İçeriğe atla

DNSSEC

İnternet güvenlik
protokolleri
Anahtar yönetimi
Uygulama katmanı
Domain Name System
  • DANE
  • DNSSEC
  • DNS over HTTPS
  • DNS over TLS
  • CAA
İnternet Katmanı

DNSSEC (İngilizce: Domain Name System Security Extensions, Türkçe: Alan Adı Sistemi Güvenlik Eklentileri), İnternet Protokolü (IP) ağlarında kullanılan Alan Adı Sistemi (DNS) tarafından sağlanan belirli türdeki bilgilerin güvenliğini sağlamaya yönelik bir İnternet Mühendisliği Görev Grubu (IETF) dokümanıdır. DNS istemcilerine (çözümleyicilerine), DNS verilerinin köken kimlik doğrulaması, kimlik doğrulaması reddi ve veri bütünlüğünü sağlayan, ancak kullanılabilirlik veya gizlilik sağlamayan bir DNS eklentisidir.

Genel bakış

Alan Adı Sistemi (DNS), özgün tasarımında hiçbir güvenlik önlemi içermez. Ölçeklendirilebilir dağıtılmış bir sistem olarak tasarlanmıştır. Alan Adı Sistemi Güvenlik Eklentileri (DNSSEC) geriye dönük uyumluluğu korurken, güvenlik önlemleri eklemeye çalışır. RFC 3833, DNS ile ilgili bilinen bazı tehditleri ve DNSSEC'in bu tehditlere nasıl yanıt verdiğini belgelemektedir.

DNSSEC, sahte veya manipüle edilmiş DNS verilerinden (DNS önbellek zehirlenmesi ile oluşturulan veriler gibi), uygulamaları korumak için (ve bu uygulamalara hizmet eden çözümleyicileri önbelleğe almak) kullanılacak şekilde tasarlanmıştır. DNSSEC korumasıyla gelen tüm cevaplar dijital olarak imzalanmıştır. Bir DNS çözümleyici, dijital imzayı kontrol ederek, bilgilerin alan sahibi tarafından yayınlanan ve yetkili bir DNS sunucusunda sunulan bilgilerle aynı (yani, değiştirilmemiş ve tam) olup olmadığını kontrol edebilir. IP adreslerini korumak birçok kullanıcı için en öncelikli endişe olsa da, DNSSEC, DNS'de yayınlanan tüm veriyi koruyabilir, metin kayıtları (TXT) gibi, e-posta değişim kayıtları (MX) gibi ve DNS'de saklanan kriptografik sertifikalara başvuru yayınlayan diğer güvenlik sistemlerini saklamak için de kullanılabilir (örneğin: Sertifika Kayıtları (CERT records, RFC 4398), SSH parmak izleri (SSHFP, RFC 4255), IPSec açık anahtarları (IPSECKEY, RFC 4025) ve TLS Trust Anchors (TLSA, RFC 6698).

DNSSEC verinin gizliliğini sağlamaz, bütün DNSSEC cevapları doğrulanmıştır ancak şifrelenmez. DNSSEC, DoS ataklarına karşı doğrudan korumaz, ancak dolaylı olarak bazı faydalar sağlar (çünkü imza kontrolü güvenilir olmayan tarafların kullanımına izin verir, bu ancak DNS sunucusu kendinden imzalı bir sertifika kullanıyorsa doğrudur, internet-bağlantılı DNS sunucuları için önerilmez).

DNS sunucuları arasında gönderilen toplu verileri (DNS zone transferi gibi) güvenli hale getirmek için diğer standartlar (DNSSEC olmayan) kullanılır. IETF RFC 4367 ‘ de dökümente edildiği gibi, bazı kullanıcılar ve geliştiriciler DNS adları hakkında yanlış tahminler yapmaktadır, örneğin bir şirketin genel adı artı “.com” her zaman onun alan adıdır gibi. DNSSEC yanlış denemelere karşı korumaz, sadece verinin gerçekte alan sahibinden alındığını veya uygun olmadığını doğrulayabilir.

DNSSEC özellikleri (DNSSEC-bis olarak adlandırılır) geçerli DNSSEC protokolünü detaylı olarak açıklar. Bakınız: RFC 4033, RFC 4034, and [rfc:4035 RFC 4035.] Bu yeni RFC‘lerin yayınlanmasıyla (Mart 2005), daha önceki RFC (RFC 2535) geçmişte kalmıştır.

İnternetin bir bütün olarak güvenceye alınması için DNS' in güvence altına alınmasının kritik öneme sahip olduğuna inanılmaktadır, ancak DNSSEC' in yayılması özellikle bazı zorluklar ile aksamıştır (22 Ocak 2010'dan beri):

• İnternet boyutuna göre ölçeklenebilen geriye-yönelik uyumlu bir standart tasarlama ihtiyacı,

• İstenildiğinde, "bölge (DNS zone) ayrıntılı listesi" koruması,

• Çok geniş alanda yayılmış DNS sunucuları ve çözümleyicileri (istemciler) genelinde DNSSEC uygulamalarının yayılması,

• Üst seviye alan kök anahtarlarına kimin sahip olması gerektiği konusunda uygulayıcılar arasındaki anlaşmazlık,

• DNSSEC ve DNSSEC yayılımının algılanan zorluğunu, karmaşıklığını aşmak .

Microsoft Windows'un kullandığı saplama çözümleyici; Özellikle Windows 7 ve üstü, geçerliliği olmayan (ancak DNSSEC uyumlu) bir türdür.[1][2] DNSSEC hizmetlerine gerçek bir güvenin yerleştirilmesi için, bu saplama çözümleyici, söz konusu yinelemeli ad sunucularına (genellikle ISP tarafından denetlenir) ve kendisi ile bu ad sunucuları arasındaki iletişim kanallarına IPsec(çok fazla yayılmamış olanın kullanımıyla),[3] SIG(0) veya TSIG[4] gibi yöntemler kullanarak güvenmelidir.

İşlemler

DNSSEC, DNS sorguları için kayıtları, açık anahtar şifrelemesi ile dijital olarak imzalayarak çalışır. Doğru DNSKEY kaydı, bir güven zinciri aracılığıyla doğrulanır. Bu zincir güvenilir üçüncü taraf olan DNS kök bölgesi (DNS root zone) için bir dizi onaylanmış açık anahtarla başlar. Alan sahipleri kendi anahtarlarını oluşturur ve DNS kontrol panellerini kullanarak alan adı kayıt sitelerine yüklerler. Burası da anahtarları secDNS aracılığıyla bölge operatörüne (örn.; .com için Verisign) gönderir ve bunları DNS'de imzalar ve yayınlar.

Kaynak kayıtları

DNS, çeşitli kaynak kayıtlarının kullanılmasıyla gerçekleştirilir. DNSSEC'i uygulamak için, DNSsec ile kullanılmak üzere birkaç yeni DNS kayıt türü oluşturuldu veya uyarlandı:

RRSIG (kaynak kayıt imzası)

Bir kayıt grubu için DNSSEC imzasını içerir. DNS çözümleyicileri, imzayı DNSKEY kaydında saklanan açık anahtarla doğrular.

DNSKEY

Bir DNS çözümleyicisinin RRSIG kayıtlarındaki DNSSEC imzalarını doğrulamak için kullandığı açık anahtarı içerir.

DS (yetkili imzalayan)

Yetkili bölgenin adını tutar. Bir alt yetkili bölgedeki bir DNSKEY kaydına başvurur. DS kaydı, temsilci NS kayıtları ile birlikte üst bölgeye yerleştirilir.

NSEC (bir sonraki güvenli kayıt)

Bölgedeki bir sonraki kayıt adına bir bağlantı içerir ve kaydın adı için var olan kayıt türlerini listeler. DNS çözümleyicileri, bir kayıt adının bulunmadığını doğrulamak için NSEC kayıtlarını kullanır ve DNSSEC doğrulamasının bir parçası olarak yazar.

NSEC3 (sıradaki güvenli kayıt versiyon 3)

Bölgedeki bir sonraki kayıt adının (karıştırılmış isim sırası düzeninde) bağlantılarını içerir ve NSEC3 kaydının kendi adının ilk etiketindeki hash değerinin kapsadığı ad için var olan kayıt tiplerini listeler. Bu kayıtlar, bir kayıt adının bulunmadığını doğrulamak ve DNSSEC doğrulamasının bir parçası olarak yazmak için çözücüler tarafından kullanılabilir. NSEC3 kayıtları, NSEC kayıtlarına benzerdir, ama  NSEC3, bir bölgedeki kayıt adlarının numaralandırılmasını(sayılmasını) önlemek için kriptografik olarak karıştırılmış (hashed) kayıt adları kullanır.

