Defaults.Exposed › Metodoloji
Metodoloji — nasıl derecelendiriyoruz
Her alan adı; e-posta güvenliği, TLS ve sertifikalar, web güvenliği, DNS güvenliği ve altyapı olmak üzere beş kategoride 34 kontrol (derecede sayılan 25 + bilgilendirici 9) kapsamında derecelendirilir. İşte tam olarak nasıl çalıştığı — kapalı kutu yok.
Derecelendirme nasıl çalışır
Her kontrol geçti, başarısız veya N/A döndürür. Bir alan adının puanı, kendisine uygulanan kontrollerde kazandığı puanların oranıdır ve bir harf derecesine dönüştürülür:
| Derece | Puan |
|---|---|
| A+ | %95 + |
| A | %90 + |
| B | %80 + |
| C | %70 + |
| D | %60 + |
| F | %60 altı |
Dereceler aynı zamanda görecelidir — bir yüzdelik, alan adının yalnızca sabit bir kontrol listesine karşı değil, TLD popülasyonuna karşı nerede durduğunu gösterir.
Veri yoksa N/A kuralı (N/A hiçbir zaman başarısız sayılmaz)
Bir kontrol gerçekten değerlendirilemiyorsa (zaman aşımı, gizlenmiş kayıt), N/A olarak işaretlenir ve puandan çıkarılır — hiçbir zaman aleyhinize sayılmaz. Bu, gerçek bir başarısızlıktan farklıdır (SPF yok, HTTPS yok); o gerçek bir başarısızlıktır. SPF/DMARC olmayan bir alan adı düşük puan alır: taklit edilebilir.
İlkeler
- Bağımsız ve harici. İnternetteki herkesin gözlemleyebildiği şeyleri ölçüyoruz — sistemlerinize erişim gerekmez.
- Herkese açıkta yalnızca toplu. TLD'ye, ülkeye, sektöre göre örüntüler yayımlıyoruz. Bireysel bir alan adının derecesi yalnızca doğrulanmış sahibine gösterilir — hiçbir zaman herkese açık değil.
- Şeffaf. Tam kontrol listesi aşağıdadır; düzeltmeler ücretsizdir.
- AB'de işlenen. Veriler AB'de işlenir.
34 kontrol
Her kontrol, işletmeniz için ne anlama geldiği ve derecenize sayılıp sayılmadığı. Tam "size maliyeti + nasıl düzeltilir" rehberi için bir bağlantıya tıklayın.
E-posta güvenliği
Alan adınızın e-postada taklit edilip edilemeyeceği ve kendi postanızın gelen kutusuna ulaşıp ulaşmadığı.
| Kontrol | İşletmeniz için ne anlama gelir | Derecenize dahil mi? |
|---|---|---|
| SPF kaydı | Suçluların sizden geliyormuş gibi görünen e-posta göndermesini durdurur ve postanızın gelen kutusuna ulaşmasına yardımcı olur. | Sayılır |
| SPF politika gücü | Zayıf bir SPF yalnızca uyarır; katı bir SPF sahtecilikleri gerçekten engeller. | Sayılır |
| DMARC politikası | Posta sağlayıcılarına taklit e-postaları reddetmelerini söyleyen talimat — temel kimlik sahteciliği önleme kontrolü. | Sayılır |
| DMARC raporlaması | Sizin adınıza kimin posta gönderdiğini raporlar; böylece kötüye kullanımı ve yanlış yapılandırmayı fark edersiniz. | Sayılır |
| DKIM | Postanın gerçekten sizden geldiğini kanıtlayan kriptografik imza; teslim edilebilirliği artırır. | Sayılır |
| MX kayıtları | Alan adınızın e-posta almak için doğru şekilde ayarlanıp ayarlanmadığı. | Sayılır |
| Ters DNS (PTR) | Posta sunucunuzun meşru görünmesine yardımcı olur; böylece mesajlar çöp kutusuna düşmez. | Sayılır |
TLS ve sertifikalar
Kilit simgesi — sitenize giden trafiğin geçerli ve modern bir sertifikayla şifrelenip şifrelenmediği.
