{"id":1776,"date":"2025-11-13T15:58:54","date_gmt":"2025-11-13T12:58:54","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/dnssec-key-rollover-ksk-zsk-ve-ds-kayit-guncelleme-sifir-kesintiyle-anahtar-dondurme-nasil-yapilir\/"},"modified":"2025-11-13T15:58:54","modified_gmt":"2025-11-13T12:58:54","slug":"dnssec-key-rollover-ksk-zsk-ve-ds-kayit-guncelleme-sifir-kesintiyle-anahtar-dondurme-nasil-yapilir","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/dnssec-key-rollover-ksk-zsk-ve-ds-kayit-guncelleme-sifir-kesintiyle-anahtar-dondurme-nasil-yapilir\/","title":{"rendered":"DNSSEC Key Rollover (KSK\/ZSK) ve DS Kay\u0131t G\u00fcncelleme: S\u0131f\u0131r Kesintiyle Anahtar D\u00f6nd\u00fcrme Nas\u0131l Yap\u0131l\u0131r?"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#Hic_DNSSEC_Anahtari_Dondururken_Ellerin_Titredi_mi\"><span class=\"toc_number toc_depth_1\">1<\/span> Hi\u00e7 DNSSEC Anahtar\u0131 D\u00f6nd\u00fcr\u00fcrken Ellerin Titredi mi?<\/a><\/li><li><a href=\"#KSK_mi_ZSK_mi_DS_Kayit_Nerede_Duruyor\"><span class=\"toc_number toc_depth_1\">2<\/span> KSK mi ZSK m\u0131? DS Kay\u0131t Nerede Duruyor?<\/a><\/li><li><a href=\"#Sifir_Kesintinin_Sihri_Pre-Publish_ve_Double-Sign\"><span class=\"toc_number toc_depth_1\">3<\/span> S\u0131f\u0131r Kesintinin Sihri: Pre-Publish ve Double-Sign<\/a><\/li><li><a href=\"#Adim_Adim_ZSK_Dondurme_Rahat_Isinma_Turu\"><span class=\"toc_number toc_depth_1\">4<\/span> Ad\u0131m Ad\u0131m: ZSK D\u00f6nd\u00fcrme (Rahat Is\u0131nma Turu)<\/a><ul><li><a href=\"#Zamanlama_ve_Hazirlik\"><span class=\"toc_number toc_depth_2\">4.1<\/span> Zamanlama ve Haz\u0131rl\u0131k<\/a><\/li><li><a href=\"#Cifte_Imzayla_Guvenli_Gecis\"><span class=\"toc_number toc_depth_2\">4.2<\/span> \u00c7ifte \u0130mzayla G\u00fcvenli Ge\u00e7i\u015f<\/a><\/li><\/ul><\/li><li><a href=\"#Adim_Adim_KSK_Dondurme_ve_DS_Guncelleme_Sahneye_Ebeveyn_de_Dahil\"><span class=\"toc_number toc_depth_1\">5<\/span> Ad\u0131m Ad\u0131m: KSK D\u00f6nd\u00fcrme ve DS G\u00fcncelleme (Sahneye Ebeveyn de Dahil)<\/a><ul><li><a href=\"#Pre-Publish_Yeni_KSKyi_Sessizce_Tanitma\"><span class=\"toc_number toc_depth_2\">5.1<\/span> Pre-Publish: Yeni KSK\u2019yi Sessizce Tan\u0131tma<\/a><\/li><li><a href=\"#DS_Kaydinin_Guncellenmesi_Kapiciya_Haber\"><span class=\"toc_number toc_depth_2\">5.2<\/span> DS Kayd\u0131n\u0131n G\u00fcncellenmesi: Kap\u0131c\u0131ya Haber<\/a><\/li><li><a href=\"#Eski_KSKnin_Ugurlanmasi\"><span class=\"toc_number toc_depth_2\">5.3<\/span> Eski KSK\u2019nin U\u011furlanmas\u0131<\/a><\/li><\/ul><\/li><li><a href=\"#Algoritma_Degisimi_Coklu_Imzaci_ve_Acil_Durum_Senaryolari\"><span class=\"toc_number toc_depth_1\">6<\/span> Algoritma De\u011fi\u015fimi, \u00c7oklu \u0130mzac\u0131 ve Acil Durum Senaryolar\u0131<\/a><\/li><li><a href=\"#Otomasyon_Gozlem_ve_Sakinlik_Dondurmeyi_Rutine_Cevirmek\"><span class=\"toc_number toc_depth_1\">7<\/span> Otomasyon, G\u00f6zlem ve Sakinlik: D\u00f6nd\u00fcrmeyi Rutine \u00c7evirmek<\/a><\/li><li><a href=\"#Sik_Yapilan_Hatalar_ve_Kucuk_Tuyolar\"><span class=\"toc_number toc_depth_1\">8<\/span> S\u0131k Yap\u0131lan Hatalar ve K\u00fc\u00e7\u00fck T\u00fcyolar<\/a><\/li><li><a href=\"#Gercek_Hayattan_Minik_Bir_Gece_Operasyonu\"><span class=\"toc_number toc_depth_1\">9<\/span> Ger\u00e7ek Hayattan Minik Bir Gece Operasyonu<\/a><\/li><li><a href=\"#Kapanis_Zinciri_Koparmadan_Akista_Kalmak\"><span class=\"toc_number toc_depth_1\">10<\/span> Kapan\u0131\u015f: Zinciri Koparmadan Ak\u0131\u015fta Kalmak<\/a><\/li><\/ul><\/div>\n<h2 id=\"section-1\"><span id=\"Hic_DNSSEC_Anahtari_Dondururken_Ellerin_Titredi_mi\">Hi\u00e7 DNSSEC Anahtar\u0131 D\u00f6nd\u00fcr\u00fcrken Ellerin Titredi mi?