NSEC3PARAM (sıradaki güvenli kayıt versiyon 3 parametreleri)

Yetkili DNS sunucuları, var olan adlar / türler için DNSSEC isteklerine yanıtları içerecek NSEC3 kayıtlarını hesaplamak ve belirlemek için bu kaydı kullanır. DNSSEC kullanıldığında, her DNS sorgu yanıtı, istenen kayıt türüne ek olarak bir RRSIG DNS kaydı içerir. RRSIG kaydı, DNS yanıtı yanıt kümesinin dijital imzasıdır. Dijital imza, bir DNSKEY kaydında bulunan doğru ortak anahtarın yerini belirleyerek doğrulanır. NSEC ve NSEC3 kayıtları herhangi bir RR'nin varlığının kriptografik kanıtlarını sağlamak için kullanılır. DS kaydı, güven zincirini kullanarak sorgu yordamında DNSKEY'lerin kimlik doğrulamasında kullanılır. NSEC ve NSEC3 kayıtları, sahteciliğe karşı dayanıklılık için kullanılır.

Algoritmalar

DNSSEC, genişletilebilecek şekilde tasarlanmıştır, böylece mevcut algoritmalara karşı saldırılar keşfedildikçe, geriye doğru uyumlu bir şekilde yenileri eklenebilir. Aşağıdaki tablo, en çok kullanılan güvenlik algoritmalarını Nisan 2013 itibarıyla tanımlamaktadır:[5]

Algoritma alanı Algoritma Kaynak Uygulama durumu
1 RSA/MD5Uygulanmamalı
3 DSA/SHA-1İsteğe Bağlı
5 RSA/SHA-1 RFC 3110Gerekli
7 RSASHA1-NSEC3-SHA1 RFC 5155Önerilen
8 RSA/SHA-256RFC 5702Önerilen
10 RSA/SHA-512 Önerilen Önerilen
12 GOST R 34,10-2001 RFC 5933İsteğe Bağlı
13 ECDSA/SHA-256RFC 6605Önerilen
14 ECDSA/SHA-384 Önerilen Önerilen
15 Ed25519 RFC 8080İsteğe Bağlı
16 Ed448 RFC 8080İsteğe Bağlı

Sorgu Prosedürü

Bir DNS sorgusunun sonuçlarından, güvenlik bilinci olan bir DNS çözümleyici, sorgulanan alan için yetkili ad sunucusunun DNSSEC'i destekleyip desteklemediğini, yanıtın güvenli olup olmadığını ve bir çeşit hata olup olmadığını belirleyebilir. Sorgu prosedürü birçok ISP'ninki gibi yinelemeli ad sunucuları ve ana-akım işletim sistemlerinde olan saplama çözücülerden farklıdır. Microsoft Windows'un kullandığı saplama çözümleyici, Windows Server 2008 R2, Windows 7'de özellikle geçerliliği olmayan ama DNSSEC uyumlu bir saplama çözümleyicisidir.[2][3]

Yinelemeli ad sunucuları

Güven modeli zincirini kullanarak, üst etki alanındaki (DNS zone) bir Yetkili İmzalayıcı (DS) kaydı, bir alt etki alanındaki bir DNSKEY kaydını doğrulamak için kullanılabilir; bu, daha sonra alt etki alanlarını doğrulamak için diğer DS kayıtlarını da içerebilir. ISP ad sunucusu gibi özyinelemeli bir çözümleyicinin "www.example.com" alan adının IP adreslerini (A kaydı ve / veya AAAA kayıtları) almak istediğini varsayalım.

1. Güvenlik-tanılı bir çözümleyici, bir DNS sorgusunda "DO" ("DNSSEC OK"[6]) işaret biti ayarladığında işlem başlar. DO biti, EDNS tarafından tanımlanan genişletilmiş bayrak bitlerinden olduğundan, tüm DNSSEC işlemleri EDNS'yi desteklemelidir. Ayrıca, DNSSEC işlemlerinin gerektirdiği daha büyük paket boyutlarına izin vermek için EDNS desteği de gereklidir.

2. Çözümleyici normal DNS sorgu işlemi yoluyla bir yanıt aldığında, yanıtın doğru olduğundan emin olmak için kontrol eder. İdeal olarak, güvenlik-tanılı çözümleyici, DNS kökündeki DS ve DNSKEY kayıtlarının doğrulanmasıyla başlayacaktır. Daha sonra, "com" bölgesinde DNSKEY kayıtlarını doğrulamak için kökte bulunan "com" üst düzey etki alanı için DS kayıtlarını kullanır. Buradan itibaren, "com" bölgesinde "example.com" alt alanı için bir DS kaydı olup olmadığına bakar ve eğer varsa, DS kaydı, "example.com" bölgesinde bulunan bir DNSKEY kaydını doğrulamak için kullanır. Son olarak, "www.example.com" için A kayıtlarının cevabında bulunan RRSIG kaydını doğrular.

Yukarıdaki örnek için bazı istisnalar vardır.

İlk olarak, "example.com" DNSSEC' i desteklemiyorsa, yanıtta RRSIG kaydı olmayacaktır ve "com" bölgesinde "example.com" için bir DS kaydı olmayacaktır. "Example.com" için bir DS kaydı varsa, ancak yanıtta RRSIG kaydı yoksa, bir şey yanlıştır ve belki ortadaki adam saldırısı vardır ve DNSSEC bilgilerinin soyulması, A kayıtlarının değiştirilmesi gerçekleşiyor olabilir. Ya da, DO işaret biti sorgusundan veya RRSIG kaydının cevabından sıyrılan yol boyunca, kırılmış, güvenlikten habersiz bir isim sunucusu olabilir. Ya da bir yapılandırma hatası olabilir.

Sonra eğer "www.example.com" adında bir alan adı bulunmuyor ise, bu durumda cevapta bir RRSIG kaydı yerine, bir NSEC kaydı veya bir NSEC3 kaydı olacaktır. Bunlar, çözümleyicinin bir alan adının mevcut olmadığını kanıtlamasına izin veren "sonraki güvenli" kayıtlardır. NSEC / NSEC3 kayıtlarında, yukarıdaki gibi doğrulanabilen RRSIG kayıtları bulunur.

Son olarak ise "example.com" bölgesi DNSSEC'i uygulamış olabilir, ama "com" bölgesi veya kök bölgesinin uygulamamış olabilir. 15 Temmuz 2010 itibarıyla, DNSSEC' in köke dağıtımı tamamlandı.[7] com etki alanı geçerli güvenlik anahtarlarıyla imzalanmış ve 1 Nisan 2011'de kök bölgesine güvenli temsilci eklenmiştir.[8]

Saplama çözümleyiciler

Saplama çözümleyicileri, DNS çözümleme çalışmasının çoğunu özyinelemeli bir ad sunucusuna yüklemek için yinelemeli sorgu modunu kullanan minimal DNS çözümleyicileridir.[9] Bir saplama çözümleyici, bir isteği yinelemeli ad sunucusuna iletir ve yanıttaki Kimlik Doğrulama Bilgisi (AD) biti, "yinelemeli ad sunucusunun, yanıtın Cevap ve Yetki bölümünün içindeki tüm veriler için imzaları doğrulayıp doğrulayamadığını bulmak için" ipucu "olarak kullanır.[4] Microsoft Windows' un kullandığı saplama çözümleyici, Windows Server 2008 R2 ve Windows 7, özellikle doğrulanmamış, ancak AD-bit uyumlu bir saplama çözümleyicisi kullanmaktadır.[2][3]

Doğrulayıcı saplama çözümleyicisi, sorgulama iletilerinde Devre Dışı Bırakma (CD) biti'ni ayarlayarak kendi imza doğrulamasını da gerçekleştirebilir.[4] Kendi yinelemeli kimlik doğrulamasını gerçekleştirmek için CD biti kullanır. Böyle bir doğrulanmış saplama çözümleyicisi kullanmak, İnternet hizmet sağlayıcısı veya onlarla bağlantı güvenilir olmasa bile, DNSSEC'i uygulayan alanlar için istemciye uçtan uca DNS güvenliği sağlar.

Doğrulayıcı olmayan saplama çözümleyicinin DNSSEC hizmetlerine gerçek bir güven yer vermesi için, saplama çözümleyici söz konusu yinelenen ad sunucularına (genellikle Internet hizmet sağlayıcısı tarafından denetlenen) güvenmelidir. Kendisi ile bu isim sunucuları arasındaki iletişim kanalları IPsec, SIG (0) veya TSIG[4] gibi yöntemlerdir. IPsec kullanımı geniş çaplı yayılmamıştır.[3]

Güvenli Mekanizma ve Kimlik Doğrulama Zincirleri

DNS yanıtının doğru olduğunu kanıtlayabilmek için, en az bir anahtar veya DNS dışındaki kaynaklardan doğru olan bir DS kaydı bilmesi gerekir. Bu başlangıç noktaları, güven mekanizmaları olarak bilinir ve genellikle işletim sistemi veya başka bir güvenilen kaynak ile elde edilir. DNSSEC orijinal olarak tasarlandığında, gereken tek güven mekanizmasının DNS kökü için olduğu düşünülüyordu. Kök mekanizmalar ilk defa 15 Temmuz 2010'da yayınlandı.[10]

Kimlik doğrulama zinciri, sorgudaki alan için yetkili ad sunucusuna bir güven mekanizması ile başlayan bir dizi bağlı DS ve DNSKEY kaydıdır. Tam bir kimlik doğrulama zinciri olmadan, bir DNS sorgusunun cevabı güvenli bir şekilde doğrulanamaz.

