Introducing Cloudflare Domain Protection — Making Domain Compromise a Thing of the Past

Segala sesuatu di web dimulai dengan nama domain. Ini adalah fondasi di mana kehadiran online perusahaan dibangun. Jika fondasi itu dibobol, kerusakannya bisa sangat besar.

Sebagai bagian dari CIO Week, kami melihat semua risiko terbesar yang terus dihadapi perusahaan secara online, dan bagaimana kami dapat mengatasinya. Pembobolan nama domain tetap menjadi salah satu yang terbesar. Ada banyak cara di mana domain dapat dibajak atau dibobol, hingga yang paling serius: kehilangan kendali atas nama domain Anda sama sekali.

Anda tidak ingin itu terjadi pada Anda. Bayangkan tidak hanya kehilangan situs web Anda, tetapi semua email perusahaan, segudang sistem yang terkait dengan domain perusahaan, dan entah apa lagi. Menghadapi penyerang yang membobol domain perusahaan Anda adalah mimpi buruk bagi setiap CIO. Dan, jika Anda seorang CIO dan itu bukan sesuatu yang Anda khawatirkan, ketahuilah bahwa kami benar-benar menyurvei setiap registrar domain lain dan sangat tidak puas dengan praktik keamanan mereka sehingga kami perlu meluncurkannya sendiri.

Tapi, sekarang kami memilikinya, kami ingin membuat domain berkompromi dengan sesuatu yang seharusnya tidak pernah terjadi lagi. Oleh karena itu, dengan senang hati kami mengumumkan bahwa kami memperluas tingkat baru perlindungan catatan domain untuk semua pelanggan Perusahaan kami. Kami menyebutnya Perlindungan Domain Cloudflare, dan kami menyertakannya secara gratis untuk setiap pelanggan Cloudflare Enterprise. Bagi pelanggan yang memiliki domain yang diamankan dengan Perlindungan Domain, kami juga akan membebaskan semua biaya pendaftaran dan perpanjangan pada domain tersebut. Perlindungan Domain Cloudflare akan tersedia di Q1 — Anda dapat berdiskusi dengan manajer akun Anda sekarang untuk memanfaatkan penawaran ini.

Tidak mungkin membangun solusi registrar domain yang benar-benar aman tanpa pemahaman tentang bagaimana domain dibobol. Sebelum kami masuk ke detail lebih lanjut dari penawaran kami, kami ingin membawa Anda pada tur seputar bagaimana sebuah domain dapat dibobol.

Mencuri Kunci Kerajaan Anda

Ada tiga jenis pembobolan domain yang sering kita dengar. Mari kita lihat satu per satu.

Transfer Domain

Salah satu pembobolan yang paling serius adalah transfer domain yang tidak sah ke registrar lain. Meskipun kerja sama di antara registrar telah meningkat pesat selama bertahun-tahun, masih sangat sulit untuk memulihkan domain yang dicuri. Seringkali bisa memakan waktu berminggu-minggu — atau bahkan berbulan-bulan. Ini mungkin memerlukan tindakan hukum. Dalam skenario kasus terbaik, domain dapat dipulihkan dalam beberapa hari; dalam kasus terburuk, Anda mungkin tidak akan pernah mendapatkannya kembali.

Kemampuan untuk dengan mudah mentransfer domain antar registrar sangat penting, dan merupakan bagian dari apa yang membuat pasar pendaftaran domain tetap kompetitif. Namun, itu juga memunculkan potensi risiko. Proses transfer yang digunakan oleh sebagian besar registry melibatkan penggunaan token untuk mengotorisasi transfer. Sebelum praktik menyunting data whois yang dapat diakses publik, proses persetujuan email juga digunakan. Untuk mencuri domain, pelaku yang berbahaya hanya perlu mendapatkan akses ke kode otorisasi dan dapat menghapus kunci domain apa pun.

