irdaweb Bilgi Teknolojileri
Telefon numaramız +90 541 209 02 05
E-posta adresimiz [email protected]
Konu 10 · Domain Güvenliği

Domain güvenliği — kilitler, hesap koruması ve olay müdahale.

Bir alan adının ele geçirilmesi nadir bir gürültülü saldırı değil — çoğu zaman hatırlanmamış bir yenileme, eksik bir 2FA ya da destek hattındaki bir telefon görüşmesinden geçer. Bu sayfada hesap güvenliğinden EPP kilitlerine, DNSSEC pinlemeden olay müdahale yoluna kadar — alan adınızı operasyonel disiplinle korumak için temel kavramları yan yana topladık.

01 — Tehdit yüzeyi

Saldırı yüzeyi: hesap, DNS, transfer ve süre vektörleri

Alan adının arkasında birden çok katman vardır: tescilci hesabınız, DNS sağlayıcınız, e-posta erişiminiz, ödeme yönteminiz. Saldırgan bu zincirin en zayıf halkasını seçer — çoğu zaman da bu, kod tabanındaki bir açık değil; insan tarafındaki bir alışkanlıktır. Tehdit yüzeyini tanımak ilk savunmadır: nereden geleceğini biliyorsanız nereye kilit takacağınızı da bilirsiniz.

Vektör · 01 Hesap

Tescilci hesabı ele geçirme

Sızdırılmış parola + 2FA'sız hesap eşittir saatler içinde NS değişikliği. Phishing, credential stuffing ve SIM-swap ile birleşince SMS doğrulaması bile yetmez. En yaygın giriş kapısıdır.

Vektör · 02 Sosyal

Destek hattı manipülasyonu

Sahte kimlik belgeleriyle tescilcinin destek ekibini ikna ederek NS / sahiplik değişikliği talep etme. Donanım anahtarı atlanamaz ama bir telefon görüşmesi bazen atlanır — bu yüzden Registry Lock vardır.

Vektör · 03 DNS

NS hijack & subdomain takeover

Authoritative DNS sağlayıcı hesabı ele geçirildiğinde tescilci hiç farkına varmaz — uygulama trafiği saldırgan IP'sine yönlenir. Terk edilmiş bir CNAME ise üçüncü taraf sağlayıcıda dangling kayıtla subdomain'i devralmaya açar.

Vektör · 04 Süre

Yenilenmemiş alan adı

Sona eren alan adları Redemption Grace Period sonrası serbest düşer; drop-catching servisleri saniyeler içinde kapar. Eski sahibin uzun mücadeleye girmesi gerekir — çoğu zaman geri alınamaz.

Vektör · 05 E-posta

Yönetim e-postası kaybı

Tescilci hesabınız bağlı olduğunuz [email protected] üzerine reset bildirimi gönderiyorsa, alan adını kaybettiğinizde hesabı da kaybedersiniz. Bu döngü bir bağımsız e-posta ile kırılır.

Vektör · 06 Transfer

Yetkisiz transfer talebi

Auth-code (EPP kodu) ele geçirilirse alan adı başka bir tescilciye taşınabilir. Transfer kilidi (clientTransferProhibited) açıkken kod tek başına yetmez; kilitsiz hesaplarda ise tek savunmadır.

Görünürlük güvenliğin yarısıdır. Tescilciden gelen değişiklik bildirimleri (NS değişti, sahip bilgisi güncellendi, transfer talep edildi) en az iki bağımsız kanala düşmeli — bir yönetim e-postası ve bir mesajlaşma uygulaması. Bildirim gelmiyorsa ya da kanal saldırgan kontrolünde ise kilitler çekilmeden saldırının farkına varmazsınız.
02 — Kilitler

Registrar Lock, Registry Lock ve EPP status kodları

Her tescilli alan adının üzerinde bir veya daha fazla EPP status kodu vardır. Bu kodlar tescil otoritesinin (registry) hangi işlemlere izin verdiğini söyler — transfer, silme ve güncelleme için ayrı ayrı. whois ya da RDAP sorgusu ile herkes görebilir; kapalı olanı kapatmak ücretsizdir ve çoğu hijack denemesini orada durdurur.

