DNSSEC menambahkan keamanan penting ke tempat di mana Internet tidak benar-benar memilikinya. Sistem nama domain (DNS) berfungsi dengan baik, tetapi tidak ada verifikasi pada titik mana pun dalam proses, yang membuat lubang terbuka bagi penyerang.
The Current State of Affairs
Kami telah menjelaskan cara kerja DNS di masa lalu. Singkatnya, setiap kali Anda terhubung ke nama domain seperti "google.com" atau "howtogeek.com," komputer Anda menghubungi server DNS dan mencari alamat IP terkait untuk nama domain tersebut. Komputer Anda kemudian terhubung ke alamat IP itu.
Yang penting, tidak ada proses verifikasi yang terlibat dalam pencarian DNS. Komputer Anda meminta server DNS untuk alamat yang terkait dengan situs web, server DNS merespons dengan alamat IP, dan komputer Anda mengatakan "oke!" Dan dengan senang hati menyambung ke situs web itu. Komputer Anda tidak berhenti untuk memeriksa apakah itu respons yang valid.
Enkripsi HTTPS memang menyediakan beberapa verifikasi. Misalnya, katakanlah Anda mencoba menyambung ke situs web bank Anda dan Anda melihat HTTPS dan ikon kunci di bilah alamat Anda. Anda tahu bahwa otoritas sertifikasi telah memverifikasi bahwa situs web itu milik bank Anda.
Bank Anda tidak memiliki cara untuk mengatakan "Ini adalah alamat IP yang sah untuk situs web kami."
Bagaimana DNSSEC Akan Membantu
Pencarian DNS sebenarnya terjadi dalam beberapa tahap. Misalnya, ketika komputer Anda meminta www.howtogeek.com, komputer Anda melakukan pencarian ini dalam beberapa tahap:
- Ini pertama menanyakan "direktori zona root" di mana ia dapat menemukannya .com.
- Kemudian menanyakan direktori.com di mana ia dapat menemukannya howtogeek.com.
- Kemudian bertanya howtogeek.com di mana ia dapat menemukannya www.howtogeek.com.
DNSSEC melibatkan "penandatanganan root." Ketika komputer Anda pergi untuk menanyakan zona akar tempat ia dapat menemukan.com, ia akan dapat memeriksa kunci penandatanganan zona root dan memastikan bahwa itu adalah zona root yang sah dengan informasi yang benar. Zona akar kemudian akan memberikan informasi tentang kunci penandatanganan atau.com dan lokasinya, memungkinkan komputer Anda untuk menghubungi direktori.com dan memastikan itu sah. Direktori.com akan memberikan kunci penandatanganan dan informasi untuk howtogeek.com, memungkinkannya untuk menghubungi howtogeek.com dan memverifikasi bahwa Anda terhubung ke howtogeek.com nyata, seperti yang dikonfirmasi oleh zona di atasnya.
Ketika DNSSEC sepenuhnya diluncurkan, komputer Anda akan dapat mengkonfirmasi tanggapan DNS sah dan benar, sedangkan saat ini tidak memiliki cara untuk mengetahui mana yang palsu dan mana yang nyata.
Apa yang akan dilakukan SOPA
Jadi bagaimana UU Pembajakan Daring Stop, yang lebih dikenal sebagai SOPA, berperan dalam semua ini? Nah, jika Anda mengikuti SOPA, Anda menyadari bahwa itu ditulis oleh orang-orang yang tidak memahami Internet, jadi itu akan "merusak Internet" dalam berbagai cara. Ini salah satunya.
Ingat bahwa DNSSEC memungkinkan pemilik nama domain untuk menandatangani catatan DNS mereka. Jadi, misalnya, thepiratebay.se dapat menggunakan DNSSEC untuk menentukan alamat IP yang terkait dengannya. Ketika komputer Anda melakukan pencarian DNS - apakah itu untuk google.com atau thepiratebay.se - DNSSEC akan memungkinkan komputer untuk menentukan bahwa itu menerima respons yang benar sebagaimana divalidasi oleh pemilik nama domain. DNSSEC hanyalah sebuah protokol; itu tidak mencoba untuk membedakan antara situs-situs "baik" dan "buruk".
SOPA akan membutuhkan penyedia layanan Internet untuk mengarahkan pencarian DNS untuk situs web "buruk". Misalnya, jika pelanggan penyedia layanan Internet mencoba mengakses thepiratebay.se, server DNS ISP akan mengembalikan alamat situs web lain, yang akan memberi tahu mereka bahwa Pirate Bay telah diblokir.
Dengan DNSSEC, pengalihan seperti itu tidak akan dapat dibedakan dari serangan man-in-the-middle, yang dirancang DNSSEC untuk mencegahnya. ISP yang menyebarkan DNSSEC harus menanggapi dengan alamat sebenarnya dari Pirate Bay, dan dengan demikian akan melanggar SOPA.Untuk mengakomodasi SOPA, DNSSEC harus memiliki lubang besar di dalamnya, yang akan memungkinkan penyedia layanan Internet dan pemerintah untuk mengalihkan permintaan DNS nama domain tanpa izin dari pemilik nama domain. Ini akan sulit (jika tidak mustahil) dilakukan dengan cara yang aman, kemungkinan membuka lubang keamanan baru untuk penyerang.
Untungnya, SOPA sudah mati dan semoga tidak akan kembali lagi. DNSSEC saat ini sedang digunakan, menyediakan perbaikan lama untuk masalah ini.