Transfer tidak sah sering dimulai dengan akun yang dibobol. Dalam banyak kasus, kredensial akun pelanggan mungkin dibobol. Dalam kasus lain, penyerang menggunakan skema rekayasa sosial yang rumit untuk mengendalikan domain, sering kali memindahkan domain antar akun registrar sebelum mentransfer domain ke registrar lain.

Pembaruan Server Nama

Pembaruan server nama adalah cara lain di mana domain dapat dibobol. Sementara transfer domain biasanya merupakan upaya untuk mengambil alih domain secara permanen, pembaruan server nama lebih bersifat sementara. Namun, meskipun pembaruan biasanya dapat dibatalkan dengan cepat, jenis pembajakan domain ini bisa sangat merusak. Mereka membuka kemungkinan data pelanggan yang dicuri dan traffic email yang disadap. Tetapi yang paling penting: mereka membuka organisasi hingga kerusakan reputasi yang sangat serius.

Penangguhan dan Penghapusan Domain

Sebagian besar penangguhan dan penghapusan domain bukanlah akibat dari aktivitas berbahaya, tetapi lebih sering terjadi karena kesalahan manusia atau kegagalan sistem. Dalam banyak kasus, pelanggan lupa memperbarui domain atau lalai memperbarui metode pembayaran mereka. Dalam kasus lain, registrar secara keliru menangguhkan atau menghapus domain.

Terlepas dari alasannya: akibatnya adalah domain yang tidak lagi diselesaikan.

Meskipun ini tentu bukan satu-satunya cara di mana domain dapat dibobol, hal-hal di atas adalah beberapa yang paling merusak. Kami telah menghabiskan banyak waktu untuk fokus pada jenis pembobolan ini dan bagaimana mencegahnya terjadi.

Pendekatan Berbeda untuk Domain

Seperti sebagian besar orang, kami sudah lama frustrasi dengan keadaan bisnis domain. Jadi ini bukan rodeo pertama kami di sini.

Kami sudah memiliki layanan registrar — Cloudflare Registrar — yang terbuka untuk semua pelanggan Cloudflare. Kami membuatnya sangat mudah untuk dimulai, untuk berintegrasi dengan Cloudflare, dan tidak ada markup pada harga kami — kami berjanji untuk tidak pernah membebankan Anda lebih dari harga grosir yang dikenakan setiap TLD. Tujuannya: tidak ada lagi "umpan dan peralihan" dan "penjualan tanpa akhir" (yang, menurut pelanggan kami, adalah dua istilah paling umum yang terkait dengan industri domain). Sebaliknya, ini adalah registrar yang Anda sukai. Jelas, karena ini adalah Cloudflare, jadi kami memasukkan sejumlah praktik terbaik keamanan ke dalam cara pengoperasiannya juga.

Untuk pelanggan perusahaan kami yang paling menuntut, kami juga memiliki Perlindungan Domain Khusus. Setiap klien yang menggunakan Perlindungan Domain Khusus dapat menentukan proses mereka sendiri untuk memperbarui catatan. Seperti yang kami katakan saat kami memperkenalkannya: “jika klien Perlindungan Domain Khusus ingin kami tidak mengubah catatan domain mereka kecuali enam orang yang berbeda menghubungi kami, secara berurutan, dari serangkaian nomor telepon yang telah ditentukan, masing-masing membaca beberapa kode sandi unik, dan memberi tahu kami rasa es krim favorit mereka, pada hari Selasa yang juga bulan purnama, maka kami akan memberlakukannya. Demikianlah secara harfiah.

Ya, ini aman, tetapi juga bukan solusi yang paling terukur. Akibatnya, kami mengenakan biaya premium untuk itu. Namun, saat kami berbicara dengan pelanggan Enterprise, ada kebutuhan akan sesuatu di antaranya — solusi Goldilocks, bisa dikatakan, yang menawarkan perlindungan tingkat tinggi tanpa harus terlalu dibuat-buat.

Masuk ke Perlindungan Domain Cloudflare.

Pendekatan Kunci Lapis Tiga

Pendekatan kami untuk mengamankan domain dengan Perlindungan Domain cukup mudah: mengidentifikasi berbagai vektor serangan, dan merancang mode keamanan berlapis untuk mengatasi setiap potensi ancaman.

