DNSSEC Anahtar Sorgulama Aracı (DNSKEY Lookup)
DNSKEY Lookup aracımız ile alan adınızın DNSSEC güvenlik anahtarlarını sorgulayın ve DNS güvenlik yapılandırmanızı kontrol edin. Ücretsiz, hızlı ve detaylı kriptografik algoritma analizi yapın.
DNSKEY Kaydı Nedir?
DNSKEY (DNS Key) kaydı, DNSSEC (DNS Security Extensions) protokolünün temel bileşenidir. Bu kayıt, DNS verilerinin doğruluğunu ve bütünlüğünü sağlamak için kullanılan kriptografik açık anahtarları içerir. DNSSEC, DNS sorgularına karşı gerçekleştirilen Man-in-the-Middle (Ortadaki Adam) ve Cache Poisoning (Önbellek Zehirlenmesi) saldırılarını önler.
DNSKEY Anahtar Türleri
- KSK (Key Signing Key - Flag 257): Sadece DNSKEY kayıtlarını imzalayan, daha uzun ömürlü ve daha güçlü anahtardır. Üst zone ile (DS kaydı üzerinden) güven zinciri oluşturur.
- ZSK (Zone Signing Key - Flag 256): Zone içindeki tüm standart DNS kayıtlarını (A, MX, TXT vb.) imzalayan ve güvenlik gereği daha sık değiştirilen anahtardır.
Algoritma Türleri ve Güvenlik
- Güçlü ED25519 (15): En son teknoloji, kısa anahtar boyutu ve yüksek hız.
- Güçlü ECDSAP256SHA256 (13): Günümüzde en çok önerilen modern algoritma.
- Orta RSASHA256 (8): Hala güvenli kabul edilir ancak paket boyutları büyüktür.
DNSKEY Kayıt Yapısı Nasıl Okunur?
Tipik bir DNSKEY kaydı aşağıdaki formatta sergilenir:
example.com. 3600 IN DNSKEY 257 3 13 mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+KkxLbxILfDLUT0rAK9iUzy1L53eKGQ==
| Bileşen | Örnek Değer | Açıklama |
|---|---|---|
| Domain | example.com. | Kayıt sahibi domain adı |
| TTL | 3600 | Saniye cinsinden DNS önbellek yaşam süresi |
| Class | IN | Internet sınıfı (her zaman IN olarak kalır) |
| Type | DNSKEY | Kayıt türünün adı |
| Flags | 257 | 256=ZSK (Zone Anahtarı), 257=KSK (Key Anahtarı) |
| Protocol | 3 | Geriye dönük uyumluluk için her zaman 3'tür. |
| Algorithm | 13 | Kriptografik şifreleme algoritmasının resmi IANA numarası |
| Public Key | mdssw... | Base64 formatında kodlanmış gerçek açık anahtar dizisi |
DNSSEC Kurulum ve İmzalama Adımları
1. Anahtar Üretimi (Key Generation)
- ZSK (Zone Signing Key) oluşturun.
- KSK (Key Signing Key) oluşturun.
- Modern sistemler için algoritma olarak ED25519 (Alg 15) seçin.
2. Zone İmzalama (Zone Signing)
- Standart zone kayıtlarınızı ZSK ile imzalayın (RRSIG kayıtları oluşur).
- DNSKEY kayıtlarınızı da KSK ile imzalayın.
- Olmayan kayıtları doğrulamak için NSEC veya NSEC3 ekleyin.
3. DS Kaydı Operasyonu
- Oluşturduğunuz KSK anahtarından bir DS (Delegation Signer) kaydı üretin.
- Bu DS kaydını, alan adınızı kaydettiğiniz firmaya (Registrar) iletin.
- DS kaydı üst domaine (.com, .net vb.) eklendiğinde güven zinciri (Trust Chain) tamamlanır.
Komut Satırı Üzerinden DNSKEY Sorgulama
Eğer Linux/macOS terminali kullanıyorsanız, `dig` aracı ile sorgulamalar yapabilirsiniz:
# Temel DNSKEY sorgusu
dig example.com DNSKEY
# DNSSEC imza doğrulaması (RRSIG) ile birlikte sorgulama
dig +dnssec example.com DNSKEY
# DS kaydını komut satırından otomatik hesaplama
dig example.com DNSKEY | dnssec-dsfromkey -f - example.com
Sıkça Sorulan Sorular
DNSKEY kaydı, DNSSEC protokolünün temel bileşenidir ve DNS verilerinin güvenliğini sağlamak için kullanılan kriptografik açık anahtarları içerir. Bu kayıt, DNS yanıtlarının doğruluğunu garanti eder, hackerların sizi sahte bir siteye yönlendirmesini önler.
KSK (Key Signing Key): Flag değeri 257 olan anahtardır ve sadece DNSKEY kayıtlarını imzalar. Üst domain ile aranızdaki ana köprüdür.
ZSK (Zone Signing Key): Flag değeri 256 olan anahtardır ve zone içindeki tüm normal kayıtları (A, MX vb.) imzalar.
ZSK (Zone Signing Key): Flag değeri 256 olan anahtardır ve zone içindeki tüm normal kayıtları (A, MX vb.) imzalar.
Günümüzde ED25519 (Algoritma 15) en modern, en güvenli ve işlemciyi en az yoran algoritmadır. Endüstri standardı olarak ise hala ECDSAP256SHA256 (Algoritma 13) yaygın ve çok güvenli bir seçenektir.
DNSSEC olmayan domain'ler doğrudan "hacklenmiş" anlamına gelmez, ancak DNS zehirlenmesi (spoofing/hijacking) adı verilen saldırılara karşı tamamen savunmasızdırlar. Özellikle bankalar, e-ticaret siteleri ve resmi kurumlar için DNSSEC kesinlikle zorunludur.