Makale Başlıkları
DNS, internetin telefon rehberidir; yazdiginiz alan adini bir IP adresine cevirir. Ne var ki bu rehber, 1980’lerin sonunda guven sorununu hic dusunmeden tasarlandi. Bir DNS yaniti size ulastiginda, tarayiciniz onun gercekten dogru sunucudan geldigini ve yolda degistirilmedigini matematiksel olarak dogrulayamaz. Iste DNSSEC tam da bu acigi kapatmak icin var. Bu yazida DNSSEC’in ne oldugunu, hangi kayit turleriyle calistigini, guven zincirinin nasil kuruldugunu ve kendi alan adiniz icin nasil etkinlestirebileceginizi sahadan birinin gozunden anlatacagim.
DNSSEC Nedir?
DNSSEC, acilimiyla Domain Name System Security Extensions (Alan Adi Sistemi Guvenlik Uzantilari), klasik DNS protokolune eklenen bir dizi standardin adidir. Tek bir cumleyle ozetlemek gerekirse: DNSSEC, DNS yanitlarini kriptografik imzalarla muhurleyerek, bir cozumleyicinin (resolver) aldigi cevabin gercekten yetkili sunucudan geldigini ve yolda hic degistirilmedigini dogrulamasini saglar.
Burada en sik yapilan yanlis anlamayi hemen duzeltelim: DNSSEC bir sifreleme teknolojisi degildir. DNS sorgularinizi gizlemez, kimsenin hangi siteyi ziyaret ettiginizi gormesini engellemez. Onun isi mahremiyet degil, butunluk ve kaynak dogrulamasidir. Yani “Bu cevap dogru mu, dokunulmus mu?” sorusuna yanit verir; “Bu cevabi baskasi gormesin” islevi DNS over HTTPS (DoH) veya DNS over TLS (DoT) gibi ayri teknolojilerin isidir. Ikisi birbirini tamamlar ama farkli problemleri cozer.
Hangi Problemi Cozuyor?
Klasik DNS’in en buyuk zaafi, yanitlarin imzasiz ve dogrulanamaz olmasidir. Bu durum iki klasik saldiri turune kapi acar:
- DNS cache poisoning (onbellek zehirlenmesi): Saldirgan, bir cozumleyici sunucunun onbellegine sahte bir kayit enjekte eder. Boylece kullanici “bankam.com” yazdiginda, hicbir uyari almadan saldirganin sunucusuna yonlendirilir. Adres cubugunda dogru alan adi gorunur, ama arkadaki IP yanlistir.
- Man-in-the-middle (ortadaki adam) yonlendirmesi: Ag uzerindeki bir saldirgan, DNS cevabini yolda yakalayip degistirir ve trafigi kendi kontrol ettigi bir hedefe kaydirir.
2008’de guvenlik arastirmacisi Dan Kaminsky’nin acikladigi onbellek zehirlenmesi zafiyeti, bu tehdidin teorik degil son derece gercek oldugunu butun internete gosterdi. DNSSEC, imza dogrulamasi sayesinde bu sahte kayitlarin cozumleyici tarafindan reddedilmesini saglar: imza tutmuyorsa yanit gecersizdir, nokta.
DNSSEC Nasil Calisir? Imza ve Dogrulama Mantigi
DNSSEC’in temelinde asimetrik (acik anahtar) kriptografi yatar. Her DNS bolgesinin (zone) bir gizli anahtari ve bir acik anahtari vardir. Bolge sahibi, kayitlarini gizli anahtarla imzalar; cozumleyici ise acik anahtarla bu imzayi dogrular. Bu mantik, fiziksel bir mektubu mumlu muhurle kapatmaya benzer: muhur bozulmamissa icerigin yolda acilmadigini bilirsiniz.