<\/span><\/h2>\n<p>Bir ak\u015fam, ofiste \u0131\u015f\u0131klar yava\u015f yava\u015f s\u00f6nerken bir m\u00fc\u015fterinin alan ad\u0131nda DNSSEC anahtar d\u00f6nd\u00fcrmesi yapmam gerekiyordu. Kahve bitti, sessizlik \u00e7\u00f6kt\u00fc ve o an d\u00fc\u015f\u00fcnd\u00fcm: \u201c\u015eimdi tek bir yanl\u0131\u015f hamle, geceyi uzat\u0131r m\u0131?\u201d Hi\u00e7 ba\u015f\u0131n\u0131za geldi mi, DS kayd\u0131n\u0131 g\u00fcncelleyeyim derken bir yerlerde zinciri k\u0131r\u0131p do\u011frulama hatalar\u0131yla bo\u011fu\u015ftu\u011funuz? Ben ya\u015fad\u0131m. O y\u00fczden bu yaz\u0131da, <strong>s\u0131f\u0131r kesintiyle DNSSEC key rollover<\/strong> i\u015fini, ad\u0131m ad\u0131m ve i\u00e7inizi rahat ettirecek bir dille anlatmak istiyorum.<\/p>\n<p>Konuyu \u015f\u00f6yle hayal edin: Sitenizin kap\u0131s\u0131nda iki t\u00fcr g\u00fcvenlik g\u00f6revlisi var. Biri \u201ckap\u0131n\u0131n anahtar\u0131\u201d gibi davranan ZSK (zone signing key), di\u011feri de \u201cana anahtar\u0131n anahtar\u0131\u201d gibi KSK (key signing key). Bir de \u00fcst katmanla el s\u0131k\u0131\u015fman\u0131z\u0131 sa\u011flayan DS kayd\u0131 var. \u0130\u015fte \u00f6yk\u00fcm\u00fcz tam burada ba\u015fl\u0131yor. Anahtarlar\u0131 de\u011fi\u015ftirirken kap\u0131y\u0131 asla kapatmamak istiyoruz. Yani ziyaret\u00e7iler fark etmeden, alttan alttan yeni anahtar devreye girsin, eskisi aln\u0131n\u0131n ak\u0131yla emekli olsun.<\/p>\n<p>Devam\u0131nda \u015funlar\u0131 konu\u015faca\u011f\u0131z: KSK ile ZSK aras\u0131ndaki rol farklar\u0131n\u0131, DS kayd\u0131n\u0131n nerede devreye girdi\u011fini, <strong>pre-publish ve double-sign<\/strong> gibi sihirli hamleleri, TTL zamanlamas\u0131n\u0131 ve do\u011frulama ad\u0131mlar\u0131n\u0131. Biraz sahadan \u00f6rnek serpi\u015ftirece\u011fim, biraz da pratik ipucu. Sonunda, gece yar\u0131s\u0131 eliniz daha az titrer hale gelecek.<\/p>\n<h2 id=\"section-2\"><span id=\"KSK_mi_ZSK_mi_DS_Kayit_Nerede_Duruyor\">KSK mi ZSK m\u0131? DS Kay\u0131t Nerede Duruyor?<\/span><\/h2>\n<p>\u00d6nce roller netle\u015fsin. ZSK, alan ad\u0131n\u0131z\u0131n i\u00e7indeki kay\u0131tlar\u0131 imzalayan g\u00fcnl\u00fck oyuncu. A, AAAA, CNAME, TXT\u2026 hepsi ZSK\u2019nin sahas\u0131. KSK ise DNSKEY kay\u0131t setini imzalayan, daha \u201c\u00fcst makam\u201d bir oyuncu. KSK\u2019nin izi, <strong>DS kayd\u0131<\/strong> olarak bir \u00fcst seviyeye yaz\u0131l\u0131yor; yani registrar veya registry taraf\u0131na, alan ad\u0131n\u0131z\u0131n \u201cebeveynine\u201d. Bu DS kayd\u0131 zinciri tamaml\u0131yor ve d\u0131\u015f d\u00fcnyaya \u201cBu alan ad\u0131n\u0131n imza anahtar\u0131 budur\u201d diyor.<\/p>\n<p>Burada kritik nokta \u015fu: ZSK de\u011fi\u015ftirirken genellikle alan ad\u0131n\u0131z\u0131n i\u00e7inde d\u00f6n\u00fcp durursunuz. KSK de\u011fi\u015ftirirken ise \u00fcst katmana haber vermeniz gerekir; yani DS kayd\u0131n\u0131 g\u00fcncellemek \u015fartt\u0131r. Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn; apartman anahtar\u0131n\u0131z\u0131 de\u011fi\u015ftirip ayn\u0131 evde kalabiliyorsunuz, ama apartman\u0131n giri\u015f anahtar\u0131n\u0131 yeniledi\u011finizde kap\u0131c\u0131ya da haber vermek zorundas\u0131n\u0131z. DS i\u015fte o kap\u0131c\u0131ya b\u0131rak\u0131lan not.<\/p>\n<p>ZSK rotasyonu g\u00f6rece s\u0131k olur, \u00e7\u00fcnk\u00fc daha \u00e7ok \u00e7al\u0131\u015f\u0131r. KSK daha seyrek dokunulan, ama ad\u0131m atarken ekstra dikkat gereken anahtard\u0131r. Bu fark, bize ad\u0131mlar\u0131 planlarken farkl\u0131 ritimler verir. Parlak taraf\u0131 \u015fu: \u0130kisini do\u011fru s\u0131rayla ve do\u011fru pencerelerde ta\u015f\u0131rsan\u0131z, ziyaret\u00e7iler hi\u00e7 anlamadan ge\u00e7ip gider.<\/p>\n<h2 id=\"section-3\"><span id=\"Sifir_Kesintinin_Sihri_Pre-Publish_ve_Double-Sign\">S\u0131f\u0131r Kesintinin Sihri: Pre-Publish ve Double-Sign<\/span><\/h2>\n<p>\u0130\u015fin kalbi \u015fu iki hamlede: <strong>pre-publish<\/strong> ve <strong>double-sign<\/strong>. Pre-publish, yeni anahtar\u0131 sessizce ilan etmektir. Hemen tek ba\u015f\u0131na b\u0131rakmazs\u0131n\u0131z onu, \u00f6nce ortama \u0131s\u0131ns\u0131n. Double-sign ise eski ve yeni anahtarla <strong>e\u015f zamanl\u0131 imzalamak<\/strong> demek. Bu sayede hangi resolver hangi anahtarla do\u011fruluyorsa do\u011frulas\u0131n, cevaplar\u0131n\u0131z ge\u00e7erli kal\u0131r.<\/p>\n<p>Mesela ZSK d\u00f6nd\u00fcr\u00fcrken \u00f6nce yeni ZSK\u2019yi DNSKEY setine eklersiniz. Bir s\u00fcre beklersiniz; burada \u201cbirka\u00e7 TTL\u201d laf\u0131n\u0131 s\u0131k duyacaks\u0131n\u0131z. Sonra b\u00f6lgeyi hem eski ZSK hem yeni ZSK ile imzalars\u0131n\u0131z. Biraz daha beklersiniz. Her \u015fey sakin g\u00f6r\u00fcnd\u00fc\u011f\u00fcnde eski ZSK\u2019yi imzadan \u00e7ekersiniz. Son bir pencere daha beklersiniz ve en sonunda eski ZSK\u2019yi tamamen kald\u0131r\u0131rs\u0131n\u0131z. Bu ritim, DNS \u00f6nbelleklerinin do\u011fas\u0131 gere\u011fi bize nefes alan\u0131 tan\u0131r.<\/p>\n<p>KSK taraf\u0131nda da benzer bir dans vard\u0131r, ama bir farkla: DS kayd\u0131 i\u015fin i\u00e7ine girer. Yeni KSK publish edilir, DNSKEY seti hem eski hem yeni KSK ile imzalan\u0131r. Uygun zaman geldi\u011finde DS kayd\u0131 ebeveyn tarafta yeni KSK\u2019i i\u015faret edecek \u015fekilde g\u00fcncellenir. Bu ge\u00e7i\u015fin ard\u0131ndan g\u00fc\u00e7 yeni KSK\u2019ye do\u011fru kayar. Eski KSK\u2019yi de yine sakin bir s\u00fcre bekledikten sonra u\u011furlars\u0131n\u0131z.<\/p>\n<h2 id=\"section-4\"><span id=\"Adim_Adim_ZSK_Dondurme_Rahat_Isinma_Turu\">Ad\u0131m Ad\u0131m: ZSK D\u00f6nd\u00fcrme (Rahat Is\u0131nma Turu)<\/span><\/h2>\n<h3><span id=\"Zamanlama_ve_Hazirlik\">Zamanlama ve Haz\u0131rl\u0131k<\/span><\/h3>\n<p>ZSK d\u00f6nd\u00fcrme genelde ilk deneme i\u00e7in idealdir. \u00c7\u00fcnk\u00fc DS ile u\u011fra\u015fmazs\u0131n\u0131z. Ben genelde \u015fu ak\u0131\u015fla ilerliyorum: \u00d6nce alan ad\u0131 imzalama s\u00fcresini g\u00f6zden ge\u00e7iririm. TTL\u2019ler \u00e7ok uzun ise bir s\u00fcre \u00f6nceden d\u00fc\u015f\u00fcr\u00fcr\u00fcm; abartmadan ama manevra alan\u0131 yaratacak kadar. Ard\u0131ndan yeni ZSK\u2019yi \u00fcretirim ve yay\u0131na \u201cpre-publish\u201d olarak al\u0131r\u0131m. Bu noktada sisteminize g\u00f6re komutlar ve konsollar de\u011fi\u015fir; \u00f6nemli olan mant\u0131k ak\u0131\u015f\u0131.