Defaults.Exposed

Defaults.Exposed › Raporlar

DNSSEC Nedir — ve Ona Gerçekten İhtiyacınız Var mı? (2026)

Yayımlanma 2026-07-01

Veriler 2026-06-29 tarihi itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelindeki toplu nüfus sayımı verileri. DNSSEC, DNS’e kriptografik imzalar ekler; böylece bir çözücü, bir yanıtın gerçekten sizden geldiğini ve değiştirilmediğini kanıtlayabilir. Nasıl derecelendirdiğimize bakın.

DNSSEC, alan adınıza ait her DNS yanıtını bir imzayla damgalar; böylece bir saldırgan sessizce sahte bir yanıtı yerleştirip ziyaretçilerinizi başka bir yere yönlendiremez. Bu, web üzerinde en az benimsenen denetimlerden biridir: 261 milyon alan adının yalnızca %1.99‘sinde geçerli, imzalı bir zincir vardır. Aynı zamanda, kötü bir yapılandırmanın hiç olmamasından daha kötü olduğu az sayıdaki denetimden biridir — alan adlarının %3.02‘si imzalanmış ancak bozuktur ve bu, onları erişilemez hale getirebilir. İşte neye yaradığı ve ona ihtiyacınız olup olmadığı.

DNSSEC gerçekte neye karşı koruma sağlar

Düz DNS’in bir yanıtın gerçek olduğunu kanıtlamak için hiçbir yolu yoktur. Bu durum önbellek zehirlenmesine ve yol üstü DNS sahteciliğine kapı açar — bir saldırgan, bir çözücüye sahte bir kayıt besleyip ziyaretçilerinizi veya e-postanızı kendi sunucusuna yönlendirir; üstelik bunu ele veren hiçbir sertifika uyarısı olmadan. DNSSEC, kayıtları imzalayarak bu boşluğu kapatır; böylece doğrulama yapan bir çözücü, doğrulanamayan her şeyi reddeder.

Yapmadığı şey ise şudur: DNS’i şifrelemez, web sitesinin kendisini güvenceye almaz ve HTTPS, DMARC ya da CAA yerine geçmez. Yalnızca tek bir katmandır — DNS yanıtlarının bütünlüğü.

Benimsenme tablosu

Alan adı uzantısına göre geçerli DNSSEC oranı geniş bir aralıkta değişir: .se’de %18.38, .nl’de %11.86, .cz’de %14.62 — buna karşılık .com’da yalnızca %1.62.

Ona ihtiyacınız var mı?

Güvenli şekilde nasıl etkinleştirilir

  1. DNSSEC’i otomatikleştiren bir DNS sağlayıcısı kullanın — imzalama ve anahtar değişimleri sizin yerinize halledilir (çoğu büyük sağlayıcı artık bunu tek tıkla yapıyor). DNSSEC’i düzeltin yazısına bakın.
  2. İmzalamayı etkinleştirin, ardından güven zincirini tamamlamak için kayıt operatörünüzde DS kaydını yayımlayın.
  3. İşinizi bitirip ayrılmadan önce zincirin çözümlendiğini doğrulayın — imzalı ama bozuk bir alan adı, imzasız olandan daha kötüdür.
  4. Anahtarları güvenilir biçimde döndürmek için gerekli araçlara sahip olmadıkça asla anahtarları elle yönetmeyin.

Sıkça sorulan sorular

Basit ifadeyle DNSSEC nedir? DNS kayıtlarınız üzerindeki bir dizi dijital imzadır; böylece çözücüler yanıtın gerçek olduğunu ve aktarım sırasında taklit edilmediğini kanıtlayabilir.

DNSSEC’e gerçekten ihtiyacım var mı? En çok değeri, yüksek hedefli alan adları için ve uyumluluğun bunu istediği yerlerde sunar. Herkes için, DNS sağlayıcınız bunu otomatikleştiriyorsa iyi bir sağlamlaştırma adımıdır — başlıca risk, şu anda alan adlarının %3.02‘sinde bulunan bir yanlış yapılandırmadır.

DNSSEC DNS’imi şifreler mi? Hayır. Bütünlüğü kanıtlar (yanıt gerçektir) ancak sorguyu gizlemez. Bu, farklı bir teknolojidir (DoH/DoT).

DNSSEC web sitemi bozabilir mi? Bozuk veya süresi dolmuş bir imza, doğrulama yapan bir çözücü kullanan herkes için alan adınızı çözümlenemez hale getirebilir. Otomatik imzalama ve anahtar değişiminin önemli olmasının nedeni budur.

DNSSEC ücretsiz mi? Çoğu modern DNS sağlayıcısında evet — bu bir satın alma değil, bir ayardır.

Alan adınızın DNSSEC durumunu ücretsiz kontrol edin

Alan adınızın imzalı, geçerli ve doğru şekilde zincirlenmiş olup olmadığını görün — gizli biçimde ve yalnızca sahibine özel.

Alan adınızı kontrol edin → · DNSSEC’i düzeltin → · Zorunlu DNSSEC işe yarıyor mu? → · Nasıl derecelendiriyoruz → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.