Defaults.Exposed › Düzeltmeler › DNSSEC

DNSSEC nasıl düzeltilir

DNSSEC, alan adınızın adres defterine yapıştırılmış dijital bir mühürdür. İnternete, 'Bu alan adı nerede yaşıyor?' sorusunun yanıtının gerçekten sizden geldiğini ve yolda kurcalanmadığını kanıtlamasını sağlar. Bu olmadan yanıt taklit edilebilir — ve ziyaretçileriniz sessizce başka bir yere gönderilebilir.

İşletmeniz için sonuç: DNSSEC olmadan DNS yanıtına müdahale edebilen bir saldırgan, müşterilerinizi sitenizin mükemmel kopyasına yönlendirebilir; tarayıcı hâlâ gerçek alan adınızı gösterirken. Giriş bilgileri, kart numaraları ve kişisel veriler toplanır ve bunu yalnızca geri ödemeler ve şikâyetler geldikten sonra öğrenirsiniz. Yarım bırakılmış kırık bir DNSSEC kurulumu daha da kötüdür: fark edemeyeceğiniz hiçbir hata olmadan ziyaretçilerinizin giderek büyüyen bir dilimi için sitenizi erişilemez hale getirebilir.

Bu size ne mal olabilir

Gerçek alan adınızı yazan ziyaretçiler, adres çubuğu sürekli alan adınızı gösterirken parolalarını ve kart bilgilerini ele geçiren bir sahte siteye sessizce yönlendirilir — dolandırıcılık raporları gelene kadar kimse şüphelenmez.
E-postanız sessizce yeniden yönlendirilir: saldırgan posta sunucularınız için yanıtı taklit eder, mesajları okur veya engeller ve e-posta ile kod gönderen hesaplarda parola sıfırlar — gelen kutunuza hiç dokunmadan.
Yarım yapılandırılmış DNSSEC kurulumu (genel mühür mevcut ama eşleşen anahtar eksik) web sitenizin ve e-postanızın büyük ISS'lerdeki ve kurumsal ağlardaki müşteriler için rastgele başarısız olmasına neden olur — üretemediğiniz aralıklı 'sizin siteniz bende açılmıyor' raporları.
Potansiyel müşterinin güvenlik ekibi sözleşme öncesi kontrol yapar, DNSSEC olmadığını görür ve sizi temel konularda zayıf olarak işaretler — ücretsiz bir ayar yüzünden anlaşmayı riske atar.
Kamu sektörü ve daha büyük B2B alıcılar giderek daha fazla DNSSEC'yi temel beklenti olarak kabul eder (NIS2 gibi yönetmeliklerde belirtilmiştir); yokluğu bir konuşma başlamadan önce bile ihale değerlendirmesinden sizi sessizce çıkarabilir.

Neden önemlidir. DNS internetin adres defteridir ve varsayılan olarak yanıtlar imzasız yolculuk eder — taklit bir yanıt sızdırabilecek herkes müşterilerinizi ve e-postanızı istedikleri yere gönderebilir, tarayıcıda hâlâ gerçek alan adınız görünürken. DNSSEC bu yanıtlara kurcalanmaya karşı dayanıklı mühür koyar, böylece gerçekten sizden geldikleri doğrulanabilir. Düzeltme çoğu sağlayıcıda ücretsizdir; tek gerçek maliyet yanlış yapmaktır — bu yüzden her iki yarıyı da dikkatle anlatıyoruz.

Sade dilde DNSSEC nedir

Biri web sitenizi her ziyaret ettiğinde veya size e-posta gönderdiğinde, bilgisayarı önce internete basit bir soru sorar: “Bu alan adı gerçekte nerede yaşıyor?” Yanıt — siteniz ve posta sunucularınız için adres seti — internet’in adres defteri olan DNS’ten gelir.

İşte rahatsız edici kısım: varsayılan olarak bu yanıtlar imzasız yolculuk eder. Yanıtın gerçek olduğunu kanıtlamak için eklenmiş hiçbir şey yok. Biri o konuşmaya taklit yanıt sızdırabilirse — ve bunu yapmak için iyi bilinen, kanıtlanmış yollar var — ziyaretçinin bilgisayarı bunu mutlu bir şekilde kabul eder. O andan itibaren ziyaretçi, tarayıcısı hâlâ adres çubuğunda sizin alan adınızı gösterirken bir saldırganın sunucusuyla konuşuyor olabilir.

