Alan Adı Güvenliği Rehberi: Registrar Lock, DNSSEC, Whois Gizliliği ve 2FA

Alan adı güvenliği neden kritik?

Bir projeyi hayata geçirirken saatlerce mimari tasarım yapıyor, veritabanı şemasını incelikle planlıyor, sunucu kapasitesini tek tek hesaplıyoruz. Ancak tüm bu emeğin bağlı olduğu en küçük ama en kritik parça çoğu zaman gözden kaçıyor: alan adı (domain). Alan adınız ele geçirilirse; web siteniz, e-posta trafiğiniz, ödeme sayfalarınız ve marka itibarınız tek hamlede saldırganın eline geçebilir. Üstelik bu senaryoda sunucularınız %100 ayakta olsa bile kullanıcılarınız sizi değil, saldırganın gösterdiği sahte siteleri görür.

DCHost tarafında sahada en çok gördüğümüz problemlerden biri, alan adı güvenliğinin “sonra bakarız” denilen bir detay olarak kalması. Oysa birkaç temel güvenlik katmanını doğru kurduğunuzda; yetkisiz transferleri, DNS kayıtlarının sessizce değiştirilmesini, Whois bilgileriniz üzerinden yapılan sosyal mühendislik saldırılarını ve panel hesabınızın ele geçirilmesini ciddi oranda engelleyebiliyorsunuz. Bu rehberde; Registrar Lock (transfer kilidi), DNSSEC, Whois gizliliği ve 2FA (iki adımlı doğrulama) ayarlarını hem kavramsal olarak hem de pratik adımlarla anlatacağız. Amacımız; DCHost üzerinden veya başka bir yerde alan adınız olsa da, okuduktan sonra elinizde uygulanabilir bir güvenlik kontrol listesi olması.

Hangi saldırılara karşı korunmaya çalışıyoruz?

Önce tehdit modelini netleştirelim. Alan adı tarafında tipik olarak şu risklerle karşılaşıyoruz:

• Alan adı paneli hesabının çalınması: Zayıf şifre, tekrar kullanılan parola veya ele geçirilmiş e-posta nedeniyle hesabın tamamen başkasına geçmesi.
• Yetkisiz domain transferi: Registrar Lock kapalıyken, saldırganın EPP kodunu ele geçirip alan adını başka bir kayıt operatörüne taşıması.
• DNS kayıtlarının sessizce değiştirilmesi: A/AAAA, MX, NS gibi kritik kayıtların değiştirilerek kullanıcı trafiğinin sahte sunuculara yönlendirilmesi.
• Whois verilerinin kötüye kullanımı: Açık Whois bilgileriniz üzerinden hedefli phishing, sahte fatura veya sosyal mühendislik saldırıları.
• Alan adı süresinin dolması ve başkasının kayıt etmesi: Takvimi kaçırıp domaini boşa düşürmek ve agresif alım yapan üçüncü tarafların bunu kapması.

Bu rehberdeki dört temel mekanizma; Registrar Lock, DNSSEC, Whois gizliliği ve 2FA, yukarıdaki risklerin önemli bir kısmını sistematik şekilde azaltır. Diğer tarafta; alan adınızın süresini yönetme konusunu ayrıca ele aldığımız alan adı süresi dolarsa ne olur rehberini de okumanızı öneririz.

Registrar Lock (transfer kilidi) nedir?

Registrar Lock (çoğu panelde Transfer Lock veya Domain Lock olarak da geçer), alan adınızın izniniz olmadan başka bir firmaya transfer edilmesini engelleyen bir güvenlik bayrağıdır. ICANN kurallarına göre bir domaini taşımak için EPP/AUTH kodu gerekir; ancak kilit açık değilse ve bazı koşullar oluşmuşsa, saldırganın sosyal mühendislik ve zayıf güvenlik önlemleriyle transfer talebi başlatması mümkün olabilir.