<\/p>\n<p>Pre-publish sonras\u0131 birka\u00e7 TTL kadar beklemek, a\u011f\u0131n beynindeki \u201ceski foto\u011fraf\u201dlar\u0131n yenilenmesine izin verir. Beklerken \u201cdig +dnssec alanadiniz.com DNSKEY\u201d gibi ufak kontrollerle yeni anahtar\u0131n g\u00f6r\u00fcnd\u00fc\u011f\u00fcn\u00fc do\u011frular\u0131m. DNSSEC do\u011frulamas\u0131n\u0131 kontrol etmek i\u00e7in \u201cdelv\u201d veya farkl\u0131 resolver\u2019larla testler de faydal\u0131d\u0131r. Hatalar genelde sab\u0131rs\u0131zl\u0131ktan \u00e7\u0131kar; acele edilmezse yol ak\u0131c\u0131d\u0131r.<\/p>\n<h3><span id=\"Cifte_Imzayla_Guvenli_Gecis\">\u00c7ifte \u0130mzayla G\u00fcvenli Ge\u00e7i\u015f<\/span><\/h3>\n<p>Double-sign a\u015famas\u0131na geldi\u011finizde, b\u00f6lge kay\u0131tlar\u0131n\u0131 hem eski ZSK hem yeni ZSK ile imzalars\u0131n\u0131z. Bu d\u00f6nem bir t\u00fcr \u201cikili d\u00f6nem\u201ddir. \u00c7o\u011fu kullan\u0131c\u0131 i\u00e7in hi\u00e7bir \u015fey de\u011fi\u015fmez; ama biz biliriz ki sahnede iki sanat\u00e7\u0131 var. Bu pencere de birka\u00e7 TTL ya\u015famay\u0131 hak eder. Ben bu s\u0131rada <a href=\"https:\/\/dnsviz.net\/\" rel=\"nofollow noopener\" target=\"_blank\">DNSViz ile alan ad\u0131n\u0131n zincirini g\u00f6rsel olarak kontrol etmeyi<\/a> seviyorum; grafikte k\u0131rm\u0131z\u0131 veya turuncu bir halka g\u00f6r\u00fcrsem, \u00f6nce onu sakin sakin d\u00fczeltirim.<\/p>\n<p>Son perdede, eski ZSK\u2019yi imzadan \u00e7ekersiniz. Hemen silmezsiniz, bekler ve yeniden test edersiniz. Her \u015fey yolundaysa, eski ZSK\u2019yi tamamen kald\u0131r\u0131rs\u0131n\u0131z. Bu ak\u0131\u015f\u0131n en g\u00fczel taraf\u0131, kullan\u0131c\u0131lar\u0131n hi\u00e7bir \u015fey fark etmemesi. T\u00fcm konser bitmi\u015f, alk\u0131\u015flar toplanm\u0131\u015f, perde kapanm\u0131\u015ft\u0131r; ama d\u0131\u015far\u0131dakiler m\u00fczi\u011fin hi\u00e7 kesilmedi\u011fini s\u00f6yler.<\/p>\n<h2 id=\"section-5\"><span id=\"Adim_Adim_KSK_Dondurme_ve_DS_Guncelleme_Sahneye_Ebeveyn_de_Dahil\">Ad\u0131m Ad\u0131m: KSK D\u00f6nd\u00fcrme ve DS G\u00fcncelleme (Sahneye Ebeveyn de Dahil)<\/span><\/h2>\n<h3><span id=\"Pre-Publish_Yeni_KSKyi_Sessizce_Tanitma\">Pre-Publish: Yeni KSK\u2019yi Sessizce Tan\u0131tma<\/span><\/h3>\n<p>KSK d\u00f6nd\u00fcr\u00fcrken, ayn\u0131 pre-publish yakla\u015f\u0131m\u0131yla ba\u015flamak en sakin y\u00f6ntem. Yeni KSK\u2019yi DNSKEY setine eklersiniz ve DNSKEY setini hem eski hem yeni KSK ile imzalars\u0131n\u0131z. Bu noktada d\u0131\u015f d\u00fcnya h\u00e2l\u00e2 eski DS kayd\u0131n\u0131 takip etmektedir; problem de\u011fil. Biz <strong>zinciri koparmadan<\/strong> yeni anahtar\u0131 tan\u0131tm\u0131\u015f oluyoruz.<\/p>\n<p>Bu tan\u0131t\u0131m d\u00f6neminde tan\u0131d\u0131k kontroller i\u015fe yarar. \u201cdig +dnssec alanadiniz.com DNSKEY\u201d ile yeni KSK\u2019nin g\u00f6r\u00fcnd\u00fc\u011f\u00fcn\u00fc g\u00f6rmek, sonraki ad\u0131ma g\u00fcven verir. Ayr\u0131ca <a href=\"https:\/\/www.icann.org\/resources\/pages\/ksk-zsk-2012-03-29-en\" rel=\"nofollow noopener\" target=\"_blank\">ICANN\u2019in KSK\/ZSK a\u00e7\u0131klay\u0131c\u0131 sayfas\u0131<\/a> rol farklar\u0131n\u0131 hat\u0131rlamak i\u00e7in ho\u015f bir ba\u015fucu notudur. Amac\u0131m\u0131z herkesin yeni KSK\u2019yi duymas\u0131, ama hen\u00fcz ona ba\u011flanmak zorunda kalmamas\u0131.