Global DNSKEY Doğrulama Aracı
DNSKEY kaynak kaydı, DNSSEC'in (Domain Name System Security Extensions) kriptografik temelidir. Çekirdek DNS protokolü doğası gereği şifrelenmemiştir ve durumsuzdur (stateless), bu da onu Cache Poisoning (Önbellek Zehirlenmesi) ve Man-in-the-Middle (MitM) sahtekarlığına karşı son derece duyarlı hale getirir. DNSSEC, DNS yanıtlarına matematiksel, kriptografik imzalar ekleyerek bunu çözer. DNSKEY kaydı açık anahtar (public key) deposu olarak işlev görür; uzak resolver'ların bir A veya MX kayıtları Payload'unun gerçekten authoritative (yetkili) nameserver'dan geldiğini ve aktarım sırasında (in transit) kurcalanmadığını doğrulamak için kullandığı Base64 kodlu public key'leri tutar.
ZSK ve KSK Mimarisi
Standart bir DNSSEC uygulaması, güvenliği operasyonel verimlilikle dengelemek için iki farklı anahtar dağıtır. Zone Signing Key (ZSK), zone içindeki tekil kayıtları (A, TXT, CNAME) hızla imzalamak için kullanılan daha küçük, daha düşük ek yüke sahip kriptografik bir anahtardır. Toplu imzalamayı (bulk signing) idare ettiği için ZSK, kaba kuvvet (brute-force) çatlamasını önlemek için sık sık (örn. her 30 günde bir) döndürülür (rotate edilir). Key Signing Key (KSK) ise çok daha güçlü, yoğun bir şekilde korunan bir anahtardır. Tek amacı ZSK'nın kendisini imzalamaktır. Yöneticiler bu anahtarları ayırarak, üst TLD kayıt defteriyle sürekli iletişim kurmaya gerek kalmadan ZSK'yı nameserver üzerinde yerel olarak rotate edebilirler.
Chain of Trust (Güven Zinciri) ve DS Kayıtları
İnternetin köküne kadar uzanan doğrulanabilir bir güven yolu olmadığı sürece DNSKEY kaydınızı zone'unuzda yayınlamak işe yaramaz. KSK bir imza oluşturduğunda, o KSK'nın matematiksel bir hash'i alan adı kayıt kuruluşuna bir DS (Delegation Signer) kaydı olarak sunulur. Kayıt kuruluşu bu DS kaydını üst TLD zone'unda ( .com kayıt defteri gibi) yayınlar. Özyinelemeli bir resolver (recursive resolver) alan adınızı sorguladığında, KSK'nın kimliğini doğrulamak için DS kaydını parent'tan alır, ZSK'nın kimliğini doğrulamak için KSK'yı kullanır ve son IP adresinin kimliğini doğrulamak için ZSK'yı kullanır. Bu kriptografik zincirdeki herhangi bir bağlantı koparsa, doğrulama tamamen başarısız olur.
Feci SERVFAIL Kesintileri
DNSKEY kayıtlarını yönetmek mutlak kesinlik gerektirir. DNSSEC "kapatarak başarısız olmak" (fail closed) için tasarlanmıştır. Otomatik bir komut dosyası sunucudaki ZSK'yı rotate ederse ancak karşılık gelen açık DNSKEY kaydı global zone'da güncellenmezse, kriptografik imzalar uyuşmaz. ISP'ler ve Google (8.8.8.8) ve Cloudflare (1.1.1.1) gibi public resolver'lar bunu aktif bir siber saldırı olarak yorumlayacaktır. DNS yanıtını anında düşürecek (drop) ve istemciye ölümcül bir SERVFAIL durumu döndürerek, anahtarlar manuel olarak senkronize edilene veya DNSSEC kayıt kuruluşu seviyesinde tamamen devre dışı bırakılana kadar alan adını internetten etkili bir şekilde sileceklerdir.