Bu kilit açık olduğunda, registry tarafında “bu alan adı transfer edilemez” anlamına gelen bir durum kaydedilir. Yani sadece panel şifrenizi ele geçirmek yetmez; ayrıca kilidi kapatmak için de ek işlem yapılması gerekir. DCHost panelinde yeni kayıt ettiğiniz alan adlarında bu kilidi varsayılan olarak açık bırakmanızı güçlü şekilde tavsiye ediyoruz.

Registrar Lock neden hayati?

Gerçek senaryolarda en sık gördüğümüz tablo şu: Domain sahibi, şifresi çalındığı için alan adı paneline erişemiyor; saldırgan transfer kilidini kapatıp başka bir kayıt operatörüne domaini taşıyor. Transfer tamamlandığında, alan adını geri almak hukuki ve operasyonel açıdan çok daha zor bir sürece dönüşüyor.

Registrar Lock aktifken ise saldırgan önce hesabınıza girmek, ardından kilidi devre dışı bırakmak zorunda. Eğer panelinizde 2FA de açıksa, saldırının başarısız olma ihtimali ciddi şekilde artar. Özellikle marka değeri yüksek, e-ticaret veya SaaS hizmeti sunan alan adlarında transfer kilidini kapatmak için gerçekten çok iyi bir sebebiniz yoksa, daima AÇIK bırakmalısınız.

Registrar Lock nasıl açılır? Adım adım

Kullandığınız panele göre ekranlar değişse de, genel akış şu şekildedir:

1. Alan adınızın kayıtlı olduğu panele giriş yapın.
2. “Alan Adlarım”, “Domainlerim” gibi liste ekranına gidin.
3. İlgili alan adını seçip “Detaylar” veya “Yönet” sayfasını açın.
4. “Registrar Lock”, “Transfer Kilidi” veya benzeri bir alan bulun.
5. Durumu Açık/Enabled/Locked hale getirin ve kaydedin.

Bazı panellerde bu işlemden sonra kayıt operatöründen onay e-postası gelebilir. E-posta adresinizin güncel olduğundan ve gelen bildirimleri dikkatle okuduğunuzdan emin olun. DCHost tarafında domain yönetiminde kilit durumunu net şekilde görebilir, birkaç tıklamayla güncelleyebilirsiniz.

Transfer yapmanız gerektiğinde ne olacak?

Alan adını gerçekten taşımak istediğinizde (örneğin şirket içi konsolidasyon, faturalama sebepleri vb.), kilidi geçici olarak açmanız gerekir. Burada kritik olan; süreyi kısa tutmak ve sadece planlı transfer penceresi boyunca açık bırakmaktır. Transfer süreçleri, EPP kodu ve kesintisiz taşıma stratejilerini ayrı bir yazıda detaylıca anlattık; isterseniz alan adı transferi rehberimize göz atarak uçtan uca senaryoyu pekiştirebilirsiniz.

DNSSEC: DNS kayıtlarınızı kriptografik olarak imzalamak

DNSSEC (Domain Name System Security Extensions), alan adınız için DNS kayıtlarını kriptografik olarak imzalamanızı sağlayan bir güvenlik uzantısıdır. Amaç; kullanıcının “example.com bu IP’ye gidiyor” cevabının yol üzerinde değiştirilip değiştirilmediğini doğrulayabilmektir. Yani saldırgan, DNS trafiğini ele geçirse bile, imzası doğrulanamayan sahte kayıtlar doğru kabul edilmez.

DNSSEC’in temel mantığını ve nasıl çalıştığını daha teknik seviyede öğrenmek isterseniz, DNSSEC nedir rehberimizde kavramları adım adım anlattık. Burada daha çok “nasıl devreye alırım?” ve “nelere dikkat etmeliyim?” tarafına odaklanacağız.

DNSSEC’i hangi durumlarda mutlaka kullanmalısınız?

