DNSSEC Nedir? ve Nasıl Çalışır?
DNSSEC (Domain Name System Security Extensions), DNS (Domain Name System) üzerindeki güvenlik açıklarını kapatmayı ve alan adı sisteminin bütünlüğünü sağlamayı amaçlayan bir güvenlik uzantısıdır. DNSSEC, DNS sorgularının ve yanıtlarının doğrulanmasını sağlayarak güvenli bir DNS ortamı oluşturur.
- Kayıt İmzalama (Signing): Alan adının sahibi, DNSSEC’i etkinleştirmek için alan adı kayıtlarını dijital olarak imzalar. Bu işlem, alan adının kökünden başlayarak ağağ aşağı doğru tüm DNS kayıtlarını kapsar.
- İmza Yayılması (Signature Propagation): İmzalanan kayıtlar, DNS hiyerarşisindeki üst seviye alan adı sunucularından başlayarak alt seviye sunuculara doğru yayılır. Böylece, güvenilir kaynaklar tarafından imzalanan kayıtlar, tüm DNS sistemine yayılmış olur.
- Doğrulama (Validation): Bir kullanıcı, bir alan adına ilişkin DNS sorgusu yaptığında, DNS sunucusu imzalı bir yanıt döner. Kullanıcının DNS sunucusu, imza doğrulama işlemi için alan adının imzasını doğrular.
- Anahtar Doğrulama (Key Validation): DNSSEC, genel anahtar altyapısını kullanır. DNS sunucusu, alan adının imzasını doğrularken, kök anahtarından başlayarak doğrulama zincirini takip eder ve her düğümün imzasını doğrulayarak güvenilirliği sağlar.
- Güncelleme ve Anahtar Yenileme (Key Rollover): DNSSEC’de periyodik olarak anahtar güncellemeleri yapılır. Bu, yeni anahtarların kullanıma alınması ve eski anahtarların emekliye ayrılması sürecidir. Bu, güvenlik açısından önemlidir, çünkü eski veya zayıf anahtarların kullanılmasını önler.
DNSSEC, kullanıcılara doğru IP adreslerine yönlendirilirken sahte DNS kayıtları üzerinde yapılan saldırıların riskini azaltır. Bu sayede, kullanıcılar daha güvenli bir DNS deneyimi yaşarlar ve DNS sisteminin bütünlüğü korunmuş olur.
TRABİS ve DNSSEC
DNSSEC uyumluluğu genellikle bir alan adı kayıt otoritesinin (Registry) ve kayıt yapısının üzerinde çalıştığı bölgesel veya ülke bazlı bir alan adı sistemi (ccTLD) tarafından belirlenir. TRABİS, .tr alan adlarının kayıt otoritesidir ve DNSSEC uyumluluğuyla çalışmaları yürütmektedirler.
TRABİS’in 14 Eylül 2022’de devreye girdikten sonra geçtiğimiz aylarda .tr imzalandı ve ardından alt alan adlarının imzalanması için gerekli güncellemeler yapıldı. TRABİS’in devreye girmesiyle başlayan çalışmalar tamamlanmış olup TRABİS, en kısa sürede DNSSEC ile uyumlu hale getirilecektir.
Diğer uzantılarda olduğu gibi .tr uzantılı alan adınız için edinmiş olduğunuz DNSSEC kaydınızı METUnic paneli üzerinden kaydetmek için aşağıdaki adımları izleyebilirsiniz.