DNSSEC düzeltmedir. DNS yanıtlarınıza kurcalanmaya karşı dayanıklı dijital mühür ekler. DNSSEC açıkken internet, yanıtın gerçekten sizden geldiğini ve yolda değiştirilmediğini matematiksel olarak doğrulayabilir. Taklit yanıt denetimi geçemez ve atılır. Herkesin içine karaladığı adres defteri ile her girişin imzalanıp tanıklık edildiği adres defteri arasındaki fark budur.

Bu sayfa kontrolümüzün birlikte baktığı iki bölümü kapsar: mühürün yayınlanıp yayınlanmadığı (DS kaydı) ve arkasındaki eşleşen anahtarın gerçekten var olup olmadığı (DNSKEY kaydı). Kısaca neden her ikisinin de önemli olduğunu göreceksiniz — çünkü birine diğeri olmadan sahip olmak kendi başına bir sorun türüdür.

Size maliyeti ne olabilir

Görünmez yönlendirme. Saldırgan, alan adınız için DNS yanıtına müdahale eder. Müşteriler gerçek web adresinizi yazar, çubukta gerçek alan adını görür ve saldırgan tarafından barındırılan giriş veya ödeme sayfanızın kusursuz kopyasına iner. Girdikleri her parola ve kart numarası doğrudan suçluya gider. Bunu yalnızca “siteniz aracılığıyla hacklendim” geri ödemeler ve aramaları başladığında duyarsınız — ve iz saldırganın değil, markanıza kadar uzanır.
Sessiz e-posta kesişimi. DNS yalnızca web sitenize işaret etmez; posta sunucularınıza da. O yanıtı taklit edin ve gelen e-posta önce bir saldırgan üzerinden yeniden yönlendirilebilir. Hassas mesajları okurlar, hizmetlerin “siz olduğunuzu doğrulayın” için e-postayla gönderdiği tek kullanımlık kodları toplarlar ve alan adınıza bağlı hesaplarda parolaları sıfırlarlar — posta kutunuza hiç girmeden.
Üretemediğiniz kesinti. Bu yarım bırakılmış DNSSEC kurulumundan gelir. Genel mühür (DS) kayıt şirketinizde duruyor, ama eşleşen anahtar (DNSKEY) eksik veya yanlış. DNSSEC’yi kontrol eden ISS’lerde ve kurumsal ağlarda — ve her yıl daha fazla var — ziyaretçiler alan adınızı hiç çözümleyemiyor. Siteniz ve e-postanız sizin ve teknik ekibiniz için iyi çalışıyor, ama gerçek müşterilerin bir dilimi hiçbir görebileceğiniz hata olmadan “bu siteye ulaşılamıyor” alıyor. Tam olarak içeriden görünmez olduğu için teşhisi en zor sorunlardan biridir.
Kaybedilen anlaşma. Potansiyel müşterinin güvenlik veya tedarik ekibi rutin sözleşme öncesi alan adı taraması yapar. DNSSEC “DNS güvenliği temelleri”nde kırmızı işaret olarak görünür. Ücretsiz, iyi anlaşılmış bir kontrol için yokluğu dikkatsizlik olarak okunur — ve bilmediğiniz tehlikedeki bir sözleşmeye sessizce mal olabilir.
Bile nitelendirmediğiniz ihale. Yönetmelikler ve alıcı kontrol listeleri giderek daha fazla DNSSEC’yi beklenen temel hijyen olarak adlandırır (NIS2’nin DNS güvenliği hükümlerinde başvurulur). Daha büyük B2B ve kamu sektörü alıcıları, yalnızca kutunun işaretlenmemiş olması nedeniyle satış görüşmesi başlamadan önce sizi dışarıda bırakabilir.

Teknik olarak nedir

DNSSEC bir güven zinciri olarak çalışır ve birbirleriyle aynı fikirde olmak zorunda olan iki hareketli parçası vardır. Bu tam da kontrolümüzün neden iki şeye baktığının özüdür.

DNSKEY — anahtarınız. DNS sağlayıcınız kriptografik anahtar tutar ve bunu DNS kayıtlarınızı imzalamak için kullanır. Bu anahtarın genel yarısı DNSKEY kaydı olarak yayınlanır. Bunu sonunuzda tutulan mühür damgası olarak düşünün.

