DNSKEY Lookup

Alan adınızın DNSKEY kayıtlarını ve DNSSEC güvenlik anahtarlarını sorgulayın.

DNSKEY Lookup - DNSSEC Anahtar Sorgulama Aracı

DNSKEY Lookup aracımız ile alan adınızın DNSSEC güvenlik anahtarlarını sorgulayın ve DNS güvenlik yapılandırmanızı kontrol edin. Ücretsiz ve hızlı DNSSEC anahtar analizi.

DNSKEY Kaydı Nedir?

DNSKEY (DNS Key) kaydı, DNSSEC (DNS Security Extensions) protokolünün temel bileşenidir. Bu kayıt, DNS verilerinin doğruluğunu ve bütünlüğünü sağlamak için kullanılan kriptografik açık anahtarları içerir. DNSSEC, DNS sorgularına karşı gerçekleştirilen sahtecilik saldırılarını önler ve DNS yanıtlarının güvenilir kaynaklardan geldiğini garanti eder.

DNSSEC'in Faydaları

  • DNS Güvenliği: Sahte DNS yanıtlarını engeller
  • Veri Bütünlüğü: DNS verilerinin değiştirilmediğini garanti eder
  • Kaynak Doğrulama: DNS yanıtlarının yetkili kaynaktan geldiğini doğrular
  • Cache Poisoning Koruması: DNS cache zehirleme saldırılarını önler
  • Man-in-the-Middle Koruması: Ortadaki adam saldırılarına karşı koruma

DNSKEY Anahtar Türleri

  • KSK (Key Signing Key): Flag 257 - DNSKEY kayıtlarını imzalar
  • ZSK (Zone Signing Key): Flag 256 - Zone kayıtlarını imzalar

Algoritma Türleri

  • ECDSAP256SHA256 (13): Modern, güvenli
  • ECDSAP384SHA384 (14): Yüksek güvenlik
  • ED25519 (15): En son teknoloji
  • RSASHA256 (8): Yaygın kullanım

DNSKEY Kayıt Yapısı

DNSKEY kaydı aşağıdaki bileşenlerden oluşur:

example.com. 3600 IN DNSKEY 257 3 13 mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+KkxLbxILfDLUT0rAK9iUzy1L53eKGQ==
Bileşen Örnek Değer Açıklama
Domain example.com. Kayıt sahibi domain adı
TTL 3600 Saniye cinsinden yaşam süresi
Class IN Internet sınıfı (her zaman IN)
Type DNSKEY Kayıt türü
Flags 257 256=ZSK, 257=KSK
Protocol 3 Her zaman 3 (DNSSEC için)
Algorithm 13 Kriptografik algoritma ID
Public Key mdsswUyr3DPW... Base64 encoded açık anahtar

Kriptografik Algoritma Rehberi

Algoritma ID Algoritma Adı Güvenlik Seviyesi Önerilen Kullanım
15 ED25519 Çok Güçlü Yeni implementasyonlar için önerilen
13 ECDSAP256SHA256 Güçlü Modern, güvenli seçenek
14 ECDSAP384SHA384 Güçlü Yüksek güvenlik gerektiren durumlar
8 RSASHA256 Orta Hala güvenli, ancak ECDSA tercih edilmeli
10 RSASHA512 Orta RSA kullanımı gerektiğinde
5 RSASHA1 Zayıf Artık önerilmiyor, güncellenmeli

DNSSEC Kurulum Rehberi

1. Hazırlık Aşaması
  • DNS sunucunuzun DNSSEC desteğini kontrol edin
  • Zone dosyalarınızı yedekleyin
  • Anahtar üretim stratejinizi belirleyin
  • Key rollover planınızı hazırlayın
2. Anahtar Üretimi
  • ZSK (Zone Signing Key) oluşturun
  • KSK (Key Signing Key) oluşturun
  • Güvenli algoritma seçin (ED25519 önerilen)
  • Anahtar boyutunu belirleyin
3. Zone İmzalama
  • Zone kayıtlarını ZSK ile imzalayın
  • DNSKEY kayıtlarını KSK ile imzalayın
  • RRSIG kayıtlarını oluşturun
  • NSEC/NSEC3 kayıtlarını ekleyin
4. DS Kayıt İşlemleri
  • KSK'dan DS kaydı oluşturun
  • DS kaydını üst zone'a gönderin
  • Delegasyon zincirini tamamlayın
  • DNSSEC doğrulamasını test edin