İmzalar ve Bölge İmzalama

Yeniden gönderme saldırılarını sınırlamak için, önbelleğe alma amacıyla yalnızca normal DNS TTL değerleri değil, bir imzanın geçerliliğini sınırlamak için RRSIG kayıtlarındaki ek zaman damgaları da vardır. Kayıtların gönderildiği zamana göre TTL değerlerinden farklı olarak, zaman damgaları mutlaktır. Bu, güvenlikle ilgili tüm DNS çözümleyicilerinin, birkaç dakika içinde eşit olarak senkronize olan saatlere sahip olması gerektiği anlamına gelir.

Bu zaman damgaları, bir bölgenin düzenli olarak yeniden imzalanması ve ikincil sunuculara yeniden dağıtılması gerektiğini ya da doğrulanmış çözümleyiciler tarafından imzaların reddedileceğini ima eder.

Anahtar Yönetimi

DNSSEC, hem DNSKEY kayıtlarında hem de güven kaynaklarını oluşturmak için diğer kaynaklarda saklanan birçok farklı anahtar içerir.

Yedek anahtarlara izin vermek için, bir anahtar çevrim şeması gereklidir. Genellikle, bu, eski anahtarlara ek olarak, yeni DNSKEY kayıtlarındaki yeni anahtarları ilk kez içerir. Ardından, yaşama değerlerinin eski anahtarların saklanılmasına neden olduğunu varsaymak güvenliyse, bu yeni anahtarlar kullanılabilir. Son olarak zamanı geçmiş eski anahtarları kullanan kayıtları saklamayı varsaymak güvenliyse, eski DNSKEY kayıtları silinebilir. Bu işlem, kökte olduğu gibi, bağlayıcı mekanizmalara (anchor) güvenme anahtarlarındaki gibi şeyler için daha karmaşıktır, öyle ki, işletim sisteminde bir güncelleştirme gerektirebilir.

DNSKEY kayıtlarındaki anahtarlar iki farklı şey için kullanılabilir ve genellikle her biri için farklı DNSKEY kayıtları kullanılır. İlk olarak, diğer DNSKEY kayıtlarını imzalamak için kullanılan anahtar imzalama anahtarları (KSK) vardır. İkincisi, diğer kayıtları imzalamak için kullanılan bölge imzalama anahtarları (ZSK) vardır. ZSK'ler belirli bir DNS bölgesi tarafından tam kontrol ve kullanım altında olduğundan, daha kolay ve daha sık değiştirilebilirler. Sonuç olarak, ZSK'ler KSK'lerden çok daha kısa olabilir ve RRSIG / DNSKEY kayıtlarının boyutunu azaltırken aynı koruma düzeyini sunmaya devam eder.

Yeni bir KSK oluşturulduğunda, DS kaydı bir üst bölgesine aktarılmalı ve orada yayınlanmalıdır. DS kayıtları, kayıtların boyutunu küçük tutmak için tam anahtar yerine KSK'nın bir mesaj özetini kullanır. Bu, çok büyük olan .com etki alanı gibi bölgeler için yararlıdır. Üst bölgedeki DS anahtarlarını güncelleme yordamı, üst bölgedeki DNSKEY kayıtlarını gerektiren önceki DNSSEC sürümlerinden de daha basittir.

DANE Çalışma Grubu

Adlandırılmış varlıkların DNS tabanlı kimlik doğrulaması (DANE), internet uygulamalarının DNSSEC tabanlı TLS, DTLS, SMTP ve S / MIME ile kriptografik olarak güvenli iletişim kurmasına olanak tanıyan protokoller ve teknikler geliştirme amacıyla bir IETF çalışma grubudur.[11]

Yeni protokoller, açık anahtar altyapısına dayalı geleneksel model için ek güvenceler ve kısıtlamalar getirecektir. Ayrıca, alan sahiplerine üçüncü taraf sertifika yetkililerine[12] atıfta bulunmadan kendileri için sertifikalar vermelerini de sağlar.

Google Chrome 14'te[13] DNSSEC yerleştirilmiş sertifika desteği sağlandı, ancak daha sonra kaldırıldı.[14] Mozilla Firefox için destek, bir eklenti[15] tarafından sağlanırken, yerel destek şu anda üzerinde çalışmaya başlamak için birilerini bekliyor.[16]

Tarihçe

DNS, temel ve ciddi bir internet hizmetidir, ancak 1990 yılında Steve Bellovin sistemin içinde önemli güvenlik açıkları keşfetti. Sistemin güvenlik araştırması başladı ve 1995 yılında yayınladığı makalesinin ardından önemli ölçüde ilerleme kat edildi.[17] İlk RFC 2065, 1997 yılında IETF tarafından yayınlandı ve bu spesifikasyonu uygulamaya yönelik ilk girişimler bir düzenlemeye yol açtı, (ve tamamen çalışır olduğuna inanılan) yeni düzenleme 1999 yılında RFC 2535 olarak yayınlandı. RFC 2535'e dayanan DNSSEC'i uygulamak için planlar yapıldı.

Ne yazık ki, IETF RFC 2535 dokümanı, internetin tamamına kadar ölçeklenen çok önemli sorunlara sahipti, 2001 yılında bu dokümanın büyük ağlar için kullanılamaz olduğu netleşti. Normal işlemlerde DNS sunucuları sık sık sunucu atalarıyla senkronizasyonu yitirir. Bu durum genellikle sistem için bir sorun oluşturmaz, ama DNSSEC etkinleştirildikten sonra, bu senkronize olmayan veriler ciddi bir kendi kendine oluşturulmuş Denial of Service saldırısına neden olabilir. Orijinal DNSSEC, bir alt seviyedeki DNS sunucusu için anahtar değişikliklerinde karmaşık bir altı mesaj protokolüne ve çok sayıda veri aktarımına ihtiyaç duyuyordu (DNS alt seviyedeki sunucuların tüm verilerini üst seviyeye yollaması, bu verilerin imzalaması ve ardından bu imzaların sunucuya tekrar yollanması gerekiyordu). Ayrıca, açık anahtar değişikliklerinin beklenmedik etkileri olabiliyordu. Örneğin, ".com" kayıtlarının tutulduğu sunucu açık anahtarını değiştirirse, bu sunucunun 22 milyon kayıt göndermesi gerekirdi (tutulan tüm kayıtların imzalarının güncellenmesi için). Böylece, RFC 2535'te tanımlandığı gibi DNSSEC tüm internete ölçeklendirilemedi.

IETF, DNSSEC'i RFC 2535'in DNSSEC yaklaşımından farklı kılmak için temel değişiklikler yaparak DNSSEC-bis'i oluşturdu. DNSSEC-bis yaklaşımında, ebeveyn ve çocuk bölgesi arasındaki temsil noktalarında ek bir dolaylılık seviyesi sağlamak için "yetkili imzalı (DS) kaynak kayıtları" kullanır. Yeni yaklaşımda, bir çocuğun ana açık anahtarı değiştiğinde, çocukta bulunan her bir kayıt için altı mesaj göndermesi yerine, sadece bir mesajla yeni açık anahtarını ebeveynine imzalı olarak göndermesi yeterlidir. Böylece oldukça pratik bir şekilde ebeveynler her çocuk için bir ana açık anahtar tutar. Ayrıca ebeveyn ve çocuklar arasında çok büyük boyutta veri değişimini en aza indirger. Bu, kullanıcıların anahtarları doğrularken biraz daha fazla çalışma yapması gerektiği anlamına gelir. Daha spesifik olarak, bir DNS bölgesinin KEY RRset (kaynak kayıtları anahtarı) doğrulanması, RFC 2535'te belirtilen tek imza doğrulama işlemi yerine iki imza doğrulama işlemi gerektirir (diğer RRset türleri için doğrulama imzalarının sayısı üzerinde herhangi bir etkisi yoktur). Bu durum DNSSEC dağıtımını daha pratik hale getirdiğinden, çoğu insan için daha küçük bir fiyat olarak görünür.

NXDOMAIN yanıtları ve NSEC için Kimlik Doğrulama

Kriptografik olarak bir alanın (domain) yokluğunu kanıtlamak, var olmayan bir alan için her sorguya yanıtı imzalamayı gerektirir. Bu, anahtarları çevrimiçi olarak saklayan çevrimiçi imzalama sunucuları için bir sorun değildir. Ancak DNSSEC, kayıt imzalamak için çevrimdışı bilgisayarları kullanacak şekilde tasarlanmıştır; böylece bölge imzalama anahtarları soğuk depoda tutulabilir. Bu durum, var olan her ana makine (hostname) adı sorgusuna bir yanıtın önceden üretilmesi mümkün olmadığından mevcut olmayan alanlara yönelik sorgulara yanıtları doğrulamaya çalışırken sorun oluşturur.

Bu probleme ilk çözüm, bir bölgedeki her alan çifti için NSEC kaydı oluşturmak şeklindeydi. Böylece, bir kullanıcı var olmayan k.example.com'daki bir kaydı sorguladığında, sunucu a.example.com ve z.example.com arasında hiçbir şeyin bulunmadığını belirten bir NSEC kaydıyla yanıt verir. Ancak bu, bölge hakkında daha fazla bilgiyi, gerçek alanlarının varlığını sızdırdığı için, geleneksel kimliği doğrulanmamış NXDOMAIN hatalarından daha fazla veri sızdırmaktadır.