DS kaydı — anahtarı onaylayan parmak izi. Bu anahtarın kısa parmak izi, DS (Delege İmzalayan) kaydı olarak bir seviye yukarıda yayınlanır — alan adınızın kayıt şirketi aracılığıyla. Bu, internet geri kalanının anahtarınıza güvenmesini sağlar: her seviye altındaki için kefil olur, internetin köküne kadar. DS, herkesin tanıyabilmesi için mühürün resmi olarak kaydedilmesidir.

DNSSEC’nin gerçekten sizi koruması için her ikisinin de mevcut olması ve eşleşmesi gerekir:

DS mevcut + DNSKEY mevcut ve eşleşiyor → iyi. Güven zinciri tamamdır. Taklit yanıtlar reddedilir; meşru olanlar doğrulanır. Bu “geçer” durumudur.
DS yok (ve DNSKEY yok) → DNSSEC basitçe açık değil. Koruma yok, ama hiçbir şey kırık değil. Bu en yaygın “henüz yapılmamış” durumudur.
DS mevcut, ama DNSKEY eksik veya eşleşmiyor → kırık ve açık olmaktan daha kötü. İnternet, orada olmayan bir anahtarı gösteren yayınlanmış mühür görür. Doğrulama yapan çözümleyiciler alan adınızın kurcalandığı sonucuna varır ve çözümlemeyi reddeder — yukarıda açıklanan aralıklı kesintilere neden olur. Bu düzeltilmesi en acil durumdur ve kontrolümüz bunu yüksek önem dereceli olarak işaretler.
DNSKEY mevcut, ama kayıt şirketinde DS yok → açık ama etkinleştirilmemiş. Kayıtlarınız imzalanmış, ama parmak izi bir seviye yukarıda hiçbir zaman kaydedilmediği için internet geri kalanının onlara güvenmenin yolu yok. Çalışmayı alıyorsunuz ama korumayı değil. Düzeltme, kayıt şirketinize DS kaydı eklemektir.

Tek satırda “iyi” neye benziyor: kayıt şirketinizde parmak izi DNS sağlayıcınızdaki canlı DNSKEY ile eşleşen DS kaydı, her ikisi de hızlı aramayla onaylanmış.

Nasıl düzeltilir (ücretsiz, ~10–30 dakika)

Bu bölümü alan adınızı veya web sitenizi yöneten kişiye iletin. Düzeltmenin kendisi çoğu sağlayıcıda ücretsizdir — tek maliyet, iki yarının senkronize kalması için dikkatli yapmaktır. Yalnızca doğru etkin kaldığını izlemek isterseniz ücret alıyoruz.

Altın kural: önce imzalamayı etkinleştirin (bu DNSKEY’i oluşturur), ardından DS kaydını kayıt şirketinde yayınlayın — asla tersi sırayla, ve asla biri olmadan diğeri. Anahtar mevcut olmadan DS yayınlamak tam olarak kesintilere neden olan şeydir.

Basit yol (önerilen — Cloudflare):

Cloudflare’de, Cloudflare’nin gerçekten DNS’nizi çalıştırdığından emin olun (ad sunucularınız Cloudflare’ye işaret ediyor).
DNS → Ayarlar → DNSSEC → DNSSEC’yi Etkinleştir bölümüne gidin. Cloudflare anahtarları sizin için oluşturur ve yönetir (bu otomatik olarak DNSKEY tarafını oluşturur).
Cloudflare, kayıt şirketinizde yayınlanacak DS kaydı ayrıntılarını gösterir.
Alan adı kayıt şirketinize (ör. GoDaddy, Namecheap, OVH) giriş yapın ve DNSSEC bölümünü bulun. Cloudflare’nin verdiği DS değerlerini yapıştırın.
Tam yayılma için 24–48 saat bekleyin. Siteniz ve e-postanız boyunca çalışmaya devam eder.

Diğer DNS sağlayıcıları (AWS Route 53, web barındırıcınız vb.):

DNS sağlayıcınızın kontrol panelinde DNSSEC’yi / “bu bölgeyi imzala”yı etkinleştirin. Bu imzalama anahtarlarını oluşturur ve DNSKEY kayıtlarını yayınlar.
Sağlayıcının ürettiği DS kaydını kopyalayın.
Bu DS kaydını DNSSEC ayarları altında kayıt şirketinize ekleyin.
Kayıt şirketinin kabul ettiğini doğrulayın ve yayılmayı bekleyin.