İki büyük aile vardır: client-* tescilcinin kendi başına açıp kapatabildiği kilitlerdir; panelinizden anında çekersiniz. server-* tescil otoritesi tarafından konulur — değiştirmek için kimlik doğrulama ve manuel onay süreci gerektirir. Asıl koruma server-* kilitlerindedir.

whois sirketadi.com
# tescilcinin uyguladığı kilitler (anlık geri alınabilir)

Domain Status: clientTransferProhibited   https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited     https://icann.org/epp#clientUpdateProhibited
Domain Status: clientDeleteProhibited     https://icann.org/epp#clientDeleteProhibited

# tescil otoritesinin uyguladığı kilitler (manuel doğrulama gerekir)

Domain Status: serverTransferProhibited   https://icann.org/epp#serverTransferProhibited
Domain Status: serverUpdateProhibited     https://icann.org/epp#serverUpdateProhibited
Domain Status: serverDeleteProhibited     https://icann.org/epp#serverDeleteProhibited

# varsayılan / değişikliklerin serbest olduğu durum

Domain Status: ok                            ↑ hiçbir kilit yok, transfer açık
L1
Registrar Lock — varsayılan ilk savunma
Tescilcinin panelinden tek tıkla açtığınız client*Prohibited kilitleri. Ücretsiz, anında etkili; çoğu yeni alan adında zaten varsayılan açıktır. Sınırı şurada: tescilci hesabınız ele geçirilirse saldırgan da aynı tıkla kilidi kaldırır.
L2
Registry Lock — kritik alanlarınız için
Verisign, Identity Digital ve diğer tescil otoritelerinin sunduğu server-* kilit hizmeti. Kaldırmak için önceden tanımlı kişi listesinin manuel doğrulaması (telefon + şifre + 2FA) gerekir. Ele geçirilen panelin yetmediği tek katmandır; .com, .net, .org gibi büyük TLD'lerde ek ücretle sunulur.
L3
.tr alan adları — TRABİS akışı
.tr ailesinde tüm transferler TRABİS üzerinden yürür; tescilci değişikliği için tescil sahibinin e-Devlet veya KEP üzerinden onay vermesi gerekir — bu akış pratikte registry-tarafı bir kilit gibi davranır. Ek olarak panel hesabınız için tescilcinin 2FA seçeneklerini mutlaka açın.
03 — Hesap güvenliği

Tescilci hesabı için 2FA ve kurtarma disiplini

Registry Lock bile, tescilci paneliniz ele geçirildiğinde size yalnızca zaman kazandırır. Asıl koruma hesabın kendisindedir — kullandığınız ikinci faktörün niteliği, kurtarma kanallarının disiplini ve tescilci hesabınızın iş kimliğinden ne kadar ayrı tutulduğu, alan adınızın güvenliğini doğrudan belirler.

2FA · 01 Zayıf

SMS doğrulama

SIM-swap saldırısıyla numaranızı devralan bir saldırgan kodu cebine düşürür. Hiç 2FA olmamasından iyidir ama kritik alan adları için tek başına yetersizdir — varsa daha güçlü bir yöntemle değiştirin.

Phishing'e ve SIM-swap'a açık
2FA · 02 Orta

TOTP uygulaması

Authenticator uygulamasının ürettiği 6 haneli kod (RFC 6238). Telefon hattından bağımsız çalışır, SMS'in en büyük zaafını ortadan kaldırır. Ancak bir phishing sayfası kullanıcıdan kodu istediğinde, kullanıcı kodu girer ve oturum saldırgana açılır — phishable bir yöntemdir.

SIM-swap'a kapalı, phishing'e açık
2FA · 03 Güçlü

Donanım anahtarı / passkey

FIDO2/WebAuthn standartlı donanım anahtarı (YubiKey, Titan) ya da platform passkey'i. Anahtar yalnızca asıl alan adına imza üretir — phishing sayfasında çalışmaz. Kritik tescilci hesapları için bugünün altın standardıdır.

Phishing-resistant; en az 2 anahtar tutun
Pratik · 01

Yönetim e-postasını alan adınızdan ayırın

Tescilci hesabınız [email protected]'a bağlıysa, alan adınızı kaybetmek hesabınızı da kaybetmek demektir. Tescilci için ayrı, sade bir e-posta (örn. başka bir sağlayıcıdaki adres) kullanın ve şifre sıfırlama bildirimlerini oraya yönlendirin. Bu küçük ayrım çoğu döngüsel kilitlenmeyi keser.

