Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengonfigurasi DNSSEC untuk domain
<a name="domain-configure-dnssec"></a>

Penyerang terkadang membajak lalu lintas ke titik akhir internet seperti server web dengan mencegat kueri DNS dan mengembalikan alamat IP penyerang ke penyelesai DNS menggantikan alamat IP yang sebenarnya untuk titik akhir tersebut. Pengguna kemudian dirutekan ke alamat IP yang disediakan oleh penyerang sebagai respons palsu, misalnya, ke situs web palsu. 

Anda dapat melindungi domain Anda dari jenis serangan ini, yang dikenal sebagai spoofing DNS atau man-in-the-middle serangan, dengan mengonfigurasi Domain Name System Security Extensions (DNSSEC), sebuah protokol untuk mengamankan lalu lintas DNS. 

**penting**  
Amazon Route 53 mendukung penandatanganan DNSSEC dan DNSSEC untuk pendaftaran domain. Jika Anda ingin mengonfigurasi penandatanganan DNSSEC untuk domain yang terdaftar dengan Route 53, lihat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).

**Topics**
+ [Gambaran umum tentang cara DNSSEC melindungi domain Anda](#domain-configure-dnssec-how-it-works)
+ [Prasyarat dan nilai maksimal untuk mengonfigurasi DNSSEC domain](#domain-configure-dnssec-prerequisites)
+ [Menambahkan kunci publik untuk domain](#domain-configure-dnssec-adding-keys)
+ [Menghapus kunci publik untuk domain](#domain-configure-dnssec-deleting-keys)

## Gambaran umum tentang cara DNSSEC melindungi domain Anda
<a name="domain-configure-dnssec-how-it-works"></a>

Saat Anda mengonfigurasi DNSSEC untuk domain, penyelesai DNS menetapkan rantai kepercayaan untuk respons dari penyelesai perantara. Rantai kepercayaan dimulai dengan registri TLD untuk domain (zona induk domain) dan diakhiri dengan server nama otoritatif di penyedia layanan DNS. Tidak semua penyelesai DNS mendukung DNSSEC. Hanya resolver yang mendukung DNSSEC yang melakukan validasi tanda tangan atau keaslian apa pun.

Berikut adalah cara mengonfigurasi DNSSEC untuk domain yang terdaftar di Amazon Route 53 guna melindungi host internet Anda dari DNS palsu, yang disederhanakan agar lebih jelas:

1. Gunakan metode yang disediakan oleh penyedia layanan DNS Anda untuk *menandatangani* catatan di zona yang di-hosting dengan *kunci privat* dalam pasangan kunci asimetris.
**penting**  
Route 53 mendukung penandatanganan DNSSEC dan DNSSEC untuk pendaftaran domain. Untuk mempelajari selengkapnya, lihat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).

1. Berikan *kunci publik* dari pasangan kunci ke registrar domain Anda, dan tentukan algoritme yang digunakan untuk menghasilkan pasangan kunci. Registrar domain meneruskan kunci publik dan algoritme ke registri untuk domain tingkat atas (TLD).

   Untuk informasi tentang cara melakukan langkah ini untuk domain yang Anda daftarkan dengan Route 53, lihat [Menambahkan kunci publik untuk domain](#domain-configure-dnssec-adding-keys).

Setelah dikonfigurasi, berikut adalah cara DNSSEC melindungi domain Anda dari DNS palsu:

1. Kirim kueri DNS, misalnya, dengan menelusuri situs web atau mengirim pesan email.

1. Permintaan dirutekan ke penyelesai DNS. Penyelesai bertanggung jawab untuk mengembalikan nilai yang sesuai ke klien berdasarkan permintaan, misalnya, alamat IP untuk host yang menjalankan server web atau server email.

1. Jika alamat IP di-cache pada DNS resolver karena orang lain telah mengirimkan query DNS yang sama, dan resolver sudah mendapatkan nilai, resolver mengembalikan alamat IP ke klien yang mengirimkan permintaan. Klien kemudian menggunakan alamat IP untuk mengakses host.

   Jika alamat IP tidak di-cache di penyelesai DNS, penyelesai mengirimkan permintaan ke zona induk domain Anda, di registri TLD, yang mengembalikan dua nilai:
   + Catatan Delegation Signer (DS), yang merupakan kunci publik yang sesuai dengan kunci privat yang digunakan untuk menandatangani catatan.
   + Alamat IP dari server nama otoritatif untuk domain Anda.

1. Penyelesai DNS mengirimkan permintaan asli untuk penyelesai DNS lain. Jika tidak memiliki alamat IP, penyelesai itu mengulangi proses hingga penyelesai mengirimkan permintaan ke server nama di penyedia layanan DNS Anda. Server nama mengembalikan dua nilai:
   + Catatan untuk domain, seperti example.com. Biasanya ini berisi alamat IP host.
   + Tanda tangan untuk catatan, yang Anda buat saat mengonfigurasi DNSSEC.

1. DNS resolver menggunakan kunci publik yang Anda berikan ke registrar domain dan registrar yang diteruskan ke registri TLD untuk melakukan dua hal:
   + Membuat rantai kepercayaan.
   + Verifikasi bahwa respons yang ditandatangani dari penyedia layanan DNS adalah sah dan belum diganti dengan respons buruk dari penyerang.

1. Jika respons otentik, penyelesai mengembalikan nilai ke klien yang mengirimkan permintaan.

   Jika respons tidak dapat diverifikasi, penyelesai mengembalikan kesalahan ke pengguna.