Platform notları:

Cloudflare — tek tıklamalı etkinleştirme, ardından kayıt şirketinde tek DS yapıştırma. En kolay yol açık ara.
AWS Route 53 — barındırılan bölgede DNSSEC imzalamayı etkinleştirin, ardından DS kaydını alan adınızın kayıt şirketinde ekleyin (alan adı Route 53’te kayıtlıysa AWS sizin için bağlantı kurabilir).
Microsoft 365 / Google Workspace — bunlar e-postanızı çalıştırır, genellikle DNS bölgenizi değil. DNSSEC, DNS kayıtlarınızın gerçekte yaşadığı yerde (genellikle kayıt şirketiniz, barındırıcınız veya Cloudflare) etkinleştirilir, 365/Workspace yönetici merkezinde değil.
DNS sağlayıcınız DNSSEC’yi hiç desteklemiyor mu? Bu eski veya bütçe barındırıcılarda yaygın. Temiz düzeltme, DNS yönetimini destekleyen sağlayıcıya taşımak (Cloudflare ücretsiz) ve ardından yukarıdaki basit yolu takip etmektir. DNS taşımak web sitenizi veya e-postanızı taşımayı gerektirmez.

Çalıştığını doğrulayın:

dig DS alanadi.com ve dig DNSKEY alanadi.com çalıştırın — her ikisi de kayıt döndürmeli.
Veya herhangi bir ücretsiz çevrimiçi DNSSEC denetleyicisi kullanın ve yeşil/geçerli güven zincirini doğrulayın.
Her ikisi eşleşen kayıtlar döndürene kadar tamam saymayın. DNSKEY’siz DS kırık durumdur — hemen düzeltin veya kaldırın.

Yaygın hatalar

Anahtar mevcut olmadan DS yayınlamak. Tek en zararlı hata: imzalama DNS sağlayıcısında gerçekten yayında olmadan DS kaydını kayıt şirketine eklemek. Bu, DNSSEC kontrol eden ziyaretçiler için alan adınızı çözümlenemez kılan “yayınlanmış mühür, eksik anahtar” durumunu yaratır. Her zaman önce imzalamayı etkinleştirin, ardından DS yayınlayın.
Sağlayıcı değiştirdikten sonra eski DS bırakmak. DNS sağlayıcısı taşıyorsanız (veya imzalamayı devre dışı bırakıyorsanız) ama kayıt şirketindeki eski DS kaydını kaldırmayı veya güncellemeyi unutursanız, artık mevcut olmayan bir anahtarı gösteriyorsunuz — aynı kırık sonuç. DNSSEC’yi kapatırken veya taşırken, DS’yi kayıt şirketinde aynı değişiklikte güncelleyin.
Birinci adımda durmak. DNS sağlayıcısında imzalamayı etkinleştirip (DNSKEY’i oluşturup) kayıt şirketinde DS’yi hiç eklememiş. DNS kontrol panelinde her şey “açık” görünüyor, ama DS olmadan koruma hiçbir zaman devreye girmiyor. Çalışmayı yaptınız ve faydasını almadınız.
HTTPS veya e-posta kimlik doğrulamasının zaten kapsadığını varsaymak. Asma kilit ve e-posta kimlik doğrulaması (SPF / DKIM / DMARC) değerlidir ama farklı sorunları çözer. Hiçbiri, sahte DNS yanıtının ziyaretçileri en başında yanlış yere göndermesini durdurmaz.
Etkinleştirdikten sonra izlememek. Anahtarlar döndürülür, sağlayıcılar değişir, kayıtlar düzenlenir. Bugün mükemmel olan kurulum aylarca sonra sessizce bozulabilir. DNSSEC etkinleştirmeye değecek kadar önemliyse, periyodik olarak hâlâ geçerli olduğunu kontrol etmeye değer.

Notunuzdaki yeri

Bu kontrollerin her ikisi de DNS Güvenliği puanınıza katkıda bulunur. DS kaydı kontrolü ikisinden daha yüksek öncelikli olarak değerlendirilir: eksik DS gerçek bir açıktır ve başarısız olarak puanlanır. DNSKEY kontrolü zincirin geri kalanının sağlam olduğunu doğrular — yalnızca eşleşen DS ve DNSKEY’in her ikisi de mevcut olduğunda geçer ve tehlikeli “DNSKEY’siz DS” kırık durumunu yüksek önem dereceli olarak işaretler. Temiz “DNSSEC henüz etkinleştirilmemiş” sonucu birçok işletme için yaygın başlangıç noktasıdır; oradan eksiksiz, eşleşen DS + DNSKEY çiftine geçmek, DNS Güvenliği durumunuzu iyileştiren ve kimliğe bürünme ve kesişme için gerçek bir yolu kapatan ücretsiz, iyi anlaşılmış bir yükseltmedir.