Pratik · 02

Kurtarma kanallarını sertleştirin

  • En az iki donanım anahtarı — biri kasada, biri yanında.
  • Yedek (backup) kodları çevrimdışı bir parola yöneticisinde sakla.
  • Tescilcide varsa "panic lock" / acil kilit numarasını işle.
  • Hesabı en az iki kişinin parola yöneticisinde paylaş — tek-kişi bağımlılığı operasyonel risktir.
2FA "açık" değil, "phishing-resistant" olsun. Bir hesabın 2FA'sı varsa güvende sayılmaz — yöntemin niteliği önemlidir. SMS'i kaldırmak, TOTP'yi tek başına bırakmak değil; mümkün olan her yerde WebAuthn/passkey'e geçmek ve eski yöntemleri kapatmak doğru hedeftir. Aksi hâlde en zayıf yöntem hesabın güvenliğini belirler.
04 — DNS değişiklikleri

DNS katmanı kontrolleri: DNSSEC, CAA ve NS değişiklikleri

Tescilci hesabınız güvende olsa bile, DNS sağlayıcınız ayrı bir saldırı yüzeyidir. NS kayıtlarının sessizce değişmesi, sahte bir CA'nın sertifika basması ya da imzasız bir bölgede yapılan cache zehirlenmesi — hepsi tescilciden bağımsız risklerdir. Üç kontrol bu yüzeyi büyük ölçüde kapatır: DNSSEC ile imza, CAA ile sertifika beyaz listesi ve NS değişikliği için belirgin bir onay prosedürü.

dig sirketadi.com +dnssec
# NS — alan adının yetkili sunucuları

sirketadi.com.    86400   IN  NS    ns1.dnsprovider.net.
sirketadi.com.    86400   IN  NS    ns2.dnsprovider.net.

# DS — registry tarafında DNSSEC çapası (pin)

sirketadi.com.    86400   IN  DS    12345 13 2 9F86D081...

# DNSKEY — bölgenin kendi imza anahtarı

sirketadi.com.    3600    IN  DNSKEY  257 3 13 mdsswUyr3D...

# CAA — yalnızca bu CA'lar sertifika basabilir

sirketadi.com.    3600    IN  CAA   0 issue        "letsencrypt.org"
sirketadi.com.    3600    IN  CAA   0 issuewild    "letsencrypt.org"
sirketadi.com.    3600    IN  CAA   0 iodef        "mailto:[email protected]"

# bayraklar:
   ad   # authenticated data — resolver DNSSEC zincirini doğruladı
DS / DNSSEC
DS pin, alan adınızın imza anahtarının parmak izini tescil otoritesinde kayıt altına alır. Bir saldırgan DNS sağlayıcısını değiştirse bile yeni bölgenin imzası DS ile eşleşmediği için DNSSEC doğrulayan resolver'lar yanıtı reddeder. Korumayı registry seviyesine taşıyan tek katmandır. DNSSEC imza zinciri, RRSIG, KSK/ZSK ve DS/DNSKEY mekaniğinin tamamı için DNSSEC rehberine bakın.
CAA
CAA kayıtları alanınız için hangi sertifika otoritelerinin sertifika üretebileceğini belirler (RFC 8659). Yetkisiz bir CA'ya gelen sertifika talebi reddedilir; iodef ile ihlaller size raporlanır. ACME hesap bağlama (accounturi) ile koruma daha da daralır. Sertifikaların kendisi ve güven zinciri için TLS, SSL ve Sertifikalar.
NS
NS değişikliği, alan adı sahipliğini görünmeden devredebileceğiniz en sessiz işlemdir. Tescilcide NS değişikliği için çift onay (ikinci bir kişi + bağımsız kanal) prosedürü tanımlayın; mümkünse otomatik panel değişikliklerine değil, destek talebine bağlayın.
DNSSEC, tescilci kaydını da kapsayacak şekilde planlanmalı. DS kaydını registry'de yayınlamadan tek başına imzalı bir bölge bir koruma sağlamaz; aynı şekilde NS sağlayıcınızı değiştirdiğinizde KSK rollover'ı tamamlamadan DS'yi güncellerseniz alan adı erişilemez hale gelir. DNSSEC bir kez kurulup unutulan bir özellik değil; sağlayıcı değişikliklerinde planlanan bir geçiştir.
05 — Yenileme & yaşam döngüsü

