Perdebatan mengenai DNSSEC (Domain Name System Security Extensions) telah semakin memuncak dalam komuniti teknologi, dengan pakar keselamatan semakin mempersoalkan sama ada faedah protokol ini membenarkan kos pelaksanaan dan kerumitannya. Walaupun DNSSEC direka untuk melindungi daripada serangan rampasan DNS, penggunaannya kekal rendah secara degil selepas lebih daripada 25 tahun pembangunan.
Pencegahan Serangan Dunia Sebenar berbanding Isu Penggunaan Praktikal
Penyokong DNSSEC menunjuk kepada kes-kes terdokumen di mana protokol ini boleh mencegah kerugian kewangan yang ketara. Serangan rampasan BGP pada tahun 2018 yang menyasarkan pelayan DNS Route53 Amazon mengakibatkan kerugian mata wang kripto bernilai 152,000 dolar Amerika Syarikat, insiden yang secara teorinya boleh dicegah oleh DNSSEC melalui pengesahan respons DNS. Walau bagaimanapun, pengkritik berhujah bahawa senario serangan eksotik sedemikian tidak membenarkan pelaburan infrastruktur besar-besaran yang diperlukan untuk penggunaan meluas.
Kerumitan protokol ini telah menyebabkan banyak gangguan berprofil tinggi. Platform utama seperti Slack mengalami gangguan perkhidmatan selama 24 jam akibat salah konfigurasi DNSSEC, mewujudkan apa yang dipanggil oleh profesional industri sebagai insiden tahap keterukan 1 yang boleh mengancam lesen perniagaan bagi syarikat dengan perjanjian tahap perkhidmatan yang ketat.
Rampasan BGP (Border Gateway Protocol) melibatkan penyerang mengalihkan trafik internet dengan mengumumkan pemilikan alamat IP secara palsu, manakala rampasan DNS memanipulasi resolusi nama domain untuk mengalihkan pengguna ke pelayan berniat jahat.
Contoh Pencegahan Serangan:
- Rampasan BGP 2018: Amazon Route53 menjadi sasaran, mengakibatkan kecurian mata wang kripto bernilai $152,000 USD
- Kaedah serangan: Rampasan BGP digabungkan dengan manipulasi DNS untuk memperoleh sijil SSL palsu
- Kesan DNSSEC: Secara teorinya boleh mencegah vektor serangan khusus ini
Kadar Penggunaan Menceritakan Kisah Yang Berbeza
Walaupun bertahun-tahun diperjuangkan, penggunaan DNSSEC kekal di bawah 4% di Amerika Utara apabila diukur mengikut zon DNS. Yang lebih memberitahu, syarikat teknologi utama dan institusi kewangan sebahagian besarnya mengelak daripada melaksanakannya. Penyelidikan menunjukkan bahawa sebahagian besar bank-bank utama di seluruh dunia tidak menggunakan DNSSEC, menunjukkan bahawa organisasi dengan bajet keselamatan yang besar tidak menganggapnya sebagai keutamaan.
Syarikat-syarikat yang anda ejek sebagai tidak serius tentang keselamatan secara amnya membelanjakan lebih banyak untuk keselamatan berbanding syarikat-syarikat yang telah menggunakannya.
Kadar penggunaan yang rendah ini berlaku walaupun langkah keselamatan DNS alternatif seperti DNS-over-HTTPS (DoH) mendapat penerimaan meluas, menunjukkan bahawa pasaran telah menemui penyelesaian lain yang lebih praktikal untuk dilaksanakan.
Statistik Penggunaan DNSSEC:
- Penggunaan di Amerika Utara: Di bawah 4% daripada zon DNS
- Syarikat Fortune 500: Penggunaan yang minimum walaupun mempunyai bajet keselamatan yang besar
- Bank-bank utama di seluruh dunia: Majoriti besar tidak melaksanakan DNSSEC
- Trend: Penggunaan telah menurun dalam tahun-tahun kebelakangan ini di sesetengah wilayah
Batasan Teknikal dan Penyelesaian Alternatif
DNSSEC beroperasi sebagai protokol pelayan-ke-pelayan, bermakna pelayar pengguna akhir tidak mengesahkan tandatangan secara langsung tetapi sebaliknya mempercayai satu bit dalam pengepala respons DNS. Had reka bentuk ini mengurangkan keberkesanannya berbanding penyelesaian penyulitan hujung-ke-hujung. Pengkritik juga menyatakan bahawa kebanyakan rampasan zon DNS berlaku melalui pengambilalihan akaun di pendaftar berbanding pemintasan trafik dalam-laluan yang ditangani oleh DNSSEC.
Keperluan tandatangan luar talian protokol dan mekanisme penafian yang disahkan mewujudkan kerumitan operasi yang sukar diuruskan dengan selamat oleh banyak organisasi. Pengesahan perspektif berbilang oleh pihak berkuasa sijil dan langkah keselamatan pendaftar yang diperbaiki mungkin memberikan perlindungan yang lebih praktikal terhadap serangan yang ingin dicegah oleh DNSSEC.
Gangguan DNSSEC yang Ketara:
- Slack (2021): Gangguan perkhidmatan selama 24 jam disebabkan oleh salah konfigurasi DNSSEC
- Pelbagai insiden: Kes-kes yang didokumenkan mengenai platform utama yang terputus talian disebabkan oleh kesilapan pelaksanaan DNSSEC
- Faktor risiko: Salah konfigurasi boleh mewujudkan insiden "keterukan 1" yang menjejaskan operasi perniagaan
Jalan Ke Hadapan
Walaupun penyelidik keselamatan mengakui bahawa DNS memerlukan mekanisme perlindungan yang lebih baik, ramai mencadangkan bahawa reka bentuk kriptografi era 1990-an DNSSEC mungkin bukan penyelesaian yang tepat untuk internet hari ini. Ada yang mencadangkan untuk kembali ke papan lukis bagi membangunkan protokol yang lebih mudah digunakan dengan betul dan lebih sukar untuk disalah konfigurasi secara bencana.
Perdebatan yang berterusan mencerminkan cabaran yang lebih luas dalam keselamatan siber: mengimbangi penambahbaikan keselamatan teori terhadap risiko dan kos pelaksanaan praktikal. Ketika internet terus berkembang, persoalan kekal sama ada DNSSEC akan menemui kedudukannya atau digantikan oleh alternatif yang lebih mesra pengguna yang mencapai matlamat keselamatan yang serupa.
Rujukan: Why do we need DNSSEC?