DNSSEC Nedir?

DNS protokol standartlarını oluşturan İnternet Mühendisliği Görev Gücü (Internet Enginering Task Force - IETF) tarafından geliştirilen DNSSEC, DNS bilgilerinin güvenliğini sağlamaya yönelik bir şifreleme mekanizmasıdır. DNSSEC, açık anahtar şifrelemesine dayalı dijital imzalar kullanarak DNS'te kimlik doğrulamasını güçlendirmektedir. Dijital imzalar, alan adı DNS kayıtlarına eklenerek dönen yanıtların orijinal kaynaktan geldiğini garanti etmektedir. Ayrıca aktarım sırasında verilerin bozulup bozulmadığı da doğrulanmaktadır. Böylece DNSSEC ile DNS protokolüne, veri kaynağına yönelik kimlik doğrulama ve veri bütünlüğü koruması şeklinde iki önemli özellik eklenmektedir.

 

DNSSEC sisteminde, DNS sorguları ve yanıtları değil, DNS kayıtları veri sahibi tarafından imzalanmaktadır. Dijital imzanın oluşturulması için her DNS alanında gizli ve açık anahtarlardan oluşan bir anahtar çifti kullanılmaktadır. Gizli anahtar kullanılarak imzalanan DNS verileri üzerinde dijital imzalar oluşmaktadır. Gizli anahtar bilgisi gizli olup sadece anahtar sahibinde bulunurken, açık anahtarlar DNS alanında yayımlanmaktadır. Açık anahtar, gizli anahtar tarafından imzalanmış bir verinin doğruluğu ve geçerliliğini anlamak için kullanılmaktadır. Örneğin alan adı sorgusunda herhangi bir çözümleyici, verilerin orijinalliğini doğrulamak için alanın açık anahtarını kullanmaktadır. Açık anahtarlar da alandaki diğer veriler gibi imzalanmaktadır. DNS hiyerarşisinde bulunan her üst alan, bir alt alanın açık anahtarını bulundurarak teyit etmekten sorumludur.

 

İnternette güvenliğin sağlanabilmesi için DNSSEC’in kullanımının yaygınlaşması önem arz etmektedir. DNSSEC, otomatik bir sistem olmayıp etkinleştirilmesi için alan sahibinin, kendi alanının verilerini imzalayarak o alanın kök alanına ulaşana kadar tüm üst alanların de imzalarının tamamlamış olması gerekmektedir. Kök alanından başlayarak imzalanmış olan alanlar zinciri, çözümleyicinin verileri doğrulamak için bir güven zinciri oluşturmasına olanak tanımaktadır.