Defaults.Exposed › Raporlar
DNSSEC Nedir — ve Ona Gerçekten İhtiyacınız Var mı? (2026)
Yayımlanma 2026-07-01
Veriler 2026-06-29 tarihi itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelindeki toplu nüfus sayımı verileri. DNSSEC, DNS’e kriptografik imzalar ekler; böylece bir çözücü, bir yanıtın gerçekten sizden geldiğini ve değiştirilmediğini kanıtlayabilir. Nasıl derecelendirdiğimize bakın.
DNSSEC, alan adınıza ait her DNS yanıtını bir imzayla damgalar; böylece bir saldırgan sessizce sahte bir yanıtı yerleştirip ziyaretçilerinizi başka bir yere yönlendiremez. Bu, web üzerinde en az benimsenen denetimlerden biridir: 261 milyon alan adının yalnızca %1.99‘sinde geçerli, imzalı bir zincir vardır. Aynı zamanda, kötü bir yapılandırmanın hiç olmamasından daha kötü olduğu az sayıdaki denetimden biridir — alan adlarının %3.02‘si imzalanmış ancak bozuktur ve bu, onları erişilemez hale getirebilir. İşte neye yaradığı ve ona ihtiyacınız olup olmadığı.
DNSSEC gerçekte neye karşı koruma sağlar
Düz DNS’in bir yanıtın gerçek olduğunu kanıtlamak için hiçbir yolu yoktur. Bu durum önbellek zehirlenmesine ve yol üstü DNS sahteciliğine kapı açar — bir saldırgan, bir çözücüye sahte bir kayıt besleyip ziyaretçilerinizi veya e-postanızı kendi sunucusuna yönlendirir; üstelik bunu ele veren hiçbir sertifika uyarısı olmadan. DNSSEC, kayıtları imzalayarak bu boşluğu kapatır; böylece doğrulama yapan bir çözücü, doğrulanamayan her şeyi reddeder.
Yapmadığı şey ise şudur: DNS’i şifrelemez, web sitesinin kendisini güvenceye almaz ve HTTPS, DMARC ya da CAA yerine geçmez. Yalnızca tek bir katmandır — DNS yanıtlarının bütünlüğü.
Benimsenme tablosu
- %1.99 imzalı ve geçerli.
- %3.02 imzalı ancak bozuk — doğrulamayı geçemeyen bir imza; bu, doğrulama yapan bir çözücü kullanan herkes için alan adını düşürebilir. İnsanları temkinli kılan risk budur.
- Bir kayıt kuruluşunun bunu etkin biçimde teşvik ettiği yerlerde benimsenme çok daha yüksektir: kayıt kuruluşu odaklı ülke uzantıları %9.1 geçerlilik oranına ulaşırken, diğer ülke uzantıları genelinde bu oran %1.3‘dir. Benimsenme, teknik bir sınır değil, bir politika kaldıracıdır. Zorunlu DNSSEC işe yarıyor mu ve DNSSEC paradoksu yazılarına bakın.
Alan adı uzantısına göre geçerli DNSSEC oranı geniş bir aralıkta değişir: .se’de %18.38, .nl’de %11.86, .cz’de %14.62 — buna karşılık .com’da yalnızca %1.62.
Ona ihtiyacınız var mı?
- Daha yüksek değerli veya hedef alınan alan adları — bankalar, kamu kurumları, altyapı ve kullanıcıları veya e-postayı yönlendirmenin ciddi bir kazanç olduğu her şey — en çok fayda görür.
- Uyumluluk odaklı kuruluşlar — DNSSEC, güvenlik anketlerinde ve bazı sektör kurallarında giderek daha fazla yer almaktadır.
- Herkes için — DNS sağlayıcınız bunu tek tıkla mümkün kılıyor ve anahtar değişimlerini sizin adınıza yönetiyorsa makul bir sağlamlaştırma adımıdır. Etkinleştirmek, yanlış yapabileceğiniz anahtarları elle yönetmek anlamına geliyorsa, bozuk imza riski gerçektir — bunu yalnızca otomatikleştirildiği yerlerde yapın.
Güvenli şekilde nasıl etkinleştirilir
- DNSSEC’i otomatikleştiren bir DNS sağlayıcısı kullanın — imzalama ve anahtar değişimleri sizin yerinize halledilir (çoğu büyük sağlayıcı artık bunu tek tıkla yapıyor). DNSSEC’i düzeltin yazısına bakın.
- İmzalamayı etkinleştirin, ardından güven zincirini tamamlamak için kayıt operatörünüzde DS kaydını yayımlayın.
- İşinizi bitirip ayrılmadan önce zincirin çözümlendiğini doğrulayın — imzalı ama bozuk bir alan adı, imzasız olandan daha kötüdür.
- Anahtarları güvenilir biçimde döndürmek için gerekli araçlara sahip olmadıkça asla anahtarları elle yönetmeyin.
Sıkça sorulan sorular
Basit ifadeyle DNSSEC nedir? DNS kayıtlarınız üzerindeki bir dizi dijital imzadır; böylece çözücüler yanıtın gerçek olduğunu ve aktarım sırasında taklit edilmediğini kanıtlayabilir.
DNSSEC’e gerçekten ihtiyacım var mı? En çok değeri, yüksek hedefli alan adları için ve uyumluluğun bunu istediği yerlerde sunar. Herkes için, DNS sağlayıcınız bunu otomatikleştiriyorsa iyi bir sağlamlaştırma adımıdır — başlıca risk, şu anda alan adlarının %3.02‘sinde bulunan bir yanlış yapılandırmadır.
DNSSEC DNS’imi şifreler mi? Hayır. Bütünlüğü kanıtlar (yanıt gerçektir) ancak sorguyu gizlemez. Bu, farklı bir teknolojidir (DoH/DoT).
DNSSEC web sitemi bozabilir mi? Bozuk veya süresi dolmuş bir imza, doğrulama yapan bir çözücü kullanan herkes için alan adınızı çözümlenemez hale getirebilir. Otomatik imzalama ve anahtar değişiminin önemli olmasının nedeni budur.
DNSSEC ücretsiz mi? Çoğu modern DNS sağlayıcısında evet — bu bir satın alma değil, bir ayardır.
Alan adınızın DNSSEC durumunu ücretsiz kontrol edin
Alan adınızın imzalı, geçerli ve doğru şekilde zincirlenmiş olup olmadığını görün — gizli biçimde ve yalnızca sahibine özel.
Alan adınızı kontrol edin → · DNSSEC’i düzeltin → · Zorunlu DNSSEC işe yarıyor mu? → · Nasıl derecelendiriyoruz → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.