Sebelum kami melihat setiap layer keamanan, penting untuk memahami hubungan antara registrar dan registry, dan bagaimana hal itu memengaruhi keamanan domain. Anda dapat menganggap registry sebagai pedagang grosir nama domain. Mereka mengelola database pusat dari semua domain terdaftar dalam Top-Level-Domain (TLD). Mereka juga bertanggung jawab untuk menentukan harga grosir dan menetapkan kebijakan khusus TLD.

Registrar, di sisi lain, adalah pengecer domain dan bertanggung jawab untuk menjual domain ke pengguna akhir. Dengan setiap pendaftaran, transfer, atau pembaruan, registrar membayar biaya transaksi kepada registry.

Registrar dan registry bersama-sama mengelola pendaftaran domain dalam apa yang disebut Shared Registration System (SRS). Registrar berkomunikasi dengan registry menggunakan standar IETF yang disebut Extensible Provisioning Protocol (EPP). Yang terwujud dalam standar EPP adalah seperangkat status domain yang dapat diterapkan oleh registrar dan registry untuk mengunci domain dan mencegah pembaruan, penghapusan, dan transfer (ke registrar lain).

Registrar dapat menerapkan kunci "klien", sering disebut sebagai Kunci Registrar. Registry menerapkan kunci "server", juga dikenal sebagai Kunci Registry. Penting untuk dicatat bahwa kunci registry selalu menggantikan kunci registrar. Ini berarti bahwa kunci registrar tidak dapat dihapus sampai kunci registry telah dihapus.

Sekarang, mari kita lihat lebih dekat tentang pendekatan yang kami rencanakan.

Kami mulai dengan menerapkan Kunci Registrar EPP ke nama domain. Ini adalah kunci klien EPP yang mencegah pembaruan, transfer, dan penghapusan domain.

Kami kemudian menerapkan kunci internal yang mencegah panggilan API apa pun ke domain tersebut agar tidak diproses. Kunci ini berfungsi di luar EPP dan dirancang untuk melindungi domain jika kunci EPP dilepas, serta situasi di mana operasi dapat dijalankan di luar EPP. Misalnya, di beberapa TLD, data kontak domain hanya disimpan oleh registrar dan tidak pernah dikirimkan ke registry. Dalam kasus ini, penting untuk memiliki mekanisme penguncian non EPP.

Setelah kunci registrar diterapkan, kami akan meminta registry untuk menerapkan Kunci Registry menggunakan prosedur khusus berbasis non-EPP. Penting untuk diperhatikan bahwa tidak semua registry menawarkan Kunci Registry sebagai layanan. Dalam beberapa kasus, kami mungkin tidak dapat menerapkan fitur penguncian terakhir ini.

Terakhir, prosedur verifikasi yang aman akan dibuat untuk menangani permintaan di masa mendatang guna membuka kunci atau memodifikasi domain.

Termasuk di Luar Standar

Tujuan kami adalah menjadikan Perlindungan Domain Cloudflare sebagai solusi aman yang paling dapat diskalakan untuk domain yang tersedia. Kami ingin memastikan bahwa domain yang paling penting bagi pelanggan kami — domain yang sangat penting dan bernilai tinggi — dilindungi dengan aman.

Domain yang memenuhi syarat yang secara eksplisit disertakan dalam kontrak Cloudflare Enterprise dapat disertakan dalam layanan pendaftaran Perlindungan Domain kami tanpa biaya tambahan. Dan, seperti yang kami sebutkan sebelumnya, ini juga akan mencakup biaya pendaftaran dan perpanjangan — jadi tidak hanya mengamankan domain Anda menjadi satu hal yang tidak perlu Anda khawatirkan, tetapi juga pembayarannya.

Tertarik untuk menggunakan Perlindungan Domain Cloudflare ke nama domain Anda? Hubungi pengelola akun Anda dan beri tahu mereka bahwa Anda tertarik. Rincian tambahan akan hadir pada awal Q1, 2022.