<\/p>\n<h3><span id=\"DS_Kaydinin_Guncellenmesi_Kapiciya_Haber\">DS Kayd\u0131n\u0131n G\u00fcncellenmesi: Kap\u0131c\u0131ya Haber<\/span><\/h3>\n<p>\u015eimdi i\u015fin kalbi: DS g\u00fcncellemesi. Registrar panelinize girip, DS kayd\u0131n\u0131 yeni KSK\u2019nin bilgisi ile g\u00fcncellersiniz. Baz\u0131 paneller \u201cekle-sil\u201d ak\u0131\u015f\u0131n\u0131 tek ad\u0131mda vermez; \u00f6nce yeni DS\u2019yi ekleyip, bir s\u00fcre sonra eskisini silmek daha sa\u011fl\u0131kl\u0131d\u0131r. \u00c7\u00fcnk\u00fc DS ebeveyn tarafta ya\u015far; TTL ve yay\u0131n pencereleri sizin alan ad\u0131n\u0131zdaki TTL\u2019lerden ba\u011f\u0131ms\u0131z akabilir.<\/p>\n<p>DS g\u00fcncellemesinden sonra, <strong>birka\u00e7 TTL<\/strong> beklemek yine en iyi dostunuz. Bu arada DNSSEC do\u011frulamas\u0131n\u0131 farkl\u0131 resolver\u2019lardan kontrol etmek, hatta m\u00fcmk\u00fcnse mobil a\u011f \u00fczerinden de denemek, beklenmeyen \u00f6nbellek davran\u0131\u015flar\u0131n\u0131 yakalaman\u0131za yard\u0131mc\u0131 olur. E\u011fer bir yerde kopukluk olursa genelde ya zamanlama yetersizdir ya da DS\u2019de yanl\u0131\u015f parmak izi se\u00e7ilmi\u015ftir. Panik yok; do\u011frulay\u0131p, gerekirse geri al\u0131p, tekrar ve do\u011fru \u015fekilde ilerlemek m\u00fcmk\u00fcn.<\/p>\n<h3><span id=\"Eski_KSKnin_Ugurlanmasi\">Eski KSK\u2019nin U\u011furlanmas\u0131<\/span><\/h3>\n<p>Yeni DS her yere sindi\u011finde, sisteminiz yeni KSK \u00fczerinde kararl\u0131 \u00e7al\u0131\u015f\u0131r hale gelir. Bundan sonra eski DS kald\u0131r\u0131l\u0131r, ard\u0131ndan da KSK taraf\u0131nda eski anahtar emeklili\u011fe ayr\u0131l\u0131r. Ben bu a\u015famada tekrar tekrar test etmeyi, bir iki g\u00fcn arayla do\u011frulamay\u0131 al\u0131\u015fkanl\u0131k edindim. \u00c7\u00fcnk\u00fc DNS\u2019in tabiat\u0131 gere\u011fi, k\u00f6\u015felerde kalm\u0131\u015f bir \u00f6nbellek veya gecikmi\u015f bir ge\u00e7i\u015f sizi \u015fa\u015f\u0131rtabilir. Sab\u0131r ve tekrar, bu i\u015fin gizli malzemeleridir.<\/p>\n<h2 id=\"section-6\"><span id=\"Algoritma_Degisimi_Coklu_Imzaci_ve_Acil_Durum_Senaryolari\">Algoritma De\u011fi\u015fimi, \u00c7oklu \u0130mzac\u0131 ve Acil Durum Senaryolar\u0131<\/span><\/h2>\n<p>Bazen sadece anahtar\u0131 de\u011fil, <strong>algoritmay\u0131<\/strong> da de\u011fi\u015ftirmeniz gerekir. Bu, biraz daha dikkat isteyen bir turdur. Eski algoritma ile yeni algoritmay\u0131 bir s\u00fcre birlikte yay\u0131nlamak, yani DNSKEY setinde her iki taraf\u0131 da g\u00f6r\u00fcn\u00fcr k\u0131lmak, sonra da imzalar\u0131 \u00e7ift tarafl\u0131 \u00fcretmek g\u00fcvenli bir yoldur. Son a\u015famada DS kayd\u0131 da yeni algoritman\u0131n KSK\u2019sine d\u00f6ner. Bu taktik, kap\u0131dan giren herkesi sessizce yeni d\u00fczene al\u0131\u015ft\u0131r\u0131r. Ek ayr\u0131nt\u0131lar merak uyand\u0131r\u0131rsa, <a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc6781\" rel=\"nofollow noopener\" target=\"_blank\">RFC 6781\u2019deki operasyonel pratikler<\/a> g\u00fczel bir \u00e7er\u00e7eve sunar.