Pratikte bu islem birkac yeni DNS kayit turu uzerinden yurur. Bunlari taniyalim:
| Kayit Turu | Acilimi | Gorevi |
|---|---|---|
| RRSIG | Resource Record Signature | Bir kayit kumesinin (orn. tum A kayitlari) dijital imzasini tasir. Her imzali yanitin yaninda gelir. |
| DNSKEY | DNS Public Key | Bolgenin acik anahtarlarini barindirir; cozumleyici imzalari bununla dogrular. |
| DS | Delegation Signer | Cocuk bolgenin anahtarinin ozetini (hash) tutar; ust bolgede yayinlanir ve guven zincirini kurar. |
| NSEC / NSEC3 | Next Secure | “Bu kayit yok” yanitini bile imzalayarak, var olmayan kayitlarin guvenli sekilde reddini saglar. |
Bir cozumleyici, imzali bir alan adina sorgu attiginda yalnizca istedigi kaydi (orn. A kaydi) almaz; o kaydin RRSIG imzasini da alir. Ardindan bolgenin DNSKEY kaydini cekerek imzayi dogrular. Imza tutuyorsa cevap gecerlidir; tutmuyorsa cozumleyici cevabi cope atar ve genellikle bir SERVFAIL hatasi dondurur. Bu noktada onemli bir ayrinti var: dogrulamanin gercekten ise yaramasi icin, cozumleyicinin de DNSSEC dogrulamasi yapan bir sunucu olmasi gerekir. Bircok genel cozumleyici (orn. buyuk halka acik DNS servisleri) bu dogrulamayi varsayilan olarak yapar.
Iki Anahtarli Sistem: KSK ve ZSK
DNSSEC, tek anahtar yerine genellikle iki anahtar kullanir. Bu, ilk bakista karmasik gorunse de aslinda operasyonel hayati kolaylastiran zekice bir bolusumdur:
- ZSK (Zone Signing Key / Bolge Imzalama Anahtari): Bolgedeki gercek kayitlari (A, MX, TXT vb.) imzalar. Daha sik kullanildigi ve daha cok “maruz kaldigi” icin daha kisa boyutlu olabilir ve daha sik yenilenir; tipik olarak birkac ayda bir degistirilir.
- KSK (Key Signing Key / Anahtar Imzalama Anahtari): Yalnizca DNSKEY kayit kumesini imzalar. Guven zincirinin tepe noktasidir ve ust bolgedeki DS kaydiyla baglantilidir. Daha uzun omurlu olup genellikle yilda bir veya iki yilda bir yenilenir.
Bu ayrim sayesinde ZSK’yi degistirmek istediginizde ust bolgedeki (orn. .com kayit kurulusundaki) DS kaydina dokunmaniza gerek kalmaz; cunku DS, KSK’ye baglidir. Boylece rutin anahtar yenilemeleri cok daha az riskle, kayit kurulusuna her seferinde gitmeden yapilabilir.
Guven Zinciri (Chain of Trust) Nasil Kurulur?
DNSSEC’in en zarif tarafi, guvenin tek tek alan adlarinda degil, hiyerarsik bir guven zinciri uzerinde insa edilmesidir. Internetin DNS yapisi zaten agac gibidir: en tepede kok (root) bolgesi, altinda .com, .org, .tr gibi ust seviye alan adlari (TLD), onlarin altinda da sizin alan adiniz bulunur. DNSSEC bu hiyerarsinin her halkasini bir oncekine kriptografik olarak baglar:
- Sizin alan adinizin KSK ozeti, ust bolgenizde (orn. .com) bir DS kaydi olarak yayinlanir.
- .com bolgesinin anahtar ozeti de kok bolgesinde DS kaydi olarak durur.
- Kok bolgesinin anahtari ise guven cipasi (trust anchor) olarak cozumleyicilere onceden gomulmustur.
Boylece bir cozumleyici, sizin alan adinizin imzasini dogrularken zinciri yukari dogru yurur: alan adi imzasi -> TLD’deki DS -> kok bolgesindeki DS -> kok guven cipasi. Bu halkalardan biri bile kirilirsa (orn. DS kaydi yanlissa veya eksikse) dogrulama basarisiz olur ve alan adi dogrulayan cozumleyiciler nezdinde cozumlenmez. Bu, DNSSEC’in en cok dikkat isteyen yanidir: yanlis yapilandirilmis bir DNSSEC, alan adinizin tamamen erisilemez hale gelmesine yol acabilir.