NSEC3 kayıtları (RFC 5155) doğrudan isimleri listelemek yerine alternatif olarak isimlerin özetleriyle (hash fonksiyonu) listelemek için oluşturulmuştur. Zaman içinde, GPU'lar ve özel donanımlar kullanılarak özet fonksiyonundaki ilerlemeler, NSEC3 yanıtlarının çevrimdışı sözlük saldırıları ile kolaylıkla aşılabileceği anlamına geliyordu. NSEC5, yetkili sunucuların bölgeyi değiştirmek üzere kullanacağı özel bir anahtar bulundurmadan NSEC yanıtlarını imzalamasına izin vermesini önermiştir. Böylece bir NSEC5KEY'in çalınması sadece bir bölgenin daha kolay sayılmasına neden olacaktır.[18]

Protokolün dağınık evrimi ve geriye dönük uyumluluğu koruma isteğinden dolayı, çevrimiçi DNSSEC imzalama sunucuları, doğrudan bir varlığının reddini (denial of existence) doğrulamak yerine bir "beyaz yalan" döndürüyor. RFC 4470'deki teknik ana hat, etki alanı çiftlerinin istenen etki alanını çevrelediği bir NSEC kaydı döndürür. Örneğin, k.example.com için yapılan bir istek, j.example.com ve l.example.com alan adlarının arasında hiçbir şeyin bulunmadığını kanıtlayan bir NSEC kaydı dönecektir. CloudFlare, "kayıt var, ancak istenen kayıt türü bulunmuyor" mesajıyla, önemli ölçüde azaltılmış veri yükü boyutuna sahip olduğunu kanıtlayan başka bir yaklaşıma öncülük etti.[19]

Dağıtım

İnternet hassas bir altyapıya sahiptir, ancak çalışması güvenli olmayan DNS'ye bağlıdır. Bu nedenle, DNS'yi güvence altına almak için güçlü bir teşvik vardır ve DNSSEC'i kullanmak bu çabanın temel bir parçası olarak kabul edilir. Örneğin, ABD Ulusal Siber Güvenlik Stratejisi özellikle DNS'nin güvenliğini sağlamanın gerektiğine değinmiştir.[20] DNSSEC'in geniş çaplı dağıtımı, e-posta adresleri için güvenli anahtar dağıtımı gibi diğer birçok güvenlik problemini de çözebilir.

Büyük ölçekli ağlarda DNSSEC dağıtımı da oldukça zorlayıcıdır. Ozment ve Schechter, DNSSEC'in (ve diğer teknolojilerin) bir "bootstrap problemine" sahip olduğunu gözlemlemiştir. Yani kullanıcılar genellikle anında bir fayda elde ettikleri zaman bir teknolojiyi kullanırlar, ama herhangi bir kullanıcı bu teknoloji için yapacağı harcamadan daha büyük bir kazanç elde etmeden önce minimum düzeyde bir dağıtım gerekiyorsa (DNSSEC için olduğu gibi), dağıtımı zordur. DNSSEC, bir DNS hiyerarşisinin herhangi bir düzeyinde uygulanabilir, ancak diğerlerinin benimsemesini istemeden önce bir bölgede yaygın olarak bulunmalıdır. DNS sunucuları, DNSSEC'i destekleyen bir yazılımla güncelleştirilmeli, DNSSEC verileri oluşturulmalı ve DNS bölgesi verilerine eklenmelidir. Bir TCP/IP kullanan istemcinin, DNSSEC'in özelliklerini kullanabilmesi için DNS çözümleyicisinin (istemci) güncelleştirilmesi gerekir. Ek olarak, herhangi bir çözümleyici, DNSSEC kullanmaya başlamadan önce güvenebileceği en az bir ortak anahtarı olmalıdır veya anahtar elde etme yoluna sahip olmalıdır.

DNSSEC uygulaması bazı DNS sunucularına önemli yükler ekleyebilir. Ortak DNSSEC imzalı yanıtlar, 512 baytlık varsayılan UDP paketi boyutundan çok daha büyüktür. Teoride bu, birden fazla IP parçası kullanılarak çözülebilir, ama bu alandaki birçok "middlebox", bunları doğru şekilde çözemez. Bu UDP yerine TCP kullanılmasına yol açar. Yine de birçok TCP uygulaması, her bir TCP bağlantısı için çok büyük miktarda veri saklar; ağır yüklü sunucular, çok sayıda (ve muhtemelen sahte) DNSSEC isteklerine yanıt vermeye çalışarak kaynakların tükenmesine neden olabilir. Bu yüklemeyi azaltmak için TCP Çerez İşlemleri gibi bazı protokol uzantıları geliştirilmiştir.[21] Bu zorlukları çözmek ve DNSSEC'i yaymak için önemli çabalar devam ediyor, çünkü internet birçok organizasyon için hayati önem taşıyor.

Erken dağıtımlar

İnternet ülke kodu üst düzey alan adı seviyesinde DNSSEC'i ilk kullananlar Brezilya (.br), Bulgaristan (.bg), Çekya (.cz), Namibya (.na)[22] Puerto Rico (.pr) ve İsveç (.se), oldu;[23] Internet Assigned Numbers Authority (IANA) tarafından yetkilendirilmiş RIPE NCC'ye tüm geriye doğru arama kayıtlarını (in-addr.arpa) imzalattı.[24] American Registry for Internet Numbers (ARIN)'a da ters bölgeleri imzalattı.[25] Şubat 2007 İsveç'te Tele Danmark Communications (TDC), bu özelliği müşterilerine sunmaya başlayan ilk ISP oldu.[26]

IANA, Haziran 2007'de örnek imzalı kökü[] test etti. Kökün üretiminin imzalanmasından önce bu süre zarfında, birkaç alternatif güven kaynağı da vardı. IKS Jena, 19 Ocak 2006'da bir tanesini uygulamaya koydu,[27] İnternet Sistemleri Konsorsiyumu, aynı yılın 27 Mart tarihinde bir başkasının tanıtımı yaptı.[28] ICANN ise 17 Şubat 2009'da üçüncüsünü duyurdu.[29]

Çok çeşitli pilot projeler ve deneyler yapıldı. dnssec.net bu tür projelerin bir listesini tutar. Ayrıca, Dünya Çapında DNSSEC Dağıtımının bir Google Haritası[30] var.

2 Haziran 2009 tarihinde, Public Interest Registry .org bölgesini imzaladı.[31] PKR 26 Eylül 2008'de, ilk olarak büyük kayıt şirketlerinin ("arkadaş ve aile") güçlü bir çalışma ilişkisine sahip olduğu ilk aşamada, "erken 2009" dan başlayarak, alan adlarını imzalayabilecek ilk kişi olacağını açıklamıştır.[32] 23 Haziran 2010'da, 13 kayıt memuru, .ORG alanları için DNSSEC kayıtları sundular.[33]

VeriSign, .com ve .net alan adlarının NSEC3 denemesi amacıyla kayıt olması için bir pilot proje yürütmüştür. 24 Şubat 2009'da, DNSSEC'i 24 ay içinde tüm üst seviye alanlarına (.com, .net, .tr vb.) dağıtacağını açıkladılar[34] ve aynı yılın 16 Kasım'ında .com ve .net alanları için, uygulanmasının teknik gecikmelerden sonra, 2011'in ilk çeyreğinde imzalanacağını belirttiler.[35] Bu hedefe tam zamanlanan sürede ulaşıldı[36] ve Verisign'ın DNSSEC Başkan Yardımcısı Matt Larson, DNSSEC'i ilerletme rolüyle 2011'de InfoWorld'ün Teknoloji Liderlik Ödülü'nü kazandı.[37][38]

Kök DNS dağıtımı

DNSSEC ilk defa 15 Temmuz 2010 tarihinde kök düzeyinde dağıtıldı.[39] Kök güven istasyonunun, kökten tam bir güven zincirine sahip olan DNSSEC bölgesini doğrulamak için kullanılabildiğinden, bunun DNSSEC çözümleyicilerinin dağıtımını büyük ölçüde basitleştirmesi beklenmektedir. Güven zinciri, doğrulanması için kesintisiz olarak güvenilen bir köke kadar takip edilmesi gerektiğinden, üst bölgelerden herhangi biri güvenli değilse, güvenin sağlanması için yeniden yapılandırılması gerekir. Örneğin, "signed.example.org" bölgesi güvenliyse ancak "example.org" bölgesi güvenli değilse, ".org" bölgesi ve kök imzalanmış olsa bile, bölgeyi doğrulamak için bir güven mekanizmasının dağıtılması gerekir.

Kökün imzalanmasına dair politik meseleler, esas olarak bazı temel meselelerle ilgili sürekli bir endişe kaynağı olmuştur:

  • Diğer ülkeler, ABD'nin İnternet üzerinden kontrolü konusunda endişeli ve bu sebeple herhangi bir merkezi anahtarlamayı reddedebilir.
  • Bazı hükûmetler DNSSEC destekli şifreleme anahtarı dağıtımını engellemeye çalışabilir.

Planlama

Eylül 2008'de ICANN ve VeriSign ayrı olarak birer uygulama önerisini yayınladı[40] ve Ekim ayında Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) kamuoyuna yorum istedi.[41] Alınan yorumların son dağıtım planının tasarımını etkileyip etkilemediği belirsizdir.

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 3 Haziran 2009 tarihinde, ICANN, VeriSign ve NTIA ile birlikte 2009'un sonuna kadar kök imzalamayı planladığını duyurdu.[42]

6 Ekim 2009'da, 59. RIPE Konferans toplantısında ICANN ve VeriSign, DNSSEC'in kök bölgesi içinde dağıtımı için planlanan dağıtım zaman çizelgesini duyurdu.[43] Toplantıda, 1 Temmuz 2009 tarihinden başlayarak ayda bir kök ad sunucusuna dağıtılacağını açıkladı, 1 Temmuz 2010'da DNSSEC imzalı bir bölgeye hizmet veren son kök alan adı sunucusu bir kök bölgesi RSA / SHA256 DNSKEY ile imzalanacaktır. Artırımlı dağıtım süresi boyunca kök bölge, Deliberately Unvalidatable Root Zone (DURZ) hizmet edecektir ve 1 Temmuz 2010'da kadar dağıtılacak olan son DNSKEY kaydına kadar dağıtılmayacaktır.[44] Bu, bölge kullanımını imzalamak için kullanılan anahtarların kasten doğrulanamayacağı anlamına gelir; bu dağıtımın nedeni, DNSSEC kaynak kayıtlarını isteyen sorgulara yapılan daha büyük yanıtların neden olduğu trafik modellerindeki değişiklikleri izlemek oldu.

.org üst düzey alan adı Haziran 2010'da DNSSEC ile imzalandı bunu 2010, 2011 ve sonrasında .com, .net ve .edu takip etti.[45][46] Ülke kodu üst düzey alan adları, Mayıs 2010'dan itibaren anahtarları depolayabildi.[47] Kasım 2011 itibarıyla, üst düzey alanların %25'inden fazlası DNSSEC ile imzalanmıştır.[48]

Uygulama

25 Ocak 2010'da, L (ell) kök sunucusu DURZ hizmetini vermeye başladı. Bölge, RFC 5702'de tanımlandığı gibi RSA algoritması kullanılarak oluşturulan bir SHA-2 (SHA-256) karma imzasını kullanır.[49][50][51] Mayıs 2010 itibarıyla, 13 kök sunucunun hepsi DURZ hizmeti vermeye başladı. 15 Temmuz 2010'da, ilk tam kök üretimli DNSSEC kök bölgesi, SOA 2010071501 seri numarasıyla imzalandı. Kök güvenleri IANA'dan temin edilebilir.

TLD düzeyinde dağıtım

Kökün altında, tam DNSSEC dağıtımının gerçekleştirilmesi için imzalanması gereken büyük bir üst düzey alan adı(top level domain) kümesi bulunur. Internet üst düzey alan adlarının listesi, mevcut üst düzey alan adlarından hangilerinin imzalandığına ve köke bağlı olduğuna ilişkin ayrıntılar sağlar.

DNSSEC Denetleme Doğrulaması

2006 Mart ayında, Internet Systems Consortium (ISC), DNSSEC Denetleme Doğrulaması(DNSSEC Lookaside Validation - DLV) kayıt defterini tanıttı.[52] DLV'nin amacı, bir kök güven istasyonu olmadığında DNSSEC'in dağıtımını kolaylaştırmaktı. Bu durumda bir doğrulayıcının, DNS'nin imzalı altkümelerine karşılık gelen çok sayıda güven bağı oluşturmak zorunda kalacağı düşünüldü.[53] DLV'nin amacı, doğrulayıcıların güvenilir bir üçüncü tarafa bir güven istasyonunu yönetmeye gerek kalmamasını sağlamaktı. DLV kayıt defteri, kendi listelerini sürdürme çalışmalarını yineleyen her bir doğrulayıcı yerine, güven istasyonlarının merkezi bir listesini tutmaktadır.

DLV kullanmak için, bir DLV bölgesi için bir güven çapası ile yapılandırılmış Bind veya Unbound gibi bir destekleyici gereklidir. Bu bölge DLV kayıtlarını içerir;[54] bu kayıtlar, DS kayıtlarıyla tam olarak aynı biçime sahiptir, ancak bir temsilci alt bölgeye başvurmak yerine, DNS ağacında başka bir bölgeye başvururlar. Doğrulayıcı, kökten RRset'e bir güven zinciri bulamadığında, tekrar kontrol etmeye çalışır, alternatif bir güven zinciri sağlayabilen bir DLV kaydını arar.[55]

DNSSEC yetkilerini desteklemeyen üst düzey alan adları veya kayıt şirketleri gibi güven zincirindeki boşluklar, alt düzey etki alanlarındaki yöneticilerin DLV'yi, DNS verilerinin, DLV'yi kullanmak üzere yapılandırılan çözücüler tarafından doğrulanmasını sağlamak için kullanabilir. Bu, DNSSEC dağıtımını doğru bir şekilde desteklemek için kayıt memurları ve TLD kayıtlarından baskı alarak DNSSEC dağıtımını engelleyebilirdi. DLV ayrıca DNSSEC doğrulaması için daha fazla katılımcı ve kod yolu ekleyerek karmaşıklığı artırır. Bu durum daha fazla belirsizliği ortaya çıkarmaktadır çünkü doğrulayıcı çözümleyicilerin tümü DLV'yi ya desteklememekte ya da kullanmamaktadır. Bir çözümleyiciyi sorgulayan istemciler, farklı bir doğrulayıcı çözümleyici kullanan istemciler tarafından desteklenmezken, DLV doğrulanmış yanıtları alabilir.

DLV yaygın olarak kullanılamamıştır. Mayıs 2015'e kadar, ISC'nin DLV kaydı toplam 5.000 alan adının altında ve bunların %10'dan daha azında imzasız bir ana alan adı vardı. ISC, DLV kaydını iptal etme planını açıkladı.[56] DLV desteğinin BIND'den ve doğrulama çözümleyicilerinin diğer uygulamalarından kaldırılacağı henüz belli değildir.

ABD Federal Hükümeti tarafından DNSSEC dağıtım girişimi

ABD İç Güvenlik Bakanlığı (DHS) Bilim ve Teknoloji Müdürlüğü, "DNSSEC Dağıtım Girişimi"ni destekliyor. Bu girişim, tüm sektörleri, internet ve adlandırma altyapısının güvenliğini artıracak güvenlik tedbirlerini gönüllü olarak benimsemeye teşvik ediyor, ayrıca kamu ve özel sektördeki birçok ülke ve örgütü içeren küresel, işbirlikçi çabaların bir parçası. DHS ayrıca, DNSSEC'i geliştirmek ve ABD federal hükümetine dağıtılmak için çaba sarf ediyor.

30 Mart 2007'de ABD Dışişleri Bakanlığı Güvenlik Dairesi Başkanlığı'nın “DNS kökenini ABD hükümetinin elinde sağlam bir şekilde imzalamanın anahtarı olması” önerildi.[57] Ancak toplantı odasında ABD Hükûmeti yetkililerinden kimse yoktu ve makaleyi başlatan yorum başka bir taraftan yapılmıştı. DHS daha sonra başkalarının ABD Hükûmeti'nin böyle bir öneride bulunmuş olduğu gibi yanlış bir sonuca vardığına inandıklarını şöyle açıkladı: “ABD İç Güvenlik Bakanlığı, DNSSEC'i uygulamak için teknik bir planın geliştirilmesini finanse ediyor ve son olarak Ekim ayında, ilk taslağını yorumlar için uluslararası uzmanların uzun bir listesine dağıttı.[58][59] Taslak, temel olarak bir devlet kurumuna veya yükleniciye kaynayan Kök Bölge Anahtarının sahibi veya operatörü olabilmeleri için bir dizi seçenek ortaya koymaktadır. "Bu belgede hiçbir yerde Kök Anahtar Operatörünün kimliği ile ilgili herhangi bir öneride bulunmuyoruz," şeklinde Homeland Security'nin Siber Güvenlik Araştırma ve Geliştirme Müdürü Maughan açıklama yaptı.

ABD Federal Hükümeti'nde DNSSEC dağıtımı

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 16 Mayıs 2006 tarihinde NSS Özel Yayını 800-81 Güvenli Alan Adı Sistemi (DNS) Dağıtım Kılavuzu'nu yayınladı ve DNSSEC'in nasıl dağıtılacağı konusunda rehberlik etti. NIST, NIST SP800-53-R1'deki yeni DNSSEC Federal Bilgi Güvenliği Yönetimi Yasası (FISMA) gerekliliklerini yayınlamayı planladı ve bu dağıtım kılavuzuna başvurdu. ABD ajansları, NIST SP800-53-R1'in bu yeni FISMA gerekliliklerini yerine getirmeleri için bir yıl sonra yayınlanacaktı.[60] Ancak, NSEC3 zamanında tamamlanamadı. NIST, mümkün olduğu bilinen ancak doğru bir şekilde dağıtılması zor olan ve yukarıda belirtilen güvenlik zaaflarına sahip olan bölünmüş alan adlarını kullanmayı önerdi.

22 Ağustos 2008'de, Yönetim ve Bütçe Bürosu (OMB), ABD Federal Ajanslarının DNSSEC'yi .gov siteleri arasında dağıtmasını gerektiren bir bildiri yayınladı; .gov kökü Ocak 2009'a kadar imzalanmış olmalı ve .gov altındaki tüm alt alanların Aralık 2009'a kadar imzalanması gerekir.[61] Bildiri, .gov sitelerine odaklanırken, ABD Savunma Bilgi Sistemleri Dairesi, aynı zamanda .mil (ABD askeri) alanında da OMB DNSSEC gereksinimlerini karşılamayı planladığını açıkladı. NetworkWorld'den Carolyn Duffy Marsan, DNSSEC'in "yaygın bir şekilde dağıtılmadığını, çünkü klasik bir tavuk ve yumurta ikileminden acı çektiğini ve OMB'nin görevinin yumurtanın çatlamasına neden olmak olduğunu" söyledi.[62]

Çözümleyicilerin dağıtımı

Birkaç ISP, DNSSEC doğrulayan DNS özyineli çözümleyicilerini dağıtmaya başladı. Comcast, Amerika Birleşik Devletleri'nde 18 Ekim 2010'da yapacağını açıkladı[63][64] ve 11 Ocak 2012'de dağıtımını tamamlayan ilk büyük ISP oldu.[65]

APNIC'de yapılan bir araştırmaya göre, DNSSEC doğrulama işlemini gerçekleştiren DNS çözümleyicilerini kullanan istemcilerin oranı, Mayıs 2013'te %8,3'e yükseldi.[66] yarım müşterilerin edildi kullanarak Google genel DNS çözümleyici.

Eylül 2015'te Verisign, halka açık ücretsiz DNS çözümleme hizmetini duyurdu[67] ve basında belirtilmemiş olmasına rağmen, DNSSEC doğrulaması hizmetini de gerçekleştiriyor.

2016 yılının başında, APNIC'in araştırmasına göre, DNSSEC doğrulama işlemini gerçekleştiren DNS çözümleyicilerini kullanan müşterilerin oranının yaklaşık %15'e çıkmış olduğunu gösterdi.[68]

Google Genel DNS

Google Genel DNS, DNSSEC'i tamamen destekleyen, ücretsiz olarak sağlanan bir genel DNS hizmetidir.

2009'daki lansmanında Google Genel DNS, DNSSEC'i desteklemiyordu. RRSIG kayıtları sorgulanabiliyor, ancak AD bayrağı (sunucunun, tüm veriler için imzaları doğrulayabilmesi anlamına gelen kimliği doğrulanmış veri) asla ayarlanamıyordu.

28 Ocak 2013'te, Google'ın DNS sunucuları, DNSSEC doğrulama bilgileri sağlamaya sessizce başladı,[69] ancak yalnızca istemcinin kendi sorgusunda DNSSEC OK (DO) işaretini açıkça belirlemesi durumunda çalışıyordu.

6 Mayıs 2013'te, Google Genel DNS, DNSSEC doğrulamasını varsayılan olarak etkinleştirdi; istemciler açıkça belirtmediği sürece tüm sorguların doğrulanacağı anlamına gelir.[70]

Sorunlar

Microsoft Exchange 2013'te MX kayıt aramasını kırdığı ve daha büyük olan #550 4.4.7QUEUE'nun neden olduğu bilinmektedir.[71]

IETF standartları

  • RFC 2535: Domain Name System Security Extensions
  • RFC 3833: A Threat Analysis of the Domain Name System
  • RFC 4033: DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034: Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035: Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398: Storing Certificates in the Domain Name System (DNS)
  • RFC 4470: Minimally Covering NSEC Records and DNSSEC On-line Signing
  • RFC 4509: Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 5155: DNSSEC Hashed Authenticated Denial of Existence
  • RFC 6781: DNSSEC Operational Practices, Version 2
  • RFC 6840: Clarifications and Implementation Notes for DNS Security (DNSSEC)

Araçlar

DNSSEC dağıtımı, sunucu ve istemci tarafında yazılım olmasını gerektirir. DNSSEC'yi destekleyen araçlardan bazıları şunlardır:

  • Windows 7 ve Windows Server 2008 R2, yinelemeli ad sunucusu tarafından güvenli ve güvenli olmayan yanıtlar arasında ayrım yapabilen bir "güvenlik farkındalık" saptama çözümleyicisi içerir. Windows Server 2012 DNSSEC, Active Directory ile tümleşik bölgelerle güvenli dinamik güncelleştirmeler ve buna ek olarak güven anahtarlarının diğer sunuculara Active Directory dağıtmasıyla uyumludur.[72][73]
  • BIND en popüler DNS isim sunucusudur, yeni DNSSEC-bis (DS kayıtları) protokolünü ve NSEC3 kayıtlarının desteğini içerir.
  • Drill 10 Ekim 2017 tarihinde Wayback Machine sitesinde arşivlendi., ldns 7 Mart 2018 tarihinde Wayback Machine sitesinde arşivlendi. ile birlikte bir DNSSEC-etkin "dig" benzeri bir araçtır.
  • Firefox'un Drill uzantısı, Mozilla Firefox'a bir alanın DNSSEC ile doğrulanıp doğrulanamadığını belirleme yeteneğini verir.
  • DNSSEC-Tools, her tür yönetici ve kullanıcının DNSSEC'den yararlanmalarına yardımcı olmak için kullanımı kolay araçlar sağlamayı amaçlamaktadır. Yetkili Bölgeler, Yetkili Sunucu ve Özyinelemeli Sunucu yöneticileri için olan araçların yanı sıra için bir kitaplık ve araçlar ve 18 Eylül 2009 tarihinde Wayback Machine sitesinde arşivlendi. genişletmek için mevcut yamalar için araçlar sunar.
  • Phreebird 17 Aralık 2010 tarihinde Wayback Machine sitesinde arşivlendi., herhangi bir DNS sunucusunun üzerine DNSSEC desteği ekleyebilen bir DNS proxydir.
  • Zone Key Tool 25 Mart 2018 tarihinde Wayback Machine sitesinde arşivlendi., DNSSEC kullanılan bölgelerinin bakımını kolaylaştırmak için tasarlanmış bir yazılımdır. Öncelikle küçük ila orta ölçekli bölgelere sahip ortamlar için tasarlanmıştır ve bölgenin otomatik olarak istifade edilmesinin yanı sıra tam otomatik bölge imzalama anahtarının aktarılmasını sağlar.
  • Unbound 5 Nisan 2018 tarihinde Wayback Machine sitesinde arşivlendi. DNSSEC kavramları etrafında tasarlanacak şekilde sıfırdan yazılmış bir DNS ad sunucusudur.
  • GbDns, Microsoft Windows için kompakt, kurulumu kolay bir DNSSEC isim sunucusudur.
  • mysqlBind, DNS ASP'leri için GPL DNS yönetim yazılımı artık DNSSEC'i destekliyor.
  • OpenDNSSEC, Donanım Güvenlik Modülleri ile arabirim kurmak için PKCS#11 kullanan bir DNSSEC imzalayıcı aracıdır.
  • SecSpider, DNSSEC dağıtımını ve bölgeleri izler ayrıca izlenen genel anahtarların bir listesini sunar.
  • DNSViz 30 Mart 2018 tarihinde Wayback Machine sitesinde arşivlendi. ve DNSSEC Analyzer 17 Eylül 2020 tarihinde Wayback Machine sitesinde arşivlendi., bir alanın DNSSEC kimlik doğrulama zincirini görselleştirmek için Web tabanlı araçlardır.
  • DNSSEC/TLSA Validator 2 Haziran 2018 tarihinde Wayback Machine sitesinde arşivlendi., ziyaret edilen alan adının DNSSEC durumunun görselleştirilmesi için bir Mozilla Firefox eklentisidir; DNSSEC/TLSA Validator 2.1, TLSA kayıtlarının (DANE) durumunu kontrol etmek ve görselleştirmek için destek eklenmiştir.
  • DNSSHİM 14 Şubat 2014 tarihinde Wayback Machine sitesinde arşivlendi. veya DNS Secure Hidden Master, DNSSEC destekli bölgeler için sağlama sürecini otomatikleştirmek için açık kaynaklı bir araçtır.
  • Net::DNS::SEC 6 Nisan 2018 tarihinde Wayback Machine sitesinde arşivlendi., Perl dili kullanılarak yazılmış bir DNS çözümleyicisidir.
  • Knot DNS, 1.4.0 sürümünde otomatik olarak DNSSEC imzalama desteğini ekledi.
  • PowerDNS, önceden imzalanmış ve canlı imzalı modlarda sürüm 3.0'dan itibaren DNSSEC'i tam olarak destekler.
  • Net_DNS2 7 Nisan 2018 tarihinde Wayback Machine sitesinde arşivlendi., PHP dili kullanılarak yazılmış bir DNS çözümleyicisidir.
  • DNSd, Google DNS üzerinden HTTPS 20 Mart 2018 tarihinde Wayback Machine sitesinde arşivlendi. sağlayan C dili kullanılarak yazılmış bir DNS çözümleyicisidir.