Teorik olarak her alan adında DNSSEC kullanmak mümkün; pratikte ise önceliklendirme yapmak işe yarar. Aşağıdaki durumlarda DNSSEC’i kuvvetle öneriyoruz:

• E-ticaret siteleri: Ödeme sayfanızın sahte bir IP’ye yönlendirilmesi, doğrudan müşteri kaybı ve hukuki risk demektir.
• SaaS ve giriş sistemleri: Kullanıcıların şifrelerini girdiği giriş formlarının sahte sunuculara gitmesi hesap ele geçirmelere yol açar.
• Kritik e-posta alan adları: MX kayıtlarının manipüle edilmesi, e-postalarınızın saldırgan posta sunucularına düşmesi anlamına gelir.

DNSSEC nasıl etkinleştirilir? Genel akış

DNSSEC kurulumunda iki taraf var: Yetkili DNS sunucunuz (DNS kayıtlarını yönettiğiniz yer) ve registry (alan adınızın bağlı olduğu üst seviye alanın kayıt otoritesi). Adımlar kabaca şöyle:

1. DNS sağlayıcınızda DNSSEC anahtarlarını oluşturun: Çoğu modern DNS yönetim paneli “DNSSEC enable” gibi bir butonla sizin için KSK/ZSK anahtarlarını ve DS kaydını üretir.
2. DS kaydını alın: Panel genellikle size bir veya birkaç satırlık “DS Record” çıktısı verir (Key Tag, Algorithm, Digest Type, Digest gibi alanlar içerir).
3. Alan adınızın kayıt operatörüne DS kaydını girin: DCHost panelinde ilgili domain için DNSSEC/DS kayıt alanına bu bilgileri ekleyebilirsiniz.
4. Yayılımı ve doğrulamayı test edin: DNSSEC test araçlarıyla (örneğin dig +dnssec komutu veya web tabanlı kontrol araçları) zincirin doğru kurulduğunu doğrulayın.

Buradaki kritik kısım; DS kaydının registry tarafında doğru yayınlanması ve DNS sunucunuzdaki anahtarlarla tutarlı olması. Anahtar döndürme (key rollover) gibi daha ileri işlemleri planlıyorsanız, DNSSEC key rollover rehberimizde sıfır kesintiyle nasıl anahtar değiştirebileceğinizi detaylandırdık.

DNSSEC etkinleştirirken dikkat edilmesi gerekenler

DNSSEC kurarken sık yapılan hatalar, alan adınızın tamamen çökmemesi için dikkat etmeniz gereken noktalardır:

• DS kaydını yanlış girmek: Tek bir karakter hatası bile zinciri kırar ve alan adınız doğrulanamaz hale gelebilir.
• DNSSEC aktifken DNS sağlayıcısını değiştirmek: Yeni sağlayıcıda DNSSEC kapalıyken, eski DS kaydı registry’de kalır ve doğrulama hatası oluşur.
• Anahtarları plansız silmek: DNS panelinizde DNSSEC anahtarlarını silerseniz, registry’deki DS kaydıyla uyumsuzluk oluşur.

Bu yüzden; DNS sağlayıcısı değişikliği, zone taşıması veya büyük DNS refactor’ları planlarken, DNSSEC’i işin içine katan bir taşıma runbook’u oluşturmanız iyi bir pratiktir. DCHost tarafında DNSSEC kullanan müşterilerimizde, bu tip taşımalarda önce test alan adları üzerinde deneme yapmayı öneriyoruz.

Whois gizliliği: Kimlik bilgilerinizi korumak

Whois, alan adının kime ait olduğunu, kayıt ve bitiş tarihlerini, kayıt operatörünü ve teknik/idarî kontakları gösteren bir sorgulama sistemidir. Temel kavramlara aşina değilseniz, Whois nedir ve alan adı sahibi nasıl sorgulanır rehberimize göz atmanız faydalı olur.