Alan adı yaşam döngüsü ve yenileme disiplini

Yenileme tarihini kaçırmak yıllarca süren bir markayı saniyeler içinde başkasına devredebilir. Tescil otoritelerinin tanımlı bir yaşam döngüsü vardır; her aşamanın kendi geri dönüş maliyeti ve süresi vardır. Bu süreyi bilmek, otomatik yenilemenin ya da bir ödeme yönteminin neyi karşıladığını da anlatır.

gTLD yaşam döngüsü (.com, .net, .org)
  1. Aşama 01

    Aktif

    Normal kullanım; tescil bedeli ödenmiş, alan adı çalışıyor. Yenileme her zaman mümkün.

    tescil ücreti
  2. Aşama 02

    Auto-Renew Grace

    Süresi dolmuş ama tescilcide hâlâ yenilenebilir. Çoğu sağlayıcı bu pencerede aynı bedelle yenileme sunar. ICANN'e göre 45 güne kadar uzayabilir.

    ~0–45 gün
  3. Aşama 03

    Redemption Grace

    DNS susmuş, site/e-posta çalışmıyor. Geri almak hâlâ mümkün ama "redemption" ücreti (genelde ek 80–200 USD) ister. Operasyonel kesinti başlamıştır.

    ~30 gün
  4. Aşama 04

    Pending Delete

    Geri alınamaz. Alan adı registry kuyruğunda silinmeyi bekler; bu pencerede yenileme talebi reddedilir.

    ~5 gün
  5. Aşama 05

    Drop & release

    Tescile yeniden açılır. Drop-catching botları milisaniyeler içinde yakalar; değerli alan adları aftermarket'e düşer ve geri alımı pahalılaşır.

    saniyeler

.tr ailesinde döngü farklı işler: süresi biten alan adı için 60 günlük yenileme süresi tanınır, sonra silinir; bu süre içinde tescil sahibi e-Devlet üzerinden yenileme yapabilir. Yapısal olarak gTLD'lerdeki "redemption" ek ücreti yoktur ama operasyonel kesinti aynıdır.

Pratik · 01

Multi-year tescil

gTLD'lerde tek seferde 10 yıla kadar tescil mümkündür. Yenileme sayısı azalır, ele geçirilmiş bir hesabın iptal edebileceği işlem aralığı daralır, fiyat artışlarına karşı sabit kalırsınız. Kritik markalar için varsayılan bu olsun.

Pratik · 02

Yedek ödeme yöntemi

Auto-renew açık ama kart süresi dolmuş — en yaygın "kaybedilen alan adı" hikâyesi. Tescilciye en az iki geçerli ödeme yöntemi bağlayın; süresi dolan kartın bildirimini ayrı bir kanaldan da takip edin.

Pratik · 03

Bağımsız envanter & takvim

Tescilciden gelen tek hatırlatmaya güvenmeyin; varsa filtreye düşer, hesap kapatılırsa hiç gelmez. Tüm alan adlarınızı (tescilci, son tarih, sahip) ayrı bir tabloda tutun; 90/30/7 gün önce takvim uyarısı kurun.

06 — Olay müdahale

İlk 72 saat: olay müdahale runbook'u ve uyuşmazlık çözümü

Bir alan adı ele geçirildiğinde panik kararları kanıtı yok eder, doğru kararlar onu güvene alır. Resmi süreçler (UDRP, TDRP, TRABİS itiraz) günler-haftalar sürer; ancak başvurunuzun gücü, ilk birkaç saatte topladığınız kanıta dayanır. Bu yüzden olay müdahalesi bir "yazılım" değil, önceden yazılmış bir runbook olmalıdır — kim, neyi, hangi kanaldan yapacak.

Müdahale runbook'u — ilk 72 saat
  1. T + 0

    Kanıtı dondurun

    WHOIS/RDAP çıktısı, DNS sorgu sonuçları (dig +trace), tarayıcı ekran görüntüsü, e-posta başlıkları ve panel oturum geçmişi — hepsini zaman damgalı olarak saklayın. Birkaç saat içinde NS değişebilir ve geçmiş kayıt sağlayıcılar dışında yeniden üretilemez hâle gelir.

  2. T + 15dk

    Tescilcinin acil hattını arayın

    Çoğu tescilcinin "abuse" / "compromise" özel kanalı vardır; destek bileti açmak yerine telefonla erişin. Talep edin: hesapta tüm değişiklik akışlarının dondurulması (transfer, NS, sahip bilgisi). ICANN'in sorumluluk politikası gereği tescilci bu talebi belgelemekle yