Alan adımın DNSSEC'ye ihtiyacı var mı?

Kesinlikle değil. Sağladığı koruma anlamlı ancak kısmidir. Çoğu kişisel site için, DNSSEC'yi çalıştırmanın operasyonel maliyeti, faydasından daha ağır basmaktadır. Mali işlemleri, devlet hizmetlerini veya yüksek değerli hedefleri yöneten siteler için DNSSEC artı DANE, değerli bir savunma katmanı ekler.

DNSSEC tüm DNS saldırılarını önleyecek mi?

Hayır. DNSSEC, DNS yanıtının kablo üzerinde kurcalanmasını önler, ancak şunları engellemez: geçerli imzalara sahip kötü niyetli bir yetkili sunucunun yalan söylemesi, kayıt şirketi hesabının ele geçirilmesi (saldırgan yeni anahtarlar yayınlar) veya meşru bir DNS çözümlemesinin ardından hedef IP'ye yönelik saldırılar. Bu bir katmandır, tam bir çözüm değildir.

Tarayıcım neden DNSSEC'yi kontrol etmiyor?

Tarayıcılar, DNSSEC doğrulamasını yapılandırılmış çözümleyiciye devreder. Çözümleyici kötü yanıtları doğrulayıp reddederse tarayıcı bunları hiçbir zaman görmez. Tarayıcı tarafı doğrulaması için öneriler vardı ancak bunlar benimsenmedi. Doğrulayıcı bir çözümleyici (1.1.1.1, 9.9.9.9) kullandığınızda DNSSEC'in avantajlarından yararlanırsınız.

DNSSEC imzalı bir alanda sorun olursa ne olur?

Doğrulama başarısız olur ve çözümleyicilerin çoğu SERVFAIL değerini döndürür. Etki alanına ulaşılamıyor görünüyor. Bu, üretimde de yaşandı (HBO Max'in 2021'deki kesintisi, bir DNSSEC yanlış yapılandırmasıydı). Takas: DNSSEC çalıştığında güvenlidir; kırıldığında yüksek sesle kırılır.

DNSSEC, HTTPS üzerinden DNS ile aynı mıdır?

Hayır. DNSSEC, orijinalliği doğrulamak için DNS yanıtlarına imzalar ekler. HTTPS üzerinden DNS (DoH), aktarım sırasında DNS sorgularını şifreler. Tamamlayıcıdırlar ve en iyi şekilde birlikte kullanılırlar.

DNSSEC Açıklandı: DNS Aramalarına Şifreleme İmzaları Ekleme

example.com gibi isimleri IP adreslerine çeviren sistem olan DNS, 1983 yılında kimlik doğrulama olmadan tasarlandı. Bir alanın yetkili sunucusundan geldiğini iddia eden herhangi bir yanıt kabul edildi. DNSSEC, her DNS kaydına kriptografik imzalar ekleyerek istemcilerin yanıtın tahrif edilmediğini doğrulamasını sağlayarak bu sorunu giderir. Benimseme yavaş oldu, ancak uygulandığı yerde işe yarıyor.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

DNSSEC (Etki Alanı Adı Sistemi Güvenlik Uzantıları), DNS kayıtlarına kriptografik imzalar ekleyerek istemcilerin DNS yanıtlarının orijinalliğini ve bütünlüğünü doğrulamasını sağlar. DNSSEC olmadan, bir ağ saldırganı DNS yanıtlarını taklit edebilir ve trafiği saldırgan tarafından kontrol edilen sunuculara yönlendirebilir; bu, DNS'nin ele geçirilmesinin temelidir.. DNSSEC ile sahte yanıtlar imza doğrulamasında başarısız olur ve reddedilir.

DNSSEC neler ekler

Dört yeni kayıt türü:

RRSIG — bir kayıt kümesi üzerindeki imza. Her imzalı kayıtta karşılık gelen bir RRSIG.
DNSKEY bulunur; bu, bir bölgenin RRSIG imzalarını doğrulamak için kullanılan genel anahtardır.
DS (Yetki İmzalayan) — üst bölgede bulunur ve alt öğedeki DNSKEY'i işaret eder. Güven zincirini oluşturur.
NSEC/NSEC3 — bölgede bir adın mevcut OLMADIĞINI kanıtlar. "Bu ad mevcut değil" ifadesi aynı zamanda kimliğinin doğrulanması gereken bir yanıt olduğundan gereklidir.