Ayrıca bakınız

  • DNSCrypt
  • DNSCurve
  • EDNS
  • TSIG
  • RPKI

Kaynakça

  1. ^ "Understanding DNSSEC in Windows". Microsoft. 26 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Ekim 2009. The Windows DNS client is a stub resolver... 
  2. ^ a b c "DNS Security Extensions (DNSSEC)". Microsoft. 26 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Ekim 2009. The DNS client in Windows Server 2008 R2 and Windows® 7 is a non-validating security-aware stub resolver. 
  3. ^ a b c d Muñoz Merino, Pedro J.; García-Martínez, Alberto; Organero, Mario Muñoz; Kloos, Carlos Delgado (2006), Meersman, Robert; Tari, Zahir; Herrero, Herrero Martín (Ed.), "Enabling Practical IPsec Authentication for the Internet" (PDF), On the Move to Meaningful Internet Systems 2006: OTM 2006 Workshops, Microsoft, Springer, 1, 26 Nisan 2012 tarihinde kaynağından (PDF) arşivlendi, erişim tarihi: 21 Ekim 2009 
  4. ^ a b c d RFC 4033: DNS Security Introduction and Requirements". The Internet Society. March 2005: 12.
  5. ^ Domain Name System Security (DNSSEC) Algorithm Numbers, IANA, 12 Temmuz 2010, 19 Eylül 2018 tarihinde kaynağından arşivlendi, erişim tarihi: 17 Temmuz 2010 
  6. ^ Conrad, D., "Indicating Resolver Support of DNSSEC, Internet Engineering Task Force, 4 Nisan 2016 tarihinde kaynağından arşivlendi, erişim tarihi: 27 Nisan 2017 
  7. ^ "Arşivlenmiş kopya". 10 Eylül 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  8. ^ "Arşivlenmiş kopya". 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  9. ^ RFC 4033: DNS Security Introduction and Requirements". The Internet Society. March 2005: 11. "RFC 1123 - Requirements for Internet Hosts -- Application and Support". IETF (Internet Engineering Task Force): 74.
  10. ^ "root-anchors". 10 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  11. ^ "IETF: DNS-based Authentication of Named Entities (dane)". 9 Eylül 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  12. ^ "Grepular: DNSSEC Will Kill Commercial CAs". 2 Şubat 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  13. ^ "ImperialViolet". 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Kasım 2011. 
  14. ^ "chromium git". 17 Aralık 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mart 2013. 
  15. ^ "DNSSEC/TLSA Validator". 2 Haziran 2018 tarihinde kaynağından arşivlendi. 
  16. ^ "Bugzilla@Mozilla: Bug 672600 - Use DNSSEC/DANE chain stapled into TLS handshake in certificate chain validation". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  17. ^ Steve Bellovin (1995). "Using the Domain Name System for System Break-Ins". 26 Şubat 2008 tarihinde kaynağından arşivlendi. 
  18. ^ "NSEC5: Provably Preventing DNSSEC Zone Enumeration". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  19. ^ "Arşivlenmiş kopya". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  20. ^ "U.S. National Strategy to Secure Cyberspace" (PDF). Şubat 2003. s. 30. 22 Mayıs 2018 tarihinde kaynağından (PDF) arşivlendi. 
  21. ^ Metzger, Perry; William Allen Simpson; Paul Vixie. "Improving TCP security with robust cookies" (PDF). Usenix. 7 Nisan 2018 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 17 Aralık 2009. 
  22. ^ "Arşivlenmiş kopya". 19 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  23. ^ DNSSEC, Electronic Privacy Information Center (EPIC), 27 Mayıs 2008, 28 Mayıs 2018 tarihinde kaynağından arşivlendi 
  24. ^ "RIPE NCC DNSSEC Policy". 22 Ekim 2007 tarihinde kaynağından arşivlendi. 
  25. ^ "ARIN DNSSEC Deployment Plan". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  26. ^ Eklund-Löwinder, Anne-Marie (12 Şubat 2012). "[dns-wg] Swedish ISP TCD Song Adopts DNSSEC". dns-wg mailing list. RIPE NCC. 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Aralık 2012. 
  27. ^ "dns-wg archive: Signed zones list". 5 Mart 2007 tarihinde kaynağından arşivlendi. 
  28. ^ "ISC Launches DLV registry to kick off worldwide DNSSEC deployment". 18 Kasım 2008 tarihinde kaynağından arşivlendi. 
  29. ^ "Interim Trust Anchor Repository". 12 Eylül 2009 tarihinde kaynağından arşivlendi. 
  30. ^ "Dünya Çapında DNSSEC Dağıtımının bir Google Haritası". 29 Haziran 2011 tarihinde kaynağından arşivlendi. 
  31. ^ ".ORG is the first open TLD signed with DNSSEC". 10 Nisan 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Ekim 2020. 
  32. ^ Sean Michael Kerner. ".ORG the Most Secure Domain?". www.internetnews.com. 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Ağustos 2009. 
  33. ^ ".ORG Registrar List — with DNSSEC enabled at the top". 12 Haziran 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Haziran 2010. 
  34. ^ "VeriSign: We will support DNS security in 2011". 3 Mart 2009 tarihinde kaynağından arşivlendi. 
  35. ^ "VeriSign: Major internet security update by 2011". 19 Kasım 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  36. ^ ".com Domain Finally Safe". 23 Ocak 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ocak 2013. 
  37. ^ "Verisign's Matt Larson Wins 2011 InfoWorld Technology Leadership Award". 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  38. ^ "The InfoWorld 2011 Technology Leadership Awards". 19 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  39. ^ "Root DNSSEC Status Update, 2010-07-16". 16 Temmuz 2010. 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  40. ^ Singel, Ryan (8 Ekim 2006). "Feds Start Moving on Net Security Hole". Wired News. CondéNet. 9 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Ekim 2008. 
  41. ^ "Press Release: NTIA Seeks Public Comments for the Deployment of Security Technology Within the Internet Domain Name System" (Basın açıklaması). National Telecommunications and Information Administration, U.S. Department of Commerce. 9 Ekim 2008. 13 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Ekim 2008. 
  42. ^ "Commerce Department to Work with ICANN and VeriSign to Enhance the Security and Stability of the Internet's Domain Name and Addressing System" (Basın açıklaması). National Institute of Standards and Technology. 3 Haziran 2009. 29 Haziran 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  43. ^ "DNSSEC for the Root Zone" (PDF). 
  44. ^ Hutchinson, James (6 Mayıs 2010). "ICANN, Verisign place last puzzle pieces in DNSSEC saga". NetworkWorld. 20 Aralık 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  45. ^ "DNSSEC to become standard on .ORG domains by end of June". 15 Mart 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Mart 2010. 
  46. ^ "The Inquirer: Verisign deploys DNSSEC on .com TLD". 23 Aralık 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  47. ^ "More security for root DNS servers". Heise Online. 24 Mart 2010. 19 Ocak 2019 tarihinde kaynağından arşivlendi. 
  48. ^ "CircleID: DNSSEC Update from ICANN 42 in Dakar". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  49. ^ "DNSSEC Root Zone High Level Technical Architecture" (PDF). 4 Mart 2016 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  50. ^ RFC 5702, §2.1. "RSA public keys for use with RSA/SHA-256 are stored in DNSKEY resource records (RRs) with the algorithm number 8."
  51. ^ RFC 5702, §3.1. "RSA/SHA-256 signatures are stored in the DNS using RRSIG resource records (RRs) with algorithm number 8."
  52. ^ "ISC Launches DLV registry to kick off worldwide DNSSEC deployment". 14 Haziran 2011 tarihinde kaynağından arşivlendi. 
  53. ^ RFC 5011, "Automated Updates of DNS Security (DNSSEC) Trust Anchors"
  54. ^ RFC 4431, "The DNSSEC Lookaside Validation (DLV) DNS Resource Record"
  55. ^ RFC 5074, "DNSSEC Lookaside Validation (DLV)"
  56. ^ "Arşivlenmiş kopya" (PDF). 25 Ağustos 2016 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  57. ^ "Department of Homeland and Security wants master key for DNS". Heise News. 30 Mart 2007. 6 Nisan 2007 tarihinde kaynağından arşivlendi. 
  58. ^ "Analysis: of Owning the keys to the Internet". UPI. 21 Nisan 2007. 12 Şubat 2009 tarihinde kaynağından arşivlendi. 
  59. ^ "UPI Analysis: Owning the keys to the Internet". 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Mart 2011. First link is dead, this is believed to be the same content 
  60. ^ "DNSSEC Deployment Initiative Newsletter - Volume 1, Number 2". Haziran 2006. 22 Kasım 2007 tarihinde kaynağından arşivlendi. 
  61. ^ "Memorandum For Chief Information Officers" (PDF). Executive Office Of The President — Office Of Management And Budget. 22 Ağustos 2008. 16 Eylül 2008 tarihinde kaynağından (PDF) arşivlendi. 
  62. ^ "Feds tighten security on .gov". Network World. 22 Eylül 2008. 25 Eylül 2008 tarihinde kaynağından arşivlendi. 
  63. ^ "Comcast Blog - DNS Security Rollout Begins". 22 Ekim 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ekim 2010. 
  64. ^ "Comcast DNSSEC Public Service Announcement Video". 21 Ekim 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ekim 2010. 
  65. ^ "Comcast Completes DNSSEC Deployment". 13 Şubat 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Ocak 2012. 
  66. ^ "Geoff Huston: DNS, DNSSEC and Google's Public DNS Service (CircleID)". 1 Temmuz 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  67. ^ "Introducing Verisign Public DNS". 20 Kasım 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  68. ^ "Use of DNSSEC Validation for World (XA)". 24 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  69. ^ "Google's Public DNS does DNSSEC validation". 11 Kasım 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Ocak 2013. nanog mailing list archives 
  70. ^ "Google Public DNS Now Supports DNSSEC Validation". Google Code Blog. 10 Şubat 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 1 Haziran 2013. 
  71. ^ "Arşivlenmiş kopya". 24 Ekim 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  72. ^ Seshadri, Shyam (11 Kasım 2008). "DNSSEC on Windows 7 DNS client". Port 53. Microsoft. 7 Kasım 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  73. ^ "DNSSEC in Windows Server" (PDF). 29 Temmuz 2016 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 6 Nisan 2018. 