Sunucunuzda kurun

Popüler sağlayıcılar için adım adım:

SSS

Teknik bilgim yok — bunu kişisel olarak ele almak zorunda mıyım?

Hayır. Neden önemli olduğunu anlamanız gerekir (bu sayfa bunu kapsar), ama gerçek değişiklik alan adınızın DNS ve kayıt şirketi ayarlarında, dolayısıyla alan adınızı veya web sitenizi yöneten kişiye ait. 'Nasıl düzeltilir?' bölümünü onlara iletin — ücretsizdir ve genellikle yarım saatten az alır. Yalnızca doğru şekilde açık kaldığını izlemek isterseniz ücret alıyoruz.

Sitem zaten asma kilidiniz (HTTPS) varsa korunmuyor muyum?

Farklı şeyleri korurlar. Asma kilit bağlantıyı ziyaretçi doğru sunucuya ulaştıktan sonra güvence altına alır. DNSSEC ondan önceki adımı korur — en başta doğru sunucuya ulaştıklarından emin olur. DNS'nizi taklit eden saldırgan ziyaretçileri kendi sunucusuna gönderebilir; bu sunucu, sahte bir alan adında veya sizinkinin kopyasında kendi geçerli asma kilidine sahip olabilir. Her ikisine de ihtiyacınız var; biri diğerinin yerini tutmaz.

DNSSEC açmak web sitemi veya e-postamı bozabilir mi?

Onu destekleyen bir sağlayıcı tarafından tek bir yerde yapıldığında hayır — modern sağlayıcılar anahtarları sizin için yönetir ve işe yarar. Risk, iki bağlantısız adımda yapmaktan ve yalnızca birini bitirmekten gelir: eşleşen anahtar (DNSKEY) eksik veya yanlış eşleşmişken kayıt şirketinde genel 'mühürü' (DS kaydı) yayınlamak. Bu kırık durum, DNSSEC olmaktan daha kötüdür ve aralıklı kesintilere neden olur. Aşağıdaki adımlar iki yarıyı senkronize tutarak bunun olmamasını sağlar.

Cloudflare / Google Workspace / Microsoft 365 ile barındırıyoruz — bu kapsıyor mu?

Otomatik olarak hayır, ama kolaylaştırıyor. Önemli olan DNS'inizin nerede yönetildiği. Cloudflare DNS'inizi çalıştırıyorsa, tek tıklamalı etkinleştirme artı kayıt şirketinde bir kayıt yapıştırma. Microsoft 365 ve Google Workspace e-postayı yönetir, genellikle DNS bölgenizi değil — DNSSEC, alan adınızın DNS kayıtlarının gerçekte yaşadığı yerde (genellikle Cloudflare, kayıt şirketiniz veya barındırıcınız) etkinleştirilir. Aşağıdaki adımlar yaygın durumları kapsar.

'DS' ve 'DNSKEY' tam olarak nedir — ve bu sayfa neden her ikisini de bahsediyor?

Bunlar tek bir kilidin iki yarısı. DNSKEY, DNS sağlayıcınızın tuttuğu ve kayıtlarınızı imzalamak için kullandığı anahtardır. DS, bu anahtarın parmak izi olup kayıt şirketiniz aracılığıyla bir seviye yukarıda yayınlanır, böylece internet geri kalanı anahtarın gerçekten sizin olduğunu doğrulayabilir. Her ikisi de mevcut olmalı ve eşleşmelidir. Her ikisini de kontrol ediyoruz: eksik DS, DNSSEC'nin açık olmadığı anlamına gelir; eşleşen DNSKEY'siz DS ise açık ama kırık olduğu anlamına gelir.

Ne kadar sürer ve nasıl doğrularım?

Değişikliğin internet genelinde tam yayılması için 24–48 saat bekleyin; doğru yapılırsa mevcut siteniz ve e-postanız boyunca çalışmaya devam eder. Doğrulamak için BT uzmanınız 'dig DS alanadi' ve 'dig DNSKEY alanadi' çalıştırabilir ve her ikisi için kayıtların döndürüldüğünü görebilir ya da herhangi bir ücretsiz çevrimiçi DNSSEC denetleyicisi kullanabilir. Gelecekteki kırılmanın müşteri şikâyet günü değil, olduğu gün yakalanması için sürekli izleyebiliriz.