> Kelola DNSSEC> Aktifkan DNSSEC
Joker.com
Dukungan DNSSEC
Di Joker.com, gunakan 2 sebagai Tipe Intisari, bukan SHA256 .
MarkMonitor
MarkMonitor mendukung verifikasi Algorithm 13 dan secara otomatis mengimplementasikan Extensive Provisioning Protocol (EPP) untuk meneruskan catatan DS ke registri untuk TLD berikut:
.com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re
Untuk menambahkan data DS, masukkan data DS di Detail DNSSEC panel portal manajemen MarkMonitor.
Moniker
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat di Web Hosting Magic cPanel.
Anda mungkin dapat menambahkan data DS:
- Domain Saya>Setelan Lanjutan> DNSSEC> DSData
nama.com
Mengelola DNSSEC
namecheap
Untuk mengonfigurasi data DS dengan NameCheap, lakukan langkah-langkah berikut:
- Klik Daftar Domain di menu sebelah kiri.
- Pilih domain untuk mengonfigurasi data DS dan klik Kelola.
- Klik DNS Lanjutan.
- Setel tombol DNSSEC ke aktif. Menu catatan DS akan muncul.
- Klik TAMBAHKAN DS BARU.
- Masukkan informasi kunci DNSSEC di kotak teks.
- Klik SIMPAN SEMUA PERUBAHAN.
Mengelola DNSSEC untuk domain yang diarahkan ke DNS Khusus
Untuk mengonfigurasi data DS dengan OpenSRS, lakukan langkah-langkah berikut:
- Klik Domain.
- Temukan domain untuk mengonfigurasi data DS dan klik nama domain.
- Gulir ke bawah ke bagian DNSSEC dan klik Edit. Menu catatan DS akan muncul.
- Masukkan informasi kunci DNSSEC di kotak teks.
- Klik Simpan.
nameISP
Bagaimana cara mengaktifkan DNSSEC untuk domain saya?
Mengaktifkan DNSSEC di nameISP tidak mengharuskan Anda untuk menyalin dan menempelkan data catatan DS dari akun cPanel Web Hosting Magic Anda.
namesilo
Catatan DS (DNSSEC)
OVH
OVH mendukung DNSSEC dengan Algoritma 13 melalui API mereka. Lihat dokumentasinya.
OVH juga mendukung penambahan data DS melalui Manajer DNS mereka.
Pendaftaran Domain Publik
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat di Web Hosting Magic cPanel.
Pencatat ini mungkin memiliki TLD terbatas.
Lihat Menambahkan Catatan Delegation Signer (DS).
daftar.com
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat dengan Web Hosting Magic cPanel.
registrar.br
DNS e DNSSEC Tutoriais (dalam bahasa Portugis)
Tsohost
Hubungi dukungan pelanggan registrar Anda dan berikan data catatan DS yang Anda buat dengan Web Hosting Magic cPanel.
Ketika DNSSEC telah berhasil diterapkan ke domain Anda, Anda dapat mengonfirmasi dengan meninjau informasi WHOIS untuk domain Anda.
Domain dengan DNSSEC akan membaca “signedDelegation” di kolom DNSSEC.
Anda juga dapat menggunakan alat online seperti http://dnsviz.net/ atau https://dnssec-analyzer.verisignlabs.com/ untuk memvalidasi DNSSEC Anda.