Ekstensi Keamanan Sistem Nama Domain (DNSSEC) adalah teknologi keamanan yang akan membantu memperbaiki salah satu titik lemah Internet. Kami beruntung SOPA tidak lulus, karena SOPA akan membuat DNSSEC ilegal.
DNSSEC menambahkan keamanan penting ke tempat di mana Internet tidak benar-benar memiliki. Sistem nama domain (DNS) berfungsi dengan baik, tetapi tidak ada verifikasi pada titik mana pun dalam proses, yang membuat lubang terbuka bagi penyerang.
Kami telah menjelaskan cara kerja DNS di masa lalu. Singkatnya, setiap kali Anda terhubung ke nama domain seperti "google.com" atau "howtogeek.com," komputer Anda menghubungi server DNS dan mencari alamat IP terkait untuk nama domain tersebut. Komputer Anda kemudian terhubung ke alamat IP itu.
Yang penting, tidak ada proses verifikasi yang terlibat dalam pencarian DNS. Komputer Anda meminta server DNS untuk alamat yang terkait dengan situs web, server DNS merespons dengan alamat IP, dan komputer Anda mengatakan "oke!" Dan dengan senang hati menyambung ke situs web itu. Komputer Anda tidak berhenti untuk memeriksa apakah itu respons yang valid.
Ada kemungkinan bagi penyerang untuk mengalihkan permintaan DNS ini atau mengatur server DNS berbahaya yang dirancang untuk mengembalikan respons buruk. Misalnya, jika Anda terhubung ke jaringan Wi-Fi publik dan Anda mencoba menyambung ke howtogeek.com, server DNS jahat di jaringan Wi-Fi publik itu dapat mengembalikan alamat IP yang sama sekali berbeda. Alamat IP dapat mengarahkan Anda ke situs web phishing. Browser web Anda tidak memiliki cara nyata untuk memeriksa apakah alamat IP benar-benar terkait dengan howtogeek.com; itu hanya harus mempercayai respon yang diterimanya dari server DNS.
Enkripsi HTTPS memang menyediakan beberapa verifikasi. Misalnya, katakanlah Anda mencoba menyambung ke situs web bank Anda dan Anda melihat HTTPS dan ikon kunci di bilah alamat Anda. Anda tahu bahwa otoritas sertifikasi telah memverifikasi bahwa situs web itu milik bank Anda.
Jika Anda mengakses situs web bank Anda dari titik akses yang disusupi dan server DNS mengembalikan alamat situs phishing penipu, situs phishing tidak akan dapat menampilkan enkripsi HTTPS. Namun, situs phishing dapat memilih menggunakan HTTP biasa alih-alih HTTPS, bertaruh bahwa sebagian besar pengguna tidak akan melihat perbedaannya dan akan memasukkan informasi perbankan online mereka.
Bank Anda tidak memiliki cara untuk mengatakan "Ini adalah alamat IP yang sah untuk situs web kami."
Pencarian DNS sebenarnya terjadi dalam beberapa tahap. Misalnya, ketika komputer Anda meminta www.howtogeek.com, komputer Anda melakukan pencarian ini dalam beberapa tahap:
DNSSEC melibatkan "penandatanganan root." Ketika komputer Anda pergi untuk meminta zona root di mana ia dapat menemukan .com, itu akan dapat memeriksa kunci penandatanganan zona root dan mengkonfirmasi bahwa itu adalah zona root yang sah dengan informasi yang benar. Zona akar kemudian akan memberikan informasi tentang kunci penandatanganan atau .com dan lokasinya, memungkinkan komputer Anda untuk menghubungi direktori .com dan memastikan itu sah. Direktori .com akan memberikan kunci penandatanganan dan informasi untuk howtogeek.com, memungkinkannya untuk menghubungi howtogeek.com dan memverifikasi bahwa Anda terhubung ke howtogeek.com nyata, seperti yang dikonfirmasi oleh zona di atasnya.
Ketika DNSSEC sepenuhnya diluncurkan, komputer Anda akan dapat mengkonfirmasi tanggapan DNS sah dan benar, sedangkan saat ini tidak memiliki cara untuk mengetahui mana yang palsu dan mana yang nyata.
Baca lebih lanjut tentang cara kerja enkripsi di sini.
Jadi bagaimana UU Pembajakan Daring Stop, yang lebih dikenal sebagai SOPA, berperan dalam semua ini? Nah, jika Anda mengikuti SOPA, Anda menyadari bahwa itu ditulis oleh orang-orang yang tidak memahami Internet, jadi itu akan "memecahkan Internet" dalam berbagai cara. Ini salah satunya.
Ingat bahwa DNSSEC memungkinkan pemilik nama domain untuk menandatangani catatan DNS mereka. Jadi, misalnya, thepiratebay.se dapat menggunakan DNSSEC untuk menentukan alamat IP yang terkait dengannya. Ketika komputer Anda melakukan pencarian DNS - apakah itu untuk google.com atau thepiratebay.se - DNSSEC akan memungkinkan komputer untuk menentukan bahwa itu menerima respon yang benar sebagaimana divalidasi oleh pemilik nama domain. DNSSEC hanyalah sebuah protokol; itu tidak mencoba untuk membedakan antara "baik" dan "buruk" situs web.
SOPA akan membutuhkan penyedia layanan Internet untuk mengarahkan pencarian DNS untuk situs web "buruk". Misalnya, jika pelanggan penyedia layanan Internet mencoba mengakses thepiratebay.se, server DNS ISP akan mengembalikan alamat situs web lain, yang akan memberi tahu mereka bahwa Pirate Bay telah diblokir.
Dengan DNSSEC, pengalihan seperti itu tidak akan dapat dibedakan dari serangan man-in-the-middle, yang dirancang DNSSEC untuk mencegahnya. ISP yang menyebarkan DNSSEC harus menanggapi dengan alamat sebenarnya dari Pirate Bay, dan dengan demikian akan melanggar SOPA. Untuk mengakomodasi SOPA, DNSSEC harus memiliki lubang besar di dalamnya, yang akan memungkinkan penyedia layanan Internet dan pemerintah untuk mengalihkan permintaan DNS nama domain tanpa izin dari pemilik nama domain. Ini akan sulit (jika tidak mustahil) dilakukan dengan cara yang aman, kemungkinan membuka lubang keamanan baru untuk penyerang.
Untungnya, SOPA sudah mati dan semoga tidak akan kembali. DNSSEC saat ini sedang digunakan, menyediakan perbaikan lama untuk masalah ini.
Kredit Gambar: Khairil Yusof, Jemimus di Flickr, David Holmes di Flickr