Doğrulama nasıl çalışır

example.com'un IP'sini doğrulamak için:

Resolver, A kaydı için example.com'u sorgular. IP'yi ve bir RRSIG imzasını alır.
Resolver, DNSKEY'i (bölge imzalama anahtarı, ZSK) için example.com'u sorgular.
Resolver, ZSK'yi kullanarak RRSIG'yi doğrular.
DNSKEY'in kendisini doğrulamak için çözümleyici, DS kaydı için üst bölgeyi (.com) sorgular. example.com.
DS kaydı, .com'un anahtarları tarafından imzalanmış example.com'un DNSKEY'inin bir karmasını içerir.
Bu, ortak anahtarı çözümleyicilerde sabit kodlanmış köke kadar yinelenir.

Son sonuç: kökten .com'a ve example.com'a kadar, orijinal A kaydında biten doğrulanmış bir zincir. Herhangi bir adımda herhangi bir kurcalama algılanır.

Anahtar türleri ve rotasyon

DNSSEC, bölge başına iki anahtar türü kullanır:

Bölge İmzalama Anahtarı (ZSK). Gerçek kayıtları (A, MX, TXT, vb.) imzalar. Çok kullanıldığı için sık sık (aylardan bir yıla kadar) rotasyona tabi tutulur.
Anahtar İmzalama Anahtarı (KSK). ZSK'yı imzalar. Ana bölgenin referans verdiği bağlantı noktası olduğundan nadiren döndürülür. Döndürülmesi, DS kaydının güncellenmesi için kayıt şirketiyle koordinasyon sağlanmasını gerektirir.

Kök KSK, yaklaşık beş yılda bir döndürülür. 2017 rotasyonu, dünya çapındaki çözümleyicilerin yeni genel anahtara sahip olmasını sağlamak için ilk ve gerekli yıllar süren hazırlıktı.

Adoption

DNSSEC'nin benimsenmesi eşitsizdir:

TLD düzeyi: Çoğu önemli TLD imzalanmıştır. .com, .org, .net, .gov, çoğu ülke kodu.
Alan adı düzeyi: 2026 itibarıyla .com alan adlarının yaklaşık %5'inde DNSSEC etkindir — yavaş büyüme.
Çözümleyici düzeyi: Tüm büyük genel çözümleyiciler (1.1.1.1, 8.8.8.8, 9.9.9.9) DNSSEC'yi doğrulayın. Çoğu ISP çözümleyicisi de bunu yapar. Doğrulama olmadan aldıkları her şeyi geri vermeyenler.
İstemci düzeyi: Çoğu işletim sistemi, doğrulama için yapılandırılmış çözümleyicilerine güvenir; İmzaları kendileri kontrol etmiyorlar. Birkaç uygulama ve HTTPS üzerinden DNS uygulamaları istemci tarafı doğrulaması yapar.

Benimseme neden yavaştır

Çeşitli engeller:

Operasyonel karmaşıklık. Anahtarlar oluşturulmalı, kayıtlar değiştiğinde imzalar yeniden oluşturulmalı ve düzenli olarak aktarılmalıdır. Yanlış yapılandırma, etki alanını tamamen bozar (her çözümleyici SERVFAIL döndürür).
LDaha büyük DNS yanıtları. İmzalı yanıtlar, imzasız yanıtlardan birkaç kat daha büyüktür. Eski DNS altyapısı, yanıtların tek UDP paketlerine sığacağını varsayıyordu; imzalı yanıtlar genellikle bunu yapmaz ve TCP geri dönüşü gerektirir.
Lsınırlı son kullanıcı avantajı. DNSSEC, DNS katmanı kurcalamasına karşı koruma sağlar, ancak hedef IP'nin kötü amaçlı olmasına karşı koruma sağlamaz. Çoğu kullanıcı, DNSSEC'nin orada olup olmadığını fark etmez.
Bazı kullanım durumları için daha iyi alternatifler. Şifrelenmiş DNS (DoH, DoT, DNSCrypt), DNS sorgularını yoldaki izinsiz müdahalelere karşı korur; bu, aynı tehdidin çoğunu daha az karmaşıklıkla ele alır.