Geçmişte Whois, alan adı sahibinin adı, soyadı, e-posta adresi, telefon numarası ve fiziksel adresini olduğu gibi yayınlıyordu. Günümüzde GDPR gibi regülasyonlar nedeniyle bu veriler kısmen maskeleniyor olsa da, Whois gizliliği (privacy protection) hâlâ önemli bir katman. Çünkü amaç sadece spam e-postaları engellemek değil, aynı zamanda hedefli sosyal mühendislik saldırılarına zemin bırakmamaktır.

Whois gizliliği neden önemli?

Alan adı bilgileriniz kamuya açık olduğunda;

• Size özel hazırlanmış, alan adı yenileme veya fatura gibi görünen sahte e-postalar daha ikna edici hale gelir.
• Ad-soyad ve telefon bilgileriniz kullanılarak, destek ekipleri üzerinde sosyal mühendislik denenebilir.
• Şirket içi rolleriniz (teknik sorumlu, finans yetkilisi vb.) ifşa olabilir.

Whois gizliliği aktifken, kayıt operatörünüz genellikle sizin adınıza bir proxy iletişim bilgisi gösterir. Gerçek e-posta adresiniz maskelenir; Whois üzerinden doğrudan toplanamaz. DCHost tarafında, destek talepleri ve resmi bildirimler için kendi iletişim kanallarımızı kullandığımızdan, Whois’te gerçek bilgilerinizi göstermeniz çoğu zaman gerekli değildir.

Whois gizliliği nasıl açılır?

Genel adımlar şöyledir:

1. Alan adınızın yönetim sayfasına girin.
2. “Whois Gizliliği”, “Privacy Protection”, “ID Protection” gibi bir alan bulun.
3. Durumu Aktif/Enabled konuma getirin.
4. Değişikliğin Whois sorgularına yansıması için birkaç dakika ile birkaç saat arasında bekleyin.

Bazı üst seviye alan adları (özellikle ülke kodlu ccTLD’ler) gizlilik hizmetini kısıtlı veya farklı kurallarla sunabilir. Bu durumda, hukuki gereklilikler ile güvenlik ihtiyaçlarını dengeleyen bir strateji oluşturmak önemli. Marka ve alan adı portföyünü nasıl konumlandırmanız gerektiğini merak ediyorsanız, alan adı stratejisi rehberimizde farklı senaryoları detaylı biçimde anlattık.

Alan adı panelinde 2FA (iki adımlı doğrulama)

Şimdiye kadar bahsettiğimiz tüm mekanizmalar, sonuçta alan adınızın yönetildiği hesap paneline bağlı. Bu panel ele geçirilirse; Registrar Lock kapatılabilir, DNSSEC devre dışı bırakılabilir, Whois gizliliği değiştirilebilir. Bu yüzden alan adınızın durduğu hesabı, normal bir kullanıcı hesabından çok daha sıkı korumanız gerekiyor.

2FA (iki adımlı doğrulama); şifrenize ek olarak, zamana bağlı tek kullanımlık kod (TOTP), donanım anahtarı veya SMS/e-posta gibi ikinci bir faktörle giriş yaptığınız mekanizmadır. DCHost olarak, yönetim panellerinde 2FA kullanımını güçlü şekilde teşvik ediyoruz; kendi iç hesaplarımızda da 2FA’sız hiçbir kritik hesap bırakmıyoruz.

Hangi 2FA yöntemini tercih etmelisiniz?

• TOTP tabanlı uygulamalar: Google Authenticator, Authy, 1Password, Bitwarden vb. ile üretilen 6 haneli kodlar. Genellikle en pratik ve güvenli seçenek.
• Donanım güvenlik anahtarları (FIDO2/U2F): Yubikey benzeri cihazlarla tarayıcı üzerinden dokunarak onay verirsiniz. En yüksek güvenlik seviyesi, ancak her senaryoda mevcut olmayabilir.
• SMS tabanlı 2FA: Bazı durumlarda işe yarasa da, SIM değişimi ve SMS ele geçirme riskleri nedeniyle diğer yöntemlere göre daha zayıftır.

