Zona root DNS adalah zona DNS tingkat atas dalam hirarki namespace dari Sistem Nama Domain (DNS) Internet. Sebelum 1 Oktober 2016, zona root dikelola oleh Internet Corporation for Assigned Names and Numbers (ICANN) yang mendelegasikan manajemen kepada anak perusahaan yang bertindak sebagai Internet Assigned Numbers Authority (IANA). Layanan distribusi disediakan oleh Verisign. Sebelum ini, ICANN melakukan tanggung jawab manajemen di bawah pengawasan National Telecommunications and Information Administration (NTIA), sebuah lembaga dari Departemen Perdagangan Amerika Serikat. Tanggung jawab pengawasan dialihkan ke komunitas pemangku kepentingan global yang diwakili dalam struktur tata kelola ICANN.
Sejumlah batasan dalam definisi DNS dan dalam beberapa protokol tertentu, yaitu ukuran praktis paket User Datagram Protocol (UDP) yang tidak terfragmentasi, menghasilkan jumlah maksimum praktis 13 alamat server nama root yang dapat diakomodasi dalam respons kueri nama DNS. Namun zona root dilayani oleh beberapa ratus server di lebih dari 130 lokasi di banyak negara.
Inisialisasi layanan DNS
Zona root DNS dilayani oleh tiga belas server root cluster yang bersifat otoritatif untuk kueri ke domain tingkat atas Internet. Oleh karena itu, setiap resolusi nama entah dimulai dengan kueri ke server root atau menggunakan informasi yang pernah diperoleh dari server root.
Cluster server root memiliki nama resmi a.root-servers.net hingga m.root-servers.net. Untuk meresolusi nama-nama ini menjadi alamat, resolver DNS harus mencari server otoritatif untuk zona net. Untuk menghindari ketergantungan lingkaran ini, setidaknya satu alamat server root harus diketahui untuk mengakses DNS. Untuk tujuan ini, sistem operasi atau server DNS atau paket perangkat lunak resolver biasanya menyertakan file dengan semua alamat server root DNS. Bahkan jika alamat IP beberapa server root berubah, setidaknya satu diperlukan untuk mendapatkan daftar seluruh server nama saat ini. File alamat ini disebut named.cache dalam implementasi referensi server nama BIND. Versi resmi saat ini didistribusikan oleh InterNIC ICANN. Dengan alamat satu server root yang berfungsi, semua informasi DNS lainnya dapat ditemukan secara rekursif, dan informasi tentang nama domain apa pun dapat ditemukan.
Redundansi dan keberagaman
Server root DNS sangat penting untuk fungsi Internet, karena sebagian besar layanan Internet, seperti World Wide Web dan email, didasarkan pada nama domain. Server DNS adalah titik-titik potensial kegagalan untuk seluruh Internet. Untuk alasan ini, beberapa server root didistribusikan di seluruh dunia. Ukuran paket DNS 512 oktet membatasi respons DNS menjadi tiga belas alamat, sampai ekstensi protokol mengangkat pembatasan ini. Meskipun memungkinkan untuk memasukkan lebih banyak entri ke dalam paket dengan ukuran ini ketika menggunakan kompresi label, tiga belas dipilih sebagai batas yang dapat diandalkan. Sejak diperkenalkannya IPv6, penerus Protokol Internet untuk IPv4, praktik sebelumnya sedang dimodifikasi dan ruang tambahan diisi dengan server nama IPv6.
Server nama root dihosting di beberapa situs yang aman dengan akses bandwidth tinggi untuk menampung beban lalu lintas. Pada awalnya, semua instalasi ini berlokasi di Amerika Serikat; namun, distribusi telah bergeser dan ini tidak lagi terjadi. Biasanya setiap instalasi server DNS di suatu situs tertentu adalah kelompok komputer dengan router penyeimbang beban. Daftar komprehensif server, lokasi, dan propertinya tersedia di https://root-servers.org/. Pada 24 Juni 2023, ada 1708 server root di seluruh dunia. Trend modern adalah menggunakan addressing anycast dan routing untuk memberikan ketahanan dan penyeimbangan beban di seluruh wilayah geografis yang luas. Sebagai contoh, server j.root-servers.net, yang dipelihara oleh Verisign, diwakili oleh 104 (per Januari 2016) sistem server individu yang terletak di seluruh dunia, yang dapat ditanyakan menggunakan addressing anycast.