| Kontrol | İşletmeniz için ne anlama gelir | Derecenize dahil mi? |
|---|---|---|
| HTTPS mevcut | Olmadan, tarayıcılar ziyaretçilere "Güvenli değil" uyarısı gösterir ve ayrılırlar. | Sayılır |
| Sertifika geçerli | Güvenilir, doğru düzenlenmiş sertifika; geçersiz biri korkutucu tarayıcı uyarıları oluşturur. | Sayılır |
| Sertifika son kullanma tarihi | Süresi dolmak üzere olan sertifika, sitenizi tam sayfa uyarıyla çevrimdışı bırakır. | Sayılır |
| İmza algoritması | Modern, kırılmamış imzalama algoritması kullanır (eski SHA-1 değil). | Sayılır |
| Anahtar gücü | Şifrelemenin kaba kuvvetle kırılamaması için yeterli anahtar uzunluğu. | Sayılır |
| TLS sürümü | Modern TLS (1.2/1.3); eski sürümler kırık ve güvenlik denetimlerinde başarısız. | Sayılır |
| Şifre gücü | İletim sırasındaki verileri koruyan güçlü şifreleme. | Sayılır |
| TLS sıkıştırma | Bilinen bir saldırı sınıfından kaçınmak için sıkıştırma devre dışı. | Bilgilendirici |
| OCSP zımbalama | Daha hızlı ve daha özel sertifika iptal kontrolleri. | Bilgilendirici |
| Güvenli yeniden müzakere | Bir TLS yeniden müzakere saldırısına karşı korur. | Bilgilendirici |
Web güvenliği
Ziyaretçilerinizin tarayıcılarını yaygın saldırılardan koruyan HTTP başlıkları.
| Kontrol | İşletmeniz için ne anlama gelir | Derecenize dahil mi? |
|---|---|---|
| HSTS | Her ziyarette güvenli kilidi zorlar; müşterilerin güvensiz bağlantıya düşürülmesini engeller. | Sayılır |
| HTTP→HTTPS yönlendirme | http üzerinden gelen ziyaretçileri doğrudan güvenli sürüme yönlendirir. | Sayılır |
| Content-Security-Policy | Ele geçirilmiş veya enjekte edilmiş bir betiğin sitenizden müşteri verisi çalma ihtimalini azaltır. | Sayılır |
| Clickjacking koruması | Saldırganların sitenizi yerleştirerek müşterilerinizi kandırmasını engeller. | Sayılır |
| MIME-sniffing koruması | Tarayıcıların dosyaları saldırganların istismar edebileceği biçimlerde yanlış okumasını engeller. | Sayılır |
| Referrer-Policy | Ziyaretçiler başka sitelere tıkladığında hangi adres bilgisinin sızdığını kontrol eder. | Sayılır |
| Cross-origin başlıkları (COOP/CORP/COEP) | Siteler arası veri sızıntılarına karşı güçlendiren gelişmiş izolasyon. | Bilgilendirici |
DNS güvenliği
Alan adınızın temellerinin ele geçirilip geçirilemeyeceği veya çevrimdışı bırakılıp bırakılamayacağı.
| Kontrol | İşletmeniz için ne anlama gelir | Derecenize dahil mi? |
|---|---|---|
| CAA kayıtları | Seçtiğiniz sağlayıcı dışında kimsenin alan adınız için SSL sertifikası düzenlememesini sağlar. | Sayılır |
| DNSSEC (DS) | Saldırganların alan adınızı ele geçirerek ziyaretçileri sahte bir kopyaya yönlendirmesini engeller. | Sayılır |
| DNSSEC (DNSKEY) | DNSSEC korumasının gerçekten çalışmasını sağlayan imzalama anahtarı. | Sayılır |
| Ad sunucusu çeşitliliği | Birden fazla bağımsız ad sunucusu; bir kesinti sizi çevrimdışı bırakmaz. | Sayılır |
| SOA yapılandırması | Doğru yapılandırılmış DNS "yetki başlangıcı" kaydı. | Sayılır |
| IPv6 desteği | Modern internet protokolü üzerinden erişilebilir. | Bilgilendirici |
Altyapı
Sitenizin nerede ve nasıl barındırıldığına ilişkin bağlam (bilgilendirici — bunlar derecenizi hiçbir zaman değiştirmez).
| Kontrol | İşletmeniz için ne anlama gelir | Derecenize dahil mi? |
|---|---|---|
| CDN / WAF tespiti | Bir içerik dağıtım ağının / web uygulama güvenlik duvarının sitenizi koruyup korumadığı. | Bilgilendirici |
| Barındırma sağlayıcısı | Sitenizin nerede barındırıldığını belirler. | Bilgilendirici |
Kendi alan adınızın 34 kontrolün tamamında nerede durduğunu görmek ister misiniz? Ücretsiz kontrolü çalıştırın → (gizli; bir alan adının derecesini yalnızca doğrulanmış sahibine gösteriyoruz).