Mümkünse TOTP veya donanım anahtarı kullanmanızı tavsiye ederiz. SMS’i, başka seçenek yoksa “hiç yoktan iyidir” seviyesinde düşünebilirsiniz.

Alan adı panelinde 2FA nasıl kurulur?

Panele göre ekran isimleri değişebilir; genel akış şöyle:

1. Alan adınızı yönettiğiniz kullanıcı hesabına giriş yapın.
2. “Hesap Güvenliği”, “Security”, “Güvenlik Ayarları” gibi bir bölüme gidin.
3. “İki Adımlı Doğrulama”, “Two-Factor Authentication” veya “2FA” seçeneğini bulun.
4. Tercih ettiğiniz yöntemi (TOTP, SMS, donanım anahtarı) seçin.
5. TOTP için: Uygulamanızla QR kodu tarayın, üretilen kodu panele girerek doğrulayın.
6. Size sunulan yedek kurtarma kodlarını güvenli bir yere (şifre yöneticisi, offline not) kaydedin.

2FA’yı kurduktan sonra, şifreniz ele geçirilse bile saldırganın hesabınıza girmesi için ikinci faktöre de sahip olması gerekir. Bu, özellikle phishing ve parola sızıntıları karşısında son derece etkili bir bariyerdir.

2FA kurarken dikkat etmeniz gerekenler

• Yedek kodları saklayın: Telefonunuz bozulduğunda veya Authenticator uygulamasını kaybettiğinizde, hesabı geri almak için bu kodlara ihtiyacınız olacak.
• Ayrı bir e-posta hesabı kullanın: Alan adı paneliniz ve kritik hesaplarınız için mümkünse sadece bu iş için açılmış, güçlü korunan bir e-posta adresi kullanın.
• Şifre yöneticisi kullanın: Uzun ve benzersiz parolaları hatırlamak yerine, güvenilir bir şifre yöneticisiyle yönetin.

DNS kayıtları, e-posta ve diğer katmanlarla ilişki

Alan adı güvenliği, sadece domain paneli tarafındaki ayarlardan ibaret değil; DNS kayıtlarının nasıl yapılandırıldığı da kritik. Örneğin yanlış yapılandırılmış MX, SPF, DKIM, DMARC ve rDNS ayarları, e-posta teslim edilebilirliğini bozarken saldırganların sahte e-posta göndermesini kolaylaştırabilir. Bu konuyu detaylıca ele aldığımız SPF, DKIM, DMARC ve rDNS rehberimizi alan adı tarafındaki ayarlarla birlikte okumanızı tavsiye ederiz.

Ayrıca DNS kayıt türlerine hâkim olmak da önemli. Yanlış bir CNAME, eksik bir A kaydı veya hatalı CAA girişi, hem güvenliği hem de erişilebilirliği etkileyebilir. Eğer DNS tarafında kendinizi eksik hissediyorsanız, DNS kayıtları A’dan Z’ye rehberimiz günlük pratikte sık yapılan hataları da örnekleriyle anlatıyor.

Adım adım alan adı güvenlik kontrol listesi

Şimdiye kadar anlattıklarımızı uygulamaya dökmek için, pratik bir kontrol listesi çıkaralım. DCHost’ta yeni bir alan adı açtığımızda veya müşterimizin mevcut alan adını devraldığımızda genellikle şu sırayla ilerliyoruz:

1. Hesap ve e-posta güvenliği

• Alan adınızın yönetildiği kullanıcı hesabına ait e-posta adresinin sadece bu iş için kullanıldığından emin olun.
• Bu e-posta hesabında da 2FA açık olsun; böylece saldırgan önce e-postanızı, sonra alan adı panelinizi ele geçiremesin.
• Şifreniz uzun, benzersiz ve mümkünse şifre yöneticisi tarafından üretilmiş olsun.

2. Registrar Lock durumunu kontrol edin

• Her alan adınız için, “Transfer Kilidi” durumunu tek tek kontrol edin.
• Transfer planı olmayan tüm alan adlarında Lock = Açık politikası uygulayın.
• Transfer gerektiğinde; kilidi sadece kısa süreliğine kapatıp işlem biter bitmez tekrar açın.