Kritik Nokta: DS Kaydini Dogru Zamanda Yayinlamak
Sahada en sik karsilasilan kesinti nedeni, anahtar yenileme (key rollover) sirasinda DS kaydinin yanlis sirayla guncellenmesidir. Eski DS kaydi, yeni anahtar yayilmadan kaldirilirsa zincir kopar. Bu yuzden iyi yapilandirilmis sistemler, eski ve yeni anahtarin bir sure birlikte yasadigi gecis pencereleri kullanir. Modern DNS altyapilari bu sureci CDS / CDNSKEY kayitlari ve otomatik anahtar yonetimiyle buyuk olcude otomatiklestirebilir; boylece insan hatasi azalir.
2026 Itibariyle DNSSEC Ne Durumda?
DNSSEC standartlari yaklasik yirmi yildir ortada olmasina ragmen, yaygin benimseme hala sasirtici olcude dusuk. 2026 basinda yapilan genis olcekli olcumlerde, taranan 240 milyondan fazla alan adinin yalnizca yuzde 4-5 araliginda bir kismi imzaliydi. Ilginc olan su ki, regulasyona tabi sektorlerde oran ciddi sekilde yukseliyor: bazi finans ve sigorta odakli ust seviye alan adlarinda imzalama orani yuzde 50’ye yaklasiyor. Yani guvenligin onemli oldugu yerlerde DNSSEC zaten standart haline gelmis durumda.
Algoritma tarafinda da net bir yonelim var. Eskiden yaygin olan RSA tabanli algoritmalar yerine, daha kisa imzalar ureten ve daha verimli olan ECDSA (Algoritma 13) giderek standartlasiyor. Buyuk TLD’ler son yillarda bu algoritmaya gecti. Yeni bir alan adini imzalayacaksaniz, gunumuzde ECDSA tabanli bir algoritma tercih etmek hem performans hem guvenlik acisindan makul bir secimdir.
Kendi Alan Adinizda DNSSEC’i Nasil Etkinlestirirsiniz?
Surec, kullandiginiz altyapiya gore degisir ama mantik her zaman aynidir: bolgeyi imzala, ardindan KSK ozetini DS kaydi olarak ust bolgeye bildir. Pratikte iki ana senaryo vardir:
- DNS’inizi hosting/sunucu saglayicinizda yonetiyorsaniz: Cogu modern panelde (cPanel, Plesk, DirectAdmin) DNSSEC birkac tikla acilir. Panel sizin icin anahtarlari uretir, bolgeyi imzalar ve size yayinlamaniz gereken DS kaydini gosterir. Sizin isiniz bu DS kaydini, alan adinizin kayitli oldugu kurulusa girmektir.
- Alan adi kayit kurulusu uzerinden: DS kaydini (veya bazi durumlarda CDS otomasyonuyla) kayit kurulusunun panelinden eklersiniz. Bu adim, guven zincirini tamamlayan en kritik halkadir.
Etkinlestirdikten sonra mutlaka bagimsiz bir DNSSEC dogrulama araciyla zinciri test edin. “Yesil isik” gormeden isi bitmis saymayin; cunku eksik bir DS kaydi gunler sonra TTL suresi dolunca aniden kesintiye donusebilir ve bunu fark etmek zor olur.
.tr Alan Adlari Icin Durum
Turkiye’nin .tr uzantili alan adlari, 2022’den bu yana BTK bunyesindeki trABIS tarafindan yonetiliyor. .tr ekosisteminde DNSSEC destegi, alt uzanti ve kayit kurulusuna gore degisebildigi icin, .tr alan adiniz icin DNSSEC kullanmak istiyorsaniz dogrudan akredite kayit kurulusunuza durumu teyit ettirmeniz en saglikli yoldur. Alastyr olarak BTK akredite bir .TR kayit kurulusu oldugumuz icin, alan adi tarafindaki bu adimlarda size pratik destek verebiliyoruz.
