Defaults.Exposed › Kurulum › DNSSEC

Cloudflare'de DNSSEC nasıl kurulur

Cloudflare'de DNSSEC'i etkinleştirin ve DS kaydını kayıt şirketinize ekleyerek DNS yanıtlarınızın kimse tarafından taklit edilmesini önleyin.

Bu işletmeniz için neden önemlidir

Birisi alan adınızı yazığında veya size e-posta gönderdiğinde bilgisayarı DNS sistemine doğru adresi sorar. Bu yanıtlar normalde imzasız iletilir; bu da onları kurcalayabilen bir saldırganın ziyaretçilerinizi sessizce sahte bir web sitesine yönlendirebileceği ya da e-postanızı kendi sunucusuna aktarabileceği anlamına gelir. Müşterileriniz bu süre boyunca adres çubuğunda gerçek alan adınızı görmeye devam eder.

DNSSEC bu açığı kapatır. DNS yanıtlarınızı kriptografik olarak imzalar; böylece sizi arayan kişi yanıtın gerçekten sizden geldiğini ve yol boyunca değiştirilmediğini kanıtlayabilir. Açık söylemek gerekirse: alan adı ele geçirmeyi ve her şeyin üzerine kurulu temele yönelik aramaları zehirlemeyi durduran korumalardan biridir. Ücretsizdir ve aktifleştirebileceğiniz en güçlü korumalardan biridir.

DNSSEC nasıl çalışır (adımlar anlam kazansın diye)

DNSSEC’in iki yarısı iki ayrı yerde bulunur:

• DNS sunucunuz (Cloudflare) kayıtlarınızı imzalar ve genel anahtarları (DNSKEY) ile bunların küçük bir parmak izi olan DS kaydını yayınlar.
• Kayıt şirketiniz (alan adını satın aldığınız ve yenilediğiniz yer) bu DS kaydını üst bölgeye (örn. .com) yükler.

Kayıt şirketindeki DS kaydı, güven zincirinin halkasıdır. Cloudflare tüm gün imzalayabilir; ancak eşleşen DS kaydı kayıt şirketinize yerleştirilene kadar daha geniş internet bu imzalara güvenmek için imzalanmış bir yola sahip değildir. Dolayısıyla iş iki adımdır: Cloudflare’de açın, ardından DS kaydını kayıt şirketinize iletin.

Gerçek risk — bunu dikkatli yapın

DNSSEC yanlış yapılırsa tüm alan adınızı çevrimdışı bırakabilir. Bu iki şekilde olur:

• Kayıt şirketinde yayınlanan DS kaydının DNS sunucunuzun gerçekte kullandığı imzayla eşleşmemesi.
• DNS’inizi farklı bir sunucuya taşımak (veya Cloudflare’i kapatmak) sırasında kayıt şirketindeki DS kaydını önce kaldırmamak — eski DS kaydı artık var olmayan imzaları talep etmeye devam eder ve aramalar başarısız olmaya başlar.

Aşağıdaki akışı sırayla takip ettiğiniz ve Cloudflare hâlâ imzalama sunucunuzken kayıt şirketindeki DS kaydını silmediğiniz sürece bunların hiçbiri tehlikeli değildir. Cloudflare’den ayrılmayı planlıyorsanız önce DNSSEC’i devre dışı bırakıp kayıt şirketindeki DS kaydını kaldırın, sonra taşıyın.

Cloudflare’in DNS’inizi yönettiğini doğrulayın

Bu yalnızca Cloudflare alan adınız için DNS sorgularını yanıtlıyorsa işe yarar. Cloudflare DNS sunucunuzdur, alan adını satın aldığınız şirket olmak zorunda değildir. Cloudflare’in DNS’i yalnızca alan adınızın name server’ları pano gösterge tablonuzda gösterilen Cloudflare name server’larına işaret ettiğinde etkindir. Cloudflare’de alan adınızı açın ve Overview sayfasını kontrol ederek Cloudflare’in etkin olduğunu onaylayın. Name server’lar başka bir yere işaret ediyorsa DNSSEC’i DNS’inizi yöneten sağlayıcıda etkinleştirin.

