DNSSEC

Eş anlamlılar: DNS Security Extensions

DNSSEC (DNS Security Extensions), DNS cevaplarını kriptografik imzayla doğrulayan güvenlik katmanıdır. DNS spoofing ve cache poisoning saldırılarını engeller. Modern registrar'lar ve TRABİS DNSSEC desteği sunar. Imza zinciri root'tan başlar.

DNSSEC Nedir?

DNSSEC (DNS Security Extensions), DNS protokolüne güvenilir veri otantikasyonu ekleyen bir genişletmedir. Orijinal DNS protokolünde cevapların gerçekten authoritative sunucudan gelip gelmediğini doğrulamanın yolu yoktu; saldırganlar sahte DNS cevapları ile kullanıcıları kötü amaçlı sitelere yönlendirebiliyordu (DNS spoofing, cache poisoning). DNSSEC bu boşluğu kriptografik imzalarla kapatır.

Nasıl Çalışır?

DNSSEC bir "zincir-güven" (chain of trust) modeli kullanır:

  1. Her DNS zone, kendi kayıtlarını bir ZSK (Zone Signing Key) ile imzalar
  2. ZSK, bir KSK (Key Signing Key) tarafından imzalanır
  3. KSK'nın hash'i (DS kaydı) üst zone'a yerleştirilir
  4. Root zone kendi KSK'sını "trust anchor" olarak yayınlar
  5. Resolver, root'tan başlayarak imza zincirini takip eder

Yeni Kayıt Türleri

  • RRSIG: Kayıtın imzası
  • DNSKEY: Public key
  • DS: Üst zone'da tutulan hash (delegation signer)
  • NSEC/NSEC3: Negatif cevapların doğrulaması (bu isim yok ispatı)

Avantajları

  • DNS spoofing önlenir
  • Cache poisoning etkisizleşir
  • Man-in-the-middle saldırıları DNS katmanında engellenir
  • DANE (DNS-Based Authentication of Named Entities) gibi ileri protokollerin temelini oluşturur

Dezavantajları

  • Yapılandırma karmaşık — registrar + nameserver koordinasyonu gerekir
  • Key rotation yönetimi gerekir
  • Yanlış yapılandırma domain'i tamamen erişilemez yapabilir (bogus)
  • Gizlilik sunmaz — sadece autentikasyon

DNSSEC Kurulumu

  1. Nameserver'ın DNSSEC destekli olduğundan emin ol
  2. ZSK ve KSK oluştur (genellikle otomatik)
  3. DNS kayıtlarını imzala
  4. DS kaydı oluştur
  5. DS kaydını registrar panelinden üst zone'a gönder
  6. Propagation sonrası dig +dnssec domain.com ile doğrula

TR DNSSEC Desteği

TRABİS 2014'ten itibaren .tr uzantılarında DNSSEC desteği sunar. Modern Türk hosting sağlayıcılar (MeoHost dahil) DNSSEC'i otomatik etkin hale getirebilir. Kurumsal siteler, bankacılık ve e-ticaret için DNSSEC artık temel standarttır.

Sorun Giderme

  • dnssec-analyzer.verisignlabs.com — detaylı DNSSEC chain analizi
  • dnsviz.net — görsel DNS zinciri haritası
  • dig +dnssec komutu ile RRSIG kayıtları sorgulanır

İlgili Terimler