DNS Guvenligi: DNSSEC Tek Basina Yeterli mi?
Durust olalim: DNSSEC, DNS guvenliginin onemli bir parcasidir ama tamami degildir. Saglam bir DNS guvenligi icin DNSSEC’i birkac katmanla birlikte dusunmek gerekir. Asagidaki tablo, bu teknolojilerin hangi problemi cozdugunu netlestiriyor:
| Teknoloji | Cozdugu Problem | Cozmedigi Sey |
|---|---|---|
| DNSSEC | Yanitin butunlugu ve kaynak dogrulamasi (sahtecilik, onbellek zehirlenmesi) | Mahremiyet / sifreleme saglamaz |
| DoH / DoT | Sorgu trafiginin sifrelenmesi ve gizlenmesi | Yanitin yetkili kaynaktan geldigini garanti etmez |
| Anti-DDoS / Anycast DNS | DNS altyapisinin hacimsel saldirilara karsi ayakta kalmasi | Icerik dogrulamasi yapmaz |
| SSL/TLS sertifikasi | Web trafiginin uctan uca sifrelenmesi ve site kimliginin dogrulanmasi | DNS katmanini korumaz |
Gercek dunyada bu katmanlar birlikte calisir. Ornegin DNSSEC alan adinizin dogru IP’ye cozumlenmesini garanti ederken, SSL sertifikasi o IP’ye ulastiktan sonra baglantiyi sifreler. Altyapi tarafinda saglam bir anti-DDoS korumasi ise sunucularinizi hacimsel saldirilara karsi ayakta tutar. Alastyr’da, Izmir’deki kendi veri merkezimizde barindirdigimiz hizmetlerde Voxility tabanli 1 Tbps uzeri L3-L4 anti-DDoS korumasi, ucretsiz SSL ve Imunify360 destekli cift katmanli WAF gibi katmanlar tam da bu butunlugu hedefler. DNSSEC bu resmin DNS katmanindaki parcasidir; tek basina degil, dogru komsulariyla birlikte gucludur.
Toparlarsak
DNSSEC, DNS’in en eski ve en tehlikeli zaafini kapatan kanitlanmis bir cozumdur: yanitlarin sahteciligini kriptografik imzalarla engeller. Calisma mantigi RRSIG, DNSKEY ve DS kayitlari uzerine kurulu bir guven zinciri; en kritik nokta ise bu zinciri dogru kurmak ve anahtar yenilemelerini hatasiz yonetmektir. Yanlis yapilandirilmis bir DNSSEC, koruma saglamak yerine alan adinizi erisilemez hale getirebilecegi icin, bu isi acele etmeden, dogrulayarak ve mumkunse otomatik anahtar yonetimi sunan bir altyapiyla yapmak en akillicasidir. Ozellikle kullanici verisi tasiyan, e-ticaret yapan veya marka itibarini ciddiye alan siteler icin DNSSEC artik “olsa iyi olur” degil, dusunulmesi gereken temel bir guvenlik katmanidir.
Sikca Sorulan Sorular
DNSSEC DNS sorgularimi sifreler mi?
Hayir. DNSSEC sifreleme yapmaz; yanitin butunlugunu ve kaynagini dogrular. Yani cevabin dogru ve degistirilmemis oldugunu garanti eder ama hangi siteyi sorguladiginizi gizlemez. Sorgu trafigini gizlemek icin DNS over HTTPS (DoH) veya DNS over TLS (DoT) kullanilir. Bu ikisi DNSSEC ile birlikte, birbirini tamamlayacak sekilde kullanilabilir.
DNSSEC olmadan sitem guvensiz mi sayilir?
DNSSEC olmayan bir alan adi, teorik olarak DNS onbellek zehirlenmesi ve yanit sahteciligi saldirilarina daha aciktir. Yine de SSL sertifikasi, guclu sunucu guvenligi ve guvenilir bir cozumleyici kullanan ziyaretciler ek koruma saglar. DNSSEC bu korumalara DNS katmaninda onemli bir halka ekler; ozellikle hassas veri tasiyan siteler icin tavsiye edilir.