Cloudflare’de adım adım

1. Cloudflare’e giriş yapın ve alan adınızı seçin.
2. Sol menüden DNS’e, ardından Settings’e gidin (eski panolar DNSSEC bölümünü doğrudan DNS altında gösterebilir).
3. DNSSEC bölümünü bulun ve Enable DNSSEC düğmesine tıklayın.
4. Cloudflare bir değerler paneli gösterecektir — önemli olan DS kaydıdır. Genellikle Key Tag, Algorithm, Digest Type, Digest ve hazır tek satırlık bir DS kaydı alanları görürsünüz. Bu paneli açık bırakın; bu değerleri kayıt şirketinize kopyalamanız gerekiyor.
5. Şimdi kayıt şirketinize giriş yapın (alan adını yenilediğiniz şirket — bu Cloudflare olabilir ya da olmayabilir).
6. Kayıt şirketinizdeki alan adı için DNSSEC veya DS kaydı bölümünü bulun ve Cloudflare’in verdiği değerleri kullanarak yeni bir DS kaydı ekleyin:
   • Key Tag — Cloudflare’in gösterdiği sayı.
   • Algorithm — genellikle 13 (ECDSA P-256 SHA-256).
   • Digest Type — genellikle 2 (SHA-256).
   • Digest — tam olarak kopyalanmış uzun onaltılık dize.
7. Kayıt şirketinde kaydedin. Kayıt şirketiniz ayrı alanlar yerine tek bir birleşik DS kaydı satırı yapıştırmanıza izin veriyorsa Cloudflare’in gösterdiği tam DS satırını kullanın.
8. Cloudflare’e geri dönün; kayıt şirketi DS kaydını kabul ettikten sonra Cloudflare’in DNSSEC durumu active (etkin) olarak güncellenecektir (bu bir süre alabilir).

Cloudflare’de insanların sık yaptığı hatalar

• İki sistem, tek değil. DNSSEC’i yalnızca Cloudflare’de etkinleştirmek tek başına hiçbir şey yapmaz — DS kaydının kayıt şirketine de yerleştirilmesi gerekir. İnsanlar 3. adımdan sonra durup neden hiçbir zaman etkin olmadığını merak eder.
• Özeti tam olarak kopyalayın. Digest’teki tek yanlış veya eksik karakter, kayıt şirketinin DS kaydının Cloudflare’in imzalarıyla eşleşmeyeceği anlamına gelir; bu da alan adını çevrimdışı bırakan tam yanlış yapılandırmadır. Kopyalayıp yapıştırın; asla yeniden yazmayın.
• Algoritma ve özet türü numaralarını eşleştirin. Kayıt şirketiniz bunları ayrı ayrı soruyorsa Cloudflare’in gösterdiği değerleri kullanın — tahmin etmeyin.
• Cloudflare aynı zamanda kayıt şirketinizse DS adımı dahili olarak yönetilir ve ayrı bir kayıt şirketi formu görmeyebilirsiniz — ancak varsaymadan önce DNSSEC’in etkin olarak göründüğünü onaylayın.
• Cloudflare hâlâ imzalanıyorken DS kaydını asla kaldırmayın. Ve DNS’inizi Cloudflare’den taşıyacaksanız önce DNSSEC’i devre dışı bırakıp kayıt şirketindeki DS kaydını temizleyin, sonra taşıyın.
• Süre tanıyın. DNSSEC değişikliklerinin tam yayılması ve etkin olarak görünmesi birkaç dakika ile bir güne kadar sürebilir.

Çalıştığını doğrulayın

DNSSEC Cloudflare’de etkin olarak göründüğünde ve DS kaydı kayıt şirketinizde yerindeyken bu sitedeki ücretsiz kontrolü çalıştırın. DNSSEC’in alan adınız için doğru yayınlanıp yayınlanmadığını ve güvenilip güvenilmediğini sade bir dille size söyler.

Tamam mı? Alan adınızı ücretsiz kontrol edin çalıştığını onaylamak — ve 34 kontrolün tamamında tam derecenizi görmek için.