   Jika registri TLD untuk domain tidak memiliki kunci publik untuk domain, penyelesai merespons kueri DNS menggunakan respons yang didapat dari penyedia layanan DNS. 

## Prasyarat dan nilai maksimal untuk mengonfigurasi DNSSEC domain
<a name="domain-configure-dnssec-prerequisites"></a>

Untuk mengonfigurasi DNSSEC domain, domain dan penyedia layanan DNS harus memenuhi prasyarat berikut:
+ Registri untuk TLD harus mendukung DNSSEC. Untuk menentukan apakah registri untuk TLD mendukung DNSSEC, lihat [Domain yang dapat Anda daftarkan dengan Amazon Route 53](registrar-tld-list.md).
+ Penyedia layanan DNS untuk domain harus mendukung DNSSEC.
**penting**  
Route 53 mendukung penandatanganan DNSSEC dan DNSSEC untuk pendaftaran domain. Untuk mempelajari selengkapnya, lihat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).
+ Anda harus mengonfigurasi DNSSEC dengan penyedia layanan DNS untuk domain sebelum menambahkan kunci publik domain ke Route 53.
+ Jumlah kunci publik yang dapat Anda tambahkan ke domain tergantung pada TLD untuk domain:
  + **Domain .com dan .net** – hingga tiga belas kunci
  + **Semua domain lainnya** – hingga empat kunci

## Menambahkan kunci publik untuk domain
<a name="domain-configure-dnssec-adding-keys"></a>

Ketika Anda merotasi kunci atau mengaktifkan DNSSEC untuk domain, lakukan prosedur berikut setelah mengonfigurasi DNSSEC dengan penyedia layanan DNS untuk domain.<a name="domain-configure-dnssec-adding-keys-procedure"></a>

**Cara menambahkan kunci publik untuk domain**

1. Jika Anda belum mengonfigurasi DNSSEC dengan penyedia layanan DNS, gunakan metode yang disediakan oleh penyedia layanan untuk mengonfigurasi DNSSEC.

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Domain terdaftar**.

1. Pilih nama domain yang ingin Anda tambahkan kunci.

1. Di tab **Tombol DNSSEC, pilih **Tambah** kunci**.

1. Tentukan nilai-nilai berikut ini:  
**Tipe Kunci**  
Pilih apakah Anda ingin mengunggah kunci penandatanganan kunci (KSK) atau kunci penandatanganan zona (ZSK).  
**Algoritme**  
Pilih algoritme yang Anda gunakan untuk menandatangani catatan zona yang di-hosting.  
**Kunci publik**  
Tentukan kunci publik dari pasangan kunci asimetris yang Anda gunakan untuk mengonfigurasi DNSSEC dengan penyedia layanan DNS.   
Perhatikan hal berikut:   
   + Tentukan kunci publik, bukan digest.
   + Anda harus menentukan kunci dalam format base64.

1. Pilih **Tambahkan**.
**catatan**  
Anda hanya dapat menambahkan satu kunci publik dalam satu waktu. Jika perlu menambahkan kunci lainnya, tunggu hingga Anda menerima email konfirmasi dari Route 53.

1. Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah ditambahkan ke domain di registri atau menjelaskan mengapa kunci tidak dapat ditambahkan.

## Menghapus kunci publik untuk domain
<a name="domain-configure-dnssec-deleting-keys"></a>

Ketika Anda merotasi tombol atau menonaktifkan DNSSEC untuk domain, hapus kunci publik menggunakan prosedur berikut sebelum menonaktifkan DNSSEC dengan penyedia layanan DNS. Perhatikan hal berikut:
+ Jika Anda merotasi kunci publik, sebaiknya tunggu hingga tiga hari setelah menambahkan kunci publik baru untuk menghapus kunci publik lama.
+ Jika Anda menonaktifkan DNSSEC, hapus kunci publik untuk domain terlebih dahulu. Kami sarankan Anda menunggu hingga tiga hari sebelum menonaktifkan DNSSEC dengan layanan DNS untuk domain. 

**penting**  
Jika DNSSEC diaktifkan untuk domain dan Anda menonaktifkan DNSSEC dengan layanan DNS, penyelesai DNS yang mendukung DNSSEC akan mengembalikan kesalahan `SERVFAIL` untuk klien, dan klien tidak akan dapat mengakses titik akhir yang terkait dengan domain. <a name="domain-configure-dnssec-deleting-keys-procedure"></a>

**Cara menghapus kunci publik untuk domain**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Domain terdaftar**.

1. Pilih nama domain yang kuncinya ingin Anda hapus.

1. Di tab **Tombol DNSSEC**, pilih tombol radio di sebelah tombol yang ingin Anda hapus, lalu pilih **Hapus** kunci.

1. **Dalam kotak dialog **Delete DNSSEC key**, masukkan *hapus* di kotak teks untuk mengonfirmasi bahwa Anda ingin menghapus kunci, lalu pilih Hapus.**
**catatan**  
Anda hanya dapat menghapus satu kunci publik dalam satu waktu. Jika Anda perlu menghapus lebih banyak kunci, tunggu hingga Anda menerima email konfirmasi dari Amazon Route 53.

1. Saat Route 53 menerima respons dari registri, kami akan mengirim email ke kontak pendaftar untuk domain tersebut. Email ini menegaskan bahwa kunci publik telah dihapus dari domain di registri atau menjelaskan mengapa kunci tidak dapat dihapus.