<\/p>\n<p>\u00c7oklu imzac\u0131 (multi-signer) d\u00fczenleri de g\u00fcncel hayatta kar\u015f\u0131m\u0131za \u00e7\u0131kar. \u0130\u00e7erik da\u011f\u0131t\u0131m a\u011flar\u0131yla (CDN) veya farkl\u0131 DNS platformlar\u0131yla \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131zda, zinciri birden fazla tarafta sa\u011flam tutmak gerekir. Burada da mant\u0131k de\u011fi\u015fmez: Her yerde pre-publish, her yerde double-sign ve t\u00fcm taraflarda tutarl\u0131 DS ge\u00e7i\u015fi. Fark yaln\u0131zca orkestrasyondad\u0131r; herkes ayn\u0131 notadan \u00e7almal\u0131d\u0131r.<\/p>\n<p>Acil durumlar da olur. Anahtar s\u0131zd\u0131 veya \u015f\u00fcpheli bir durum var; h\u0131zla rotasyon gerekli. B\u00f6yle anlarda ideal ak\u0131\u015ftaki bekleme pencerelerini minimuma indirip g\u00fcvenli\u011fi \u00f6ncelemek gerekir. Bu, k\u00fc\u00e7\u00fck kesinti riskini art\u0131rsa da baz\u0131 zamanlar tek do\u011fru hareket budur. O y\u00fczden rutin zamanlarda provalar yapmak, bekleme s\u00fcrelerini ve panel davran\u0131\u015flar\u0131n\u0131 iyi tan\u0131mak, acil g\u00fcnde hayat kurtar\u0131r.<\/p>\n<h2 id=\"section-7\"><span id=\"Otomasyon_Gozlem_ve_Sakinlik_Dondurmeyi_Rutine_Cevirmek\">Otomasyon, G\u00f6zlem ve Sakinlik: D\u00f6nd\u00fcrmeyi Rutine \u00c7evirmek<\/span><\/h2>\n<p>El yordam\u0131yla yap\u0131lan her i\u015f, bir g\u00fcn yorgunlukla kar\u0131\u015f\u0131r ve k\u00fc\u00e7\u00fck hatalar b\u00fcy\u00fcyebilir. DNSSEC rotasyonunu da ufak otomasyonlarla rutine \u00e7evirmek m\u00fcmk\u00fcn. A\u00e7\u0131k konu\u015fay\u0131m, ben de\u011fi\u015fiklikleri \u00f6nceden \u201ckuru ko\u015fu\u201d ile test etmeyi seviyorum: Sahte bir alan ad\u0131, k\u0131sa TTL\u2019ler, h\u0131zl\u0131 geri d\u00f6n\u00fc\u015f plan\u0131. Sonra prod\u2019a geldi\u011fimde her t\u0131k, daha \u00f6nce duydu\u011fum bir sesten ibaret oluyor.<\/p>\n<p>Bu noktada altyap\u0131 otomasyonuna dokunmak g\u00fczel bir kald\u0131ra\u00e7 sa\u011flar. DNS, bulut ve da\u011f\u0131t\u0131m s\u00fcre\u00e7lerini ayn\u0131 orkestrada y\u00f6netmek isterseniz, <a href=\"https:\/\/www.dchost.com\/blog\/terraform-ile-vps-ve-dns-otomasyonu-cloudflare-proxmox-openstack-ve-sifir-kesinti-dagitim-nasil-bir-araya-gelir\/\">Terraform ile DNS otomasyonu \u00fczerine sahadan anlatt\u0131\u011f\u0131m\u0131z yaz\u0131<\/a> prati\u011fe \u00e7ok yard\u0131mc\u0131 olur. De\u011fi\u015fiklikleri kodla tarif etmek, geri almay\u0131 da kolayla\u015ft\u0131r\u0131r. Hem ekip i\u00e7inde bilginin bir ki\u015fide toplanmas\u0131n\u0131 engeller, hem de \u201cbu ad\u0131m\u0131 atlam\u0131\u015f m\u0131yd\u0131k?\u201d endi\u015fesini azalt\u0131r.<\/p>\n<p>G\u00f6zlem katman\u0131 da \u015fart. Basit sa\u011fl\u0131k kontrolleri, DNSSEC do\u011frulama testleri, \u00e7ak\u0131\u015fan anahtar veya yanl\u0131\u015f DS uyar\u0131lar\u0131\u2026 Bunlar\u0131n bir k\u0131sm\u0131 e-posta ile, bir k\u0131sm\u0131 dashboard \u00fczerinde akar. Rutin bildirimler bile iyi gelir; \u00e7\u00fcnk\u00fc sistemin nabz\u0131n\u0131 her g\u00fcn tutars\u0131n\u0131z. Rotasyon g\u00fcn\u00fc geldi\u011finde zaten her \u015fey sizi tan\u0131r hale gelmi\u015ftir.