Dış bağlantılar

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">HTTP</span> iletişim protokolü

HTTP bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür. HTTP, World Wide Web için veri iletişiminin temelidir; burada köprü metni belgeleri, örneğin bir fare tıklamasıyla veya bir web tarayıcısında ekrana dokunarak kullanıcının kolayca erişebileceği diğer kaynaklara köprüler içerir.

SMTP, bir e-posta göndermek için sunucu ile istemci arasındaki iletişim şeklini belirleyen protokoldür. Farklı işletim sistemleri için geliştirilmiş e-posta protokolleri bulunmaktadır. Bu e-posta protokollerinin SMTP'ye geçit yolu (gateway) vardır. SMTP, Aktarım Temsilcisi ve Kullanıcı Temsilcisi yazılımları arasındaki iletişimi sağlar. TCP'nin üst katmanında çalışır.

<span class="mw-page-title-main">DNS</span>

DNS, internet uzayını bölümlemeye, bölümleri adlandırmaya ve bölümler arası iletişimi organize etmeye yarayan, bilgisayar, servis, internet veya özel bir ağa bağlı herhangi bir kaynak için hiyerarşik dağıtılmış bir adlandırma sistemidir.

<span class="mw-page-title-main">Dosya aktarım iletişim kuralı</span> Bilgisayarcılık terimi

Dosya aktarım iletişim kuralı,, bir veri yığınının - ASCII, EBCDIC ve binary- bir uç aygıttan diğerine iletimi için kullanılmaktadır.

<span class="mw-page-title-main">.ga</span>

.ga Gabon için internet ülke kodu üst seviye alan adıdır. (CcTLD)

<span class="mw-page-title-main">Kerberos (iletişim kuralı)</span>

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

OpenDNS, ücretsiz Alan Adı Sistemi servisidir. Kullanıcılar otomatik DNS adresi bölümüne OpenDNS'in kendi DNS adreslerini yazarak, kimi yasaklı sitelere girmeye ya da istenilmeyen türden sitelere erişimi engellemeye olanak sağlar.

Google Genel DNS 3 Aralık 2009'da Google tarafından hizmete sokulmuş ücretsiz bir DNS hizmetidir. Google'ın daha hızlı web projesi kapsamında planlanmıştır.

DNS spoofing diğer adıyla DNS önbellek zehirlenmesi, Alan Adı Sistemi verisini bozarak, DNS çözümleme önbelleğine bozuk verinin yerleştirildiği bir bilgisayar güvenliği saldırısıdır. Ad sunucusunun yanlış sonuç dönmesini sağlar, örneğin IP adresi. Böylece saldırgan, trafiği kendi bilgisayarına yönlendirebilir.

Bilgisayar bilimlerinde ad sunucusu dizin hizmetinin tersi olarak, gelen sorgulara cevap veren bir ağ hizmeti sağlayan bir bilgisayar sunucusudur. Çoğu kez sayısal olan, kimlik tespiti yapan ya da adresleme bileşeni içeren bir iç sisteme insanın anlayabileceği bir tanımlayıcı eşlemesi yapar. Bu servisi bir sunucu ağ servis protokolüne uygun olarak yürütür.

<span class="mw-page-title-main">Verisign</span> Amerikan internet şirketi

VeriSign, Inc. Reston, Virginia, Amerika Birleşik Devletleri merkezli bir Amerikan şirketidir ve İnternet’in on üç kök ad sunucusundan ikisi dâhil olmak üzere .com, .net ve .name genel üst seviye alan adları ; .cc ve .tv ülke kodlu üst seviye alan adları ve .jobs ile .edu üst seviye alan adları için arka uç sistemlerinin yetkili kayıtçısı olarak çok sayıda ağ altyapısı işletmektedir. Verisign aynı zamanda yönetimli DNS, Dağıtılmış Hizmet Reddi (DdoS) azaltımı ve siber tehdit raporlama dâhil olmak üzere çok sayıda güvenlik hizmeti sunar. Verisign 2010 yılında SSL, PKI, Verisign Trust Seal ve Verisign Kimlik Koruma (VIP) hizmetlerini içeren kimlik doğrulama birimini 1,28 milyar $’a Symantec’e sattı.

<span class="mw-page-title-main">Donanımsal güvenlik modülü</span>

Donanımsal Güvenlik Modülleri, güçlü kimlik doğrulama için gerekli sayısal anahtarları koruyup yöneten ve kripto işleme sağlayan fiziksel bir aygıttır. Geleneksel olarak bu modüller takılabilir kart veya bir bilgisayar ya da ağ sunucusuna takılabilen harici bir aygıt şeklindedir.

S/MIME e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir. S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir. Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir. S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

Kriptografide, X.509 açık anahtar sertifikalarının formatını tanımlayan bir standarttır. X.509 sertifikaları, internette gezinmek için güvenli protokol olan HTTPS'nin temeli olan TLS/SSL dahil olmak üzere birçok internet protokolünde kullanılmaktadır. Elektronik imzalar gibi çevrimdışı uygulamalarda da kullanılırlar. Bir X.509 sertifikası bir açık anahtar ve bir kimlik içerir ve bir sertifika yetkilisi tarafından imzalanır veya kendinden imzalı olarak imzalanır. Sertifika güvenilir bir sertifika yetkilisi tarafından imzalandığında veya başka yollarla doğrulandığında, bu sertifikayı tutan biri, başka bir tarafla güvenli iletişim kurmak için sertifikanın içerdiği açık anahtara güvenebilir veya ilgili özel anahtar ile dijital olarak imzalanmış belgeleri doğrulayabilir.

<span class="mw-page-title-main">Açık anahtar sertifikası</span>

Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir. İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir. E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.

HTTP Katı Taşıma Güvenliği (HSTS), web sitelerini protokol indirgeme ve oturum çalma saldırılarına karşı korumaya yardımcı olan bir web güvenlik politikası mekanizmasıdır. Web sunucuları, kendisine gönderilen isteklerin yalnızca HTTPS üzerinden olması gerektiğini web tarayıcılarına bu mekanizma ile belirtir. Bu sayede kullanıcı, herhangi bir güvenlik çözümü sunmayan HTTP yerine Taşıma Katmanı Güvenliği (TLS/SSL) sağlayan HTTPS kullanarak ilgili web sitesine erişim sağlar. HSTS, RFC 6797 ile detaylandırılan bir IETF Standards Track protokolüdür.

Genel özyinelemeli ad sunucusu, ağa bağlı bilgisayarların veya aygıtların bağlı oldukları yerel Internet servis sağlayıcısı (ISS) tarafından işletilen ad sunucuları yerine Etki Alanı Adı Sistemi'ni (DNS) sorgulamak için kullanabilecekleri bir ad sunucusu hizmetidir. Bu hizmetleri kullanmanın nedenleri arasında şunlar vardır:

<span class="mw-page-title-main">İnternet Tahsisli Sayılar Otoritesi</span> üst düzey alan adlarını düzenleyen uluslararası kuruluş

İnternet Tahsisli Sayılar Otoritesi (IANA), küresel IP adresi tahsisi, otonom sistem numarası tahsisi, kök bölgesi yönetimi, Alan Adı Sistemi (DNS), medya türleri ve İnternet protokolü ile ilgili diğer semboller ve İnternet numaralarını denetleyen bir standartlar organizasyonudur.

.arpa alan adı, internetin Alan Adı Sistemi'nde (DNS) bir üst düzey alan adıdır (TLD). Çoğunlukla teknik ağ altyapısının yönetimi için kullanılır. Bu tür işlevlerin başında, sırasıyla IPv4 ve IPv6 adreslerinin ters DNS araması için ad alanları sağlayan in-addr.arpa ve ip6.arpa alan adları gelir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.