3. DNSSEC’i planlayın ve devreye alın

• Önce hangi alan adlarında DNSSEC kullanacağınıza karar verin (en kritik olanlardan başlayın).
• DNS sağlayıcınızın DNSSEC desteğini ve DS kaydı yönetimini inceleyin.
• Test ortamında (örneğin alt alan adıyla) DNSSEC’i deneyip doğrulama yapın, ardından canlı alan adınıza geçin.

4. Whois gizliliğini etkinleştirin

• Kişisel veya KOBİ seviyesindeki alan adlarında Whois gizliliğini varsayılan olarak Aktif tutun.
• Kurumsal alan adlarında, hukuki ve marka gereklilikleri doğrultusunda hangi alanların kamusal, hangilerinin gizli olacağını belirleyin.
• Whois bilgilerinizdeki e-posta adresinin, günlük kullandığınız adresle aynı olmamasına özen gösterin.

5. 2FA’yı zorunlu politika haline getirin

• Alan adı paneli hesabınızda 2FA’yı etkinleştirin; mümkünse TOTP veya donanım anahtarı tercih edin.
• Şirket içinde birden fazla kişinin erişmesi gerekiyorsa, paylaşımlı şifre yerine kurumsal şifre yöneticisi ve kişisel 2FA cihazları kullanın.
• Yedek kurtarma kodlarını, âdeta kasa anahtarı saklar gibi güvenli bir yerde tutun.

6. Alan adı ve DNS değişikliklerini izleyin

• Panelinizde mümkünse; giriş denemeleri, şifre değişikliği, Whois güncellemesi ve DNS değişiklikleri için e-posta bildirimlerini açın.
• DNS kayıtlarının versiyonlama veya değişiklik geçmişi sunan çözümlerini tercih edin.
• Birden fazla DNS sağlayıcısı veya çoklu-region mimariler kullanıyorsanız, bu değişiklikleri runbook’lara yazılı hale getirin.

DCHost ile alan adınızı, DNS’inizi ve sunucunuzu birlikte düşünmek

Alan adı güvenliği, tek başına soyut bir güvenlik maddesi değil; doğrudan iş sürekliliği ve marka itibarı ile ilişkili. DCHost olarak; domain, DNS, hosting, VPS, dedicated sunucu ve colocation hizmetlerini birlikte tasarlarken, bu zincirin zayıf halkası kalmamasına özellikle dikkat ediyoruz.

Bu rehberde; Registrar Lock, DNSSEC, Whois gizliliği ve 2FA’yı tek tek ele aldık. Bir adım öteye geçmek isterseniz, DNS tarafındaki derin güvenlik ve dayanıklılık konularını da işlediğimiz yazılara göz atabilirsiniz. Örneğin, DNSSEC anahtar döndürme süreçleri için DNSSEC key rollover rehberimiz, genel DNS güvenliği ve kayıt türleri için ise DNS kayıtları A’dan Z’ye yazımız iyi birer tamamlayıcıdır.

Elinizdeki alan adı sayısı bir tane de olsa yüzlerce de olsa, ilk yapmanız gereken şey; bu rehberi küçük bir kontrol listesine dönüştürmek ve her domain için durum tespiti yapmaktır. Hangi alanlarda transfer kilidi kapalı, DNSSEC devre dışı, Whois gizliliği açık mı, 2FA etkin mi? Bunları netleştirdiğinizde, göreceksiniz ki küçük birkaç tıklama ile risk yüzeyiniz dramatik biçimde küçülüyor. Eğer DCHost üzerinde alan adlarınızı ve sunucularınızı birlikte yönetiyorsanız, destek ekibimizle konuşarak mevcut durumu birlikte gözden geçirebilir, ihtiyaçlarınıza göre daha gelişmiş bir güvenlik mimarisi tasarlayabiliriz.