<\/p>\n<h2 id=\"section-8\"><span id=\"Sik_Yapilan_Hatalar_ve_Kucuk_Tuyolar\">S\u0131k Yap\u0131lan Hatalar ve K\u00fc\u00e7\u00fck T\u00fcyolar<\/span><\/h2>\n<p>\u0130lk hata genelde sab\u0131rs\u0131zl\u0131k. Pre-publish var, double-sign var; ama bu iki sihri etkili k\u0131lan \u015fey zaman. TTL pencerelerini hafife al\u0131rsan\u0131z, zincir bir yerde k\u0131r\u0131l\u0131r. \u0130kinci hata, DS parmak izini yanl\u0131\u015f kopyalamak. Registrar panelinde k\u00fc\u00e7\u00fck bir karakter fark\u0131 bile do\u011frulama sorunlar\u0131 yarat\u0131r. Bu y\u00fczden kopyalay\u0131p do\u011frulamak, hatta farkl\u0131 bir cihazda ikinci kez bakmak iyi bir al\u0131\u015fkanl\u0131k.<\/p>\n<p>Bir di\u011feri de sadece tek yerden test etmek. Yerel resolver\u2019\u0131n\u0131z farkl\u0131 davranabilir, ofis DNS\u2019i beklenmedik \u00f6nbellek politikalar\u0131 uygulayabilir. Mobil a\u011fdan veya farkl\u0131 bir ISS\u2019den denemek, bazen saatler s\u00fcrecek bir sorunu dakikalar i\u00e7inde g\u00f6r\u00fcn\u00fcr yapar. Bu arada zinciri g\u00f6rselleyen ara\u00e7lar, \u00f6rne\u011fin DNSViz, stresinizi d\u00fc\u015f\u00fcr\u00fcr; \u00e7\u00fcnk\u00fc hatay\u0131 resimle konu\u015fursunuz.<\/p>\n<p>Son olarak, algoritma de\u011fi\u015fimlerinde kelime oyunlar\u0131na s\u0131k\u0131\u015f\u0131p kalmay\u0131n; mant\u0131\u011f\u0131 takip edin. Yeni anahtar\u0131 sessizce tan\u0131t, ikili d\u00f6nemde \u00e7ifte imzala, DS\u2019yi do\u011fru anahtara \u00e7evir, sonra eskisini u\u011furla. Bunu ezbere de\u011fil, nedenleriyle anlad\u0131\u011f\u0131n\u0131zda, her marka panelde, her altyap\u0131da yolunuzu bulursunuz.<\/p>\n<h2 id=\"section-9\"><span id=\"Gercek_Hayattan_Minik_Bir_Gece_Operasyonu\">Ger\u00e7ek Hayattan Minik Bir Gece Operasyonu<\/span><\/h2>\n<p>Bir e-ticaret sitesinde, gece yar\u0131s\u0131 KSK d\u00f6nd\u00fcrmemiz gerekiyordu. Kampanya haftas\u0131 yakla\u015f\u0131yordu ve herkesin eli biraz daha titriyordu. \u00d6nce pre-publish yapt\u0131k; yeni KSK\u2019yi DNSKEY setine ekledik, \u00e7ifte imzay\u0131 devreye ald\u0131k. Birka\u00e7 TTL bekledik; bu bekleme s\u00fcresini, k\u00fc\u00e7\u00fck bir saatlik pencerede, daha az trafikli zamanlar\u0131n i\u00e7ine yerle\u015ftirdik. Bu s\u0131rada DNSViz ve dig testleri ile zincirin sorunsuz akt\u0131\u011f\u0131n\u0131 g\u00f6rd\u00fck.<\/p>\n<p>Sonra registrar paneline ge\u00e7ip DS kayd\u0131n\u0131 dikkatle g\u00fcncelledik. Bu noktada aceleci olmay\u0131 sevmem; g\u00fcncellemeden sonra bir nefes daha bekledik. Farkl\u0131 a\u011flardan do\u011frulama yapt\u0131k; mobil \u015febekeden bile bakmak i\u015fe yar\u0131yor. Her \u015fey sakin kal\u0131nca, eski DS\u2019yi kald\u0131rd\u0131k ve bir s\u00fcre sonra eski KSK\u2019yi emekli ettik. Sabah oldu\u011funda ekipten biri \u201cGece bir \u015fey oldu mu?\u201d diye sordu. \u201cOldu,\u201d dedim, \u201cama kimse duymad\u0131.\u201d<\/p>\n<h2 id=\"section-10\"><span id=\"Kapanis_Zinciri_Koparmadan_Akista_Kalmak\">Kapan\u0131\u015f: Zinciri Koparmadan Ak\u0131\u015fta Kalmak<\/span><\/h2>\n<p>DNSSEC key rollover, d\u0131\u015far\u0131dan bak\u0131nca \u00fcrk\u00fct\u00fcc\u00fc g\u00f6r\u00fcnebilir. \u0130\u00e7eriden bakt\u0131\u011f\u0131n\u0131zda ise tekrarlayan birka\u00e7 ad\u0131m ve dikkatli zamanlamadan ibarettir. ZSK d\u00f6nd\u00fcr\u00fcrken alan ad\u0131n\u0131z\u0131n i\u00e7inde sakince gezersiniz; KSK d\u00f6nd\u00fcr\u00fcrken DS kayd\u0131n\u0131 ebeveyn tarafa do\u011fru ve net bir \u015fekilde \u00e7evirirsiniz. Her iki senaryoda da <strong>pre-publish<\/strong>, <strong>double-sign<\/strong>, <strong>do\u011fru DS g\u00fcncellemesi<\/strong> ve test, sizi s\u0131f\u0131r kesintiye yakla\u015ft\u0131r\u0131r.