Komut Satırı Örnekleri

DNSKEY Sorguları
# Temel DNSKEY sorgusu dig example.com DNSKEY # Belirli DNS sunucusundan sorgulama dig @8.8.8.8 example.com DNSKEY # Sadece cevap kısmını göster dig +noall +answer example.com DNSKEY # DNSSEC doğrulaması ile dig +dnssec example.com DNSKEY
Anahtar Analizi
# DNSKEY kayıtlarını ayrıntılı göster dig +multi example.com DNSKEY # DS kaydı hesaplama dig example.com DNSKEY | dnssec-dsfromkey -f - example.com # DNSSEC durumu kontrol dig +dnssec +multi example.com SOA

DNSSEC Güvenlik İpuçları

Önemli Güvenlik Notları:
  • Anahtar Güvenliği: Private key'leri güvenli saklayın
  • Düzenli Rollover: Anahtarları düzenli olarak değiştirin
  • Backup Strategy: Anahtar yedeklemesi yapın
  • Monitoring: DNSSEC durumunu izleyin
  • Algorithm Choice: Güncel algoritma kullanın
  • TTL Management: Uygun TTL değerleri ayarlayın
  • Clock Sync: Sunucu saatlerini senkronize edin
  • Testing: Değişiklikleri test edin

Sıkça Sorulan Sorular

DNSKEY kaydı, DNSSEC protokolünün temel bileşenidir ve DNS verilerinin güvenliğini sağlamak için kullanılan kriptografik açık anahtarları içerir. Bu kayıt, DNS yanıtlarının doğruluğunu ve bütünlüğünü garanti eder, sahte DNS saldırılarını önler ve internet güvenliğini artırır.

KSK (Key Signing Key): Flag değeri 257 olan anahtar türüdür ve sadece DNSKEY kayıtlarını imzalar. Üst zone ile güven zinciri oluşturur.
ZSK (Zone Signing Key): Flag değeri 256 olan anahtar türüdür ve zone içindeki tüm kayıtları (DNSKEY hariç) imzalar. Daha sık değiştirilir.

Günümüzde ED25519 (Algoritma 15) en güvenli ve önerilen algoritmadır. Yüksek güvenlik, küçük anahtar boyutu ve hızlı işlem sunar. Alternatif olarak ECDSAP256SHA256 (Algoritma 13) de güvenli bir seçenektir. Eski RSA algoritmaları (5, 7) artık önerilmez.

DNSSEC olmayan domain'ler doğrudan güvensiz değildir, ancak DNS saldırılarına karşı savunmasızdır. Cache poisoning, man-in-the-middle ve DNS hijacking saldırılarına açıktır. Özellikle finansal kurumlar, e-ticaret siteleri ve kritik hizmetler için DNSSEC implementasyonu şiddetle önerilir.

ZSK rollover: 1-3 ayda bir yapılması önerilir çünkü zone kayıtlarını imzalar ve daha sık değişir.
KSK rollover: 1-2 yılda bir yapılması yeterlidir çünkü sadece DNSKEY kayıtlarını imzalar ve üst zone koordinasyonu gerektirir. Acil durumlarda (anahtar güvenliği ihlali) hemen rollover yapılmalıdır.

DNSSEC, DNS response boyutunu artırır ve ekstra kriptografik doğrulama işlemleri gerektirir. Ancak modern algoritmaların (ED25519, ECDSA) performans etkisi minimaldir. RSA algoritmaları daha fazla CPU kullanır. Proper caching ve optimized TTL değerleri ile performans etkisi ihmal edilebilir seviyede tutulabilir.

İlgili DNS Güvenlik Araçları

DNS güvenliğinizi kapsamlı şekilde kontrol etmek için diğer araçlarımızı da kullanın:

DNS Health Checker

Kapsamlı DNS sağlık ve güvenlik kontrolü

SPF Checker

E-posta güvenlik kayıtlarını kontrol edin

DMARC Checker

DMARC politikalarınızı analiz edin

DNS Lookup

Tüm DNS kayıtlarınızı sorgulayın