DNSSEC etkinlestirmek sitemi yavaslatir mi?
Pratikte fark edilir bir yavaslama olusturmaz. Imzali yanitlar biraz daha buyuk oldugu ve cozumleyici ek dogrulama yaptigi icin teorik olarak minik bir ek yuk vardir, ancak modern algoritmalar (ozellikle ECDSA) bu maliyeti cok dusuk tutar. Kullanicilarinizin gunluk deneyiminde bu farki hissetmesi beklenmez.
KSK ve ZSK arasindaki fark nedir?
ZSK (Bolge Imzalama Anahtari) bolgedeki gercek kayitlari imzalar ve daha sik yenilenir. KSK (Anahtar Imzalama Anahtari) yalnizca anahtar kumesini imzalar, guven zincirinin tepesidir ve ust bolgedeki DS kaydiyla baglantilidir; daha uzun omurludur. Bu ayrim, rutin anahtar yenilemelerini kayit kurulusuna her seferinde gitmeden yapmayi mumkun kilar.
DNSSEC yanlis yapilandirilirsa ne olur?
Yanlis yapilandirilmis DNSSEC, sitenizin tamamen erisilemez hale gelmesine yol acabilir. Ozellikle DS kaydi eksik, hatali veya anahtar yenilemesi yanlis sirayla yapilmissa, dogrulayan cozumleyiciler alan adinizi cozemez ve SERVFAIL dondurur. Bu yuzden etkinlestirdikten sonra bagimsiz bir dogrulama araciyla zinciri mutlaka test etmek gerekir.
DNSSEC’i nasil etkinlestiririm?
Genellikle iki adimda: once DNS bolgenizi imzalarsiniz (cogu modern hosting panelinde birkac tikla yapilir), ardindan panelin verdigi DS kaydini alan adinizin kayitli oldugu kurulusa girersiniz. Bu son adim guven zincirini tamamlar. Islem bitince mutlaka dogrulama araciyla zincirin saglam oldugunu kontrol edin.
.tr alan adlarinda DNSSEC kullanilabilir mi?
.tr ekosisteminde DNSSEC destegi, alt uzanti ve kayit kurulusuna gore degisebilir. Bu yuzden .tr alan adiniz icin DNSSEC kullanmak istiyorsaniz, akredite kayit kurulusunuzla durumu teyit etmeniz en saglikli yontemdir. BTK akredite bir .TR kayit kurulusu olarak Alastyr, bu adimlarda size yol gosterebilir.
DNSSEC butun saldirilara karsi koruma saglar mi?
Hayir. DNSSEC yalnizca DNS yanit butunlugunu korur; DDoS, kotu amacli yazilim, kimlik avi veya uygulama katmani zafiyetleri gibi tehditleri cozmez. Saglam bir guvenlik icin DNSSEC’i SSL, anti-DDoS, WAF ve duzenli yedekleme gibi katmanlarla birlikte dusunmek gerekir.
DNSSEC ile SSL sertifikasi ayni sey mi?
Hayir, farkli katmanlarda calisirlar. DNSSEC, alan adinizin dogru IP adresine cozumlenmesini garanti eder. SSL/TLS sertifikasi ise o adrese ulastiktan sonra tarayici ile sunucu arasindaki trafigi sifreler ve site kimligini dogrular. Ikisi birbirinin yerini tutmaz; birlikte kullanildiklarinda daha butunluklu bir guvenlik saglarlar.
Alan adiniz ve guvenliginiz icin saglam bir temel
Alan adi sorgulama, BTK akredite .TR kayit hizmeti, ucretsiz WHOIS gizleme ve guclu altyapi guvenligi tek catida. Izmir’deki kendi veri merkezimizde, ucretsiz SSL ve 1 Tbps uzeri anti-DDoS korumasiyla isinizi guvenle buyutun.