DNSSEC ve şifrelenmiş DNS

İkisi örtüşen ancak farklı sorunları çözüyor:

DNNSSEC, cevabın orijinal ve değiştirilmemiş olduğunu kanıtlar. Sorgunun kendisi hala ağda görülebilir.
Şifrelenmiş DNS, sorguyu ve yanıtı ağdan gizler, ancak yanıtın orijinal olduğunu kanıtlamaz; yalnızca yapılandırılmış çözümleyiciye güvenir.

En güçlü kurulum: DNSSEC doğrulaması yapan bir çözümleyiciye şifrelenmiş DNS. Aktarım sırasında sorguyu gizleyin, yanıtı kriptografik olarak doğrulayın. Cloudflare 1.1.1.1 ve DoH üzerinden Google 8.8.8.8 bugün her ikisini de sağlıyor.

DANE: DNSSEC'nin etkinleştirdiği şey

DNSSEC'nin kilidini açtığı bir aşağı akış teknolojisi DANE'dir (Adlandırılmış Varlıkların DNS Tabanlı Kimlik Doğrulaması). DANE, DNSSEC tarafından güvence altına alınan TLS sertifikası parmak izlerini DNS'de yayınlar. Bir tarayıcı, yalnızca Sertifika Yetkililerine güvenmek yerine DNS'yi sorgulayarak bir web sitesinin sertifikasını doğrulayabilir. Benimseme sınırlıdır (tarayıcı uygulama politikaları nedeniyle çoğunlukla HTTPS için değil SMTP için kullanılır).

Bir etki alanının DNSSEC imzalı olup olmadığı nasıl kontrol edilir

Komut satırı kontrolü: dig +dnssec example.com — DNSSEC etkinse yanıt imzaları içerir. DNSSEC-Analyzer (Verisign Labs) gibi çevrimiçi araçlar, güven zincirinin tamamını görsel olarak gösterir. Tarayıcı uzantıları her sayfa için DNSSEC doğrulama durumunu işaretleyebilir.

Sık sorulan sorular

Alan adımın DNSSEC'ye ihtiyacı var mı?: Kesinlikle değil. Sağladığı koruma anlamlı ancak kısmidir. Çoğu kişisel site için, DNSSEC'yi çalıştırmanın operasyonel maliyeti, faydasından daha ağır basmaktadır. Mali işlemleri, devlet hizmetlerini veya yüksek değerli hedefleri yöneten siteler için DNSSEC artı DANE, değerli bir savunma katmanı ekler.
DNSSEC tüm DNS saldırılarını önleyecek mi?: Hayır. DNSSEC, DNS yanıtının kablo üzerinde kurcalanmasını önler, ancak şunları engellemez: geçerli imzalara sahip kötü niyetli bir yetkili sunucunun yalan söylemesi, kayıt şirketi hesabının ele geçirilmesi (saldırgan yeni anahtarlar yayınlar) veya meşru bir DNS çözümlemesinin ardından hedef IP'ye yönelik saldırılar. Bu bir katmandır, tam bir çözüm değildir.
Tarayıcım neden DNSSEC'yi kontrol etmiyor?: Tarayıcılar, DNSSEC doğrulamasını yapılandırılmış çözümleyiciye devreder. Çözümleyici kötü yanıtları doğrulayıp reddederse tarayıcı bunları hiçbir zaman görmez. Tarayıcı tarafı doğrulaması için öneriler vardı ancak bunlar benimsenmedi. Doğrulayıcı bir çözümleyici (1.1.1.1, 9.9.9.9) kullandığınızda DNSSEC'in avantajlarından yararlanırsınız.
DNSSEC imzalı bir alanda sorun olursa ne olur?: Doğrulama başarısız olur ve çözümleyicilerin çoğu SERVFAIL değerini döndürür. Etki alanına ulaşılamıyor görünüyor. Bu, üretimde de yaşandı (HBO Max'in 2021'deki kesintisi, bir DNSSEC yanlış yapılandırmasıydı). Takas: DNSSEC çalıştığında güvenlidir; kırıldığında yüksek sesle kırılır.
DNSSEC, HTTPS üzerinden DNS ile aynı mıdır?: Hayır. DNSSEC, orijinalliği doğrulamak için DNS yanıtlarına imzalar ekler. HTTPS üzerinden DNS (DoH), aktarım sırasında DNS sorgularını şifreler. Tamamlayıcıdırlar ve en iyi şekilde birlikte kullanılırlar.