DNSSEC (DNS Security Extensions), DNS yanıtlarını dijital imzayla doğrulayarak, aldığınız DNS cevabının gerçekten yetkili sunucudan geldiğini ve yolda değiştirilmediğini garanti eden bir güvenlik katmanıdır. Klasik DNS’in en büyük açığını — yanıtların imzasız ve sahtelenebilir olmasını — kapatır.
Bu yazıda DNS’in neden güvensiz olduğunu, DNSSEC’in bunu nasıl çözdüğünü, hangi kayıtları (DNSKEY, RRSIG, DS) kullandığını ve alan adınızda DNSSEC’i nasıl etkinleştireceğinizi adım adım ele alıyoruz. Alan adınızın DNSSEC durumunu WHOIS Sorgulama aracıyla anında kontrol edebileceğinizi de göstereceğiz.
Klasik DNS Neden Güvensizdir?
DNS, alan adlarını IP adreslerine çeviren internetin telefon rehberidir; nasıl çalıştığını DNS kayıt tipleri rehberimizde ve DNS çözümleme yazımızda ele almıştık. Sorun şu: klasik DNS 1980’lerde tasarlandı ve yanıtları imzalanmaz. Bir resolver bir alan adı sorduğunda, dönen cevabın gerçekten yetkili sunucudan gelip gelmediğini kriptografik olarak doğrulayamaz.
Bu açık, DNS cache poisoning (önbellek zehirlenmesi) saldırısına kapı aralar: saldırgan, resolver’a sahte bir DNS yanıtı enjekte ederek belirli bir alan adını kendi kontrolündeki bir IP’ye yönlendirebilir. Kurban bankam.com yazar, adres çubuğu doğru görünür ama aslında saldırganın sunucusuna gider. Bu, oltalama ve ortadaki-adam (MITM) saldırılarının çok güçlü bir biçimidir.
DNSSEC Bu Sorunu Nasıl Çözer?
DNSSEC, her DNS yanıtına bir dijital imza ekler. Alan adı sahibi kayıtlarını özel anahtarıyla imzalar; resolver ise karşılık gelen genel anahtarla bu imzayı doğrular. İmza tutuyorsa yanıt gerçek ve değiştirilmemiştir; tutmuyorsa resolver yanıtı reddeder.
Kritik nokta şudur: DNSSEC bir güven zinciri oluşturur. Kök bölge (root), TLD’yi (örn. .com) imzalar; TLD, sizin alan adınızın anahtarını imzalar; siz de kendi kayıtlarınızı imzalarsınız. Bu zincir, kökten alan adınıza kadar kesintisiz uzanır — tıpkı SSL sertifikalarındaki güven zinciri gibi. Zincirin her halkası bir üstteki tarafından doğrulanır.
Önemli bir ayrım: DNSSEC gizlilik sağlamaz. DNS trafiğini şifrelemez, yalnızca bütünlüğünü ve doğruluğunu garanti eder. Trafiği şifrelemek (gizlilik) için DoH/DoT (Şifreli DNS) kullanılır. İkisi farklı amaçlara hizmet eder ve birlikte kullanılabilir: DoH/DoT “kimse dinlemesin”, DNSSEC “kimse kandırmasın” der.
DNSSEC Kayıtları: DNSKEY, RRSIG, DS ve NSEC
DNSSEC birkaç yeni kayıt tipi ekler:
- DNSKEY — Alan adınızın imza doğrulaması için kullanılan genel anahtarını tutar. İki tür anahtar vardır: ZSK (Zone Signing Key) kayıtları imzalar, KSK (Key Signing Key) ise DNSKEY setini imzalar.
- RRSIG — Her kayıt kümesinin (A, MX, TXT vb.) dijital imzasıdır. Resolver, kaydı ve RRSIG’i birlikte alıp DNSKEY ile doğrular.
- DS (Delegation Signer) — Üst bölgeye (TLD/registry) konulan, sizin KSK’nizin özetidir (hash). Güven zincirini kuran halka budur: TLD, sizin anahtarınıza DS kaydıyla “güveniyorum” der.