<\/p>\n<p>Pratik bir yol haritas\u0131 ak\u0131lda kals\u0131n: De\u011fi\u015fiklikten \u00f6nce TTL\u2019leri g\u00f6zden ge\u00e7ir, yeni anahtar\u0131 sessizce tan\u0131t, \u00e7ifte imza ile g\u00fcvenli bir ikili d\u00f6nem ya\u015fat, DS\u2019yi do\u011fru zamanda ve dikkatle g\u00fcncelle, sonra eski anahtarlar\u0131 nazik\u00e7e u\u011furla. Her ad\u0131mda test et; dig ve g\u00f6rselle\u015ftirici ara\u00e7lar iyi yol arkada\u015f\u0131d\u0131r. Detay merak edersen, ICANN\u2019in KSK\/ZSK anlat\u0131mlar\u0131 ve operasyonel pratikleri toparlayan belgeler de elinin alt\u0131nda olsun. Hatta, otomasyonla i\u015fi rutine ba\u011flamak istersen, Terraform ile DNS katman\u0131n\u0131 koda d\u00f6kmek uzun vadede \u00e7ok rahat ettirir.<\/p>\n<p>Umar\u0131m bu yaz\u0131, gece vakti yapaca\u011f\u0131n\u0131z bir anahtar d\u00f6nd\u00fcrme operasyonunda omzunuza g\u00f6r\u00fcnmez bir el gibi dokunur. Tak\u0131ld\u0131\u011f\u0131n\u0131z bir noktada sakin kal\u0131n, zamanlamaya g\u00fcvenin ve zincirin nerede akt\u0131\u011f\u0131n\u0131 g\u00f6zden ka\u00e7\u0131rmay\u0131n. Sorular\u0131n\u0131z olursa her zaman yaz\u0131n; bir sonraki yaz\u0131da ba\u015fka bir altyap\u0131 d\u00fc\u011f\u00fcm\u00fcn\u00fc beraber \u00e7\u00f6zelim. Bu arada ayr\u0131nt\u0131lar\u0131 kurcalamak isterseniz, <a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc6781\" rel=\"nofollow noopener\" target=\"_blank\">operasyonel pratiklere dair RFC<\/a> ve <a href=\"https:\/\/www.icann.org\/resources\/pages\/ksk-zsk-2012-03-29-en\" rel=\"nofollow noopener\" target=\"_blank\">ICANN\u2019in KSK\/ZSK a\u00e7\u0131klamalar\u0131<\/a> her zaman a\u00e7\u0131k. Yolunuz a\u00e7\u0131k, imzalar\u0131n\u0131z sa\u011flam olsun.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 Hi\u00e7 DNSSEC Anahtar\u0131 D\u00f6nd\u00fcr\u00fcrken Ellerin Titredi mi?2 KSK mi ZSK m\u0131? DS Kay\u0131t Nerede Duruyor?3 S\u0131f\u0131r Kesintinin Sihri: Pre-Publish ve Double-Sign4 Ad\u0131m Ad\u0131m: ZSK D\u00f6nd\u00fcrme (Rahat Is\u0131nma Turu)4.1 Zamanlama ve Haz\u0131rl\u0131k4.2 \u00c7ifte \u0130mzayla G\u00fcvenli Ge\u00e7i\u015f5 Ad\u0131m Ad\u0131m: KSK D\u00f6nd\u00fcrme ve DS G\u00fcncelleme (Sahneye Ebeveyn de Dahil)5.1 Pre-Publish: Yeni KSK\u2019yi Sessizce Tan\u0131tma5.2 DS Kayd\u0131n\u0131n G\u00fcncellenmesi: [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1777,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1776","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-teknoloji"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1776","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=1776"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1776\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/1777"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=1776"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=1776"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=1776"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}