Manajemen Konten dari file zona akar Internet disinkronkan oleh anak perusahaan ICANN yang melakukan fungsi Internet Assigned Numbers Authority (IANA). Verisign menghasilkan dan mendistribusikan file zona ke berbagai operator server akar.
Pada tahun 1997, ketika Internet dialihkan dari kendali pemerintah AS ke tangan swasta, NTIA menjalankan pengelolaan zona akar. Dokumen Departemen Perdagangan tahun 1998 menyatakan bahwa lembaga tersebut "berkomitmen untuk melakukan transisi yang akan memungkinkan sektor swasta mengambil alih kepemimpinan manajemen DNS" pada tahun 2000, namun tidak ada langkah yang diambil untuk melakukan transisi tersebut. Pada Maret 2014, NTIA mengumumkan akan mentransfer pengelolaannya kepada "komunitas pemangku kepentingan global".
Menurut Asisten Sekretaris Perdagangan untuk Komunikasi dan Informasi, Lawrence E. Strickling, Maret 2014 adalah waktu yang tepat untuk memulai transisi peran ke komunitas Internet global. Langkah ini diambil setelah tekanan akibat pengungkapan bahwa Amerika Serikat dan sekutunya terlibat dalam penyadapan. Ketua dewan ICANN membantah kedua hal tersebut terkait, dan mengatakan bahwa proses transisi telah berlangsung dalam waktu yang lama. Presiden ICANN, Fadi Chehadé, menyebut langkah tersebut sebagai sejarah dan mengatakan bahwa ICANN akan beralih ke kontrol multi-pihak. Berbagai tokoh terkemuka dalam sejarah Internet yang tidak berafiliasi dengan ICANN juga memberi selamat atas langkah tersebut. Pengumuman NTIA tidak langsung mempengaruhi bagaimana ICANN menjalankan perannya. Pada 11 Maret 2016, NTIA mengumumkan bahwa mereka telah menerima rencana usulan untuk mentransfer peran pengelolaan zona akar, dan akan meninjau rencana tersebut dalam 90 hari ke depan.
Usulan tersebut diadopsi, dan kontrak baru ICANN untuk melakukan fungsi IANA berakhir pada 30 September 2016, yang mengakibatkan transisi tanggung jawab pengawasan kepada komunitas pemangku kepentingan global yang diwakili dalam struktur tata kelola ICANN. Sebagai bagian dari rencana transisi, dibuat anak perusahaan baru yang disebut Identifikasi Teknis Publik (PTI) untuk melakukan fungsi IANA yang mencakup pengelolaan zona akar DNS.
Perlindungan data zona akar Penandatanganan zona akar
Sejak Juli 2010, zona akar telah ditandatangani dengan tanda tangan DNSSEC, memberikan satu anchor kepercayaan tunggal untuk Sistem Nama Domain yang pada gilirannya dapat digunakan sebagai anchor kepercayaan untuk infrastruktur kunci publik (PKI) lainnya. Bagian DNSKEY zona akar ditandatangani ulang secara berkala dengan kunci penandatanganan zona akar yang dilakukan dengan cara yang dapat diverifikasi di depan saksi dalam upacara penandatanganan kunci. KSK2017 dengan ID 20326 masih berlaku pada tahun 2020.
Rekam ZONEMD
Meskipun file zona akar ditandai dengan DNSSEC, beberapa catatan DNS, seperti NS records, tidak dilindungi oleh tanda tangan DNSSEC. Untuk mengatasi kelemahan ini, Rekam Sumber Daya DNS baru, yang disebut ZONEMD, diperkenalkan dalam RFC 8976. ZONEMD tidak menggantikan DNSSEC. ZONEMD dan DNSSEC harus digunakan bersama untuk memastikan perlindungan penuh dari file zona akar DNS. Penerapan ZONEMD untuk zona akar DNS selesai pada tanggal 6 Desember 2023.
Server DNS B-Root menyediakan dukungan eksperimental untuk DNS over TLS (DoT) pada port 853. ini adalah langkah penting untuk meningkatkan keamanan dan privasi saat Anda menggunakan layanan DNS. Dengan DoT, data Anda akan dienkripsi saat berkomunikasi dengan server DNS, sehingga mengurangi risiko penyadapan atau manipulasi data oleh pihak yang tidak berwenang. Jika Anda ingin lebih aman saat browsing internet, Anda dapat mencoba menggunakan DNS over TLS pada server B-Root.
Posting Komentar