- NSEC / NSEC3 — Bir kaydın gerçekten var olmadığını kanıtlar (authenticated denial of existence). Sahte “kayıt yok” yanıtlarını engeller.
Pratikte en kritik adım, DNS sağlayıcınızın ürettiği DS kaydını registrar’a (alan adı firmanıza) eklemektir; güven zinciri ancak o zaman tamamlanır.
DNSSEC Nasıl Etkinleştirilir?
Süreç sağlayıcıya göre değişse de temel adımlar şunlardır:
- DNS sağlayıcınızda DNSSEC’i açın. Cloudflare, Route 53, Google Cloud DNS ve çoğu modern panelde tek tıkla imzalama (zone signing) yapılır; sağlayıcı DNSKEY ve RRSIG kayıtlarını otomatik üretir.
- DS kaydını alın. Sağlayıcı size bir DS kaydı (key tag, algoritma, digest tipi ve digest değeri) verir.
- DS kaydını registrar’a girin. Alan adınızı tescil ettiğiniz firmanın panelinde “DNSSEC” bölümüne bu DS kaydını ekleyin. Bu, TLD’ye “benim anahtarıma güven” demektir.
- Doğrulayın. Yayılım (birkaç saat) sonrası güven zincirinin kurulduğunu kontrol edin.
Dikkat: DNS sağlayıcınızı değiştirirken veya anahtar döndürürken (key rollover) DS kaydını doğru sırayla güncellemezseniz, alan adınız DNSSEC doğrulayan resolver’larda tamamen çözümlenemez hâle gelir (SERVFAIL) — yani site erişilemez olur. Bu yüzden sağlayıcı geçişlerini planlı yapın.
DNSSEC Durumunu Nasıl Kontrol Edersiniz?
Alan adınızda DNSSEC’in etkin olup olmadığını görmek kolaydır:
- WHOIS Sorgulama — Alan adı sorgusunda DNSSEC’in imzalı (signed) olup olmadığı gösterilir; registrar tarafındaki DS delegasyonunu yansıtır.
- DNS Sorgulama — Alan adınızın DNS kayıtlarını ve yapılandırmasını inceleyin.
- DNS Trace — Çözümleme zincirini kökten yetkiliye adım adım izleyerek delegasyonun sağlıklı olduğunu doğrulayın.
Komut satırında ise dig +dnssec example.com ile RRSIG kayıtlarını, dig DS example.com ile de üst bölgedeki DS kaydını görebilirsiniz.
DNSSEC’in Sınırları ve Yaygın Yanılgılar
- Gizlilik sağlamaz: Yukarıda belirttiğimiz gibi trafiği şifrelemez; bunun için DoH/DoT gerekir.
- Sunucu güvenliğini sağlamaz: DNSSEC yalnızca DNS yanıtının doğruluğunu garanti eder; hedef sunucunun kendisi ele geçirilmişse koruma sağlamaz.
- Uygulama karmaşıktır: Yanlış anahtar yönetimi siteyi tamamen erişilemez yapabilir; bu, DNSSEC’in yavaş yayılmasının başlıca sebebidir.
- Her yerde doğrulanmaz: DNSSEC koruması, kullanıcının resolver’ının da DNSSEC doğrulaması yapmasına bağlıdır (büyük halka açık resolver’lar yapar).
Özetle
DNSSEC, klasik DNS’in imzasız yapısından kaynaklanan cache poisoning ve DNS sahteciliği açıklarını kapatan güçlü bir güvenlik katmanıdır. Alan adınız için etkinleştirmek, ziyaretçilerinizi sahte yönlendirmelere karşı korur ve markanızın bütünlüğünü güçlendirir. Ancak anahtar yönetimi titizlik ister; sağlayıcı geçişlerinde DS kaydını doğru yönetin.
DNSSEC ve DNS yapılandırmanızı WHOIS, DNS Sorgulama ve DNS Trace araçlarımızla denetleyebilirsiniz. Güvenilir DNS ve alan adı hizmetleri için İHS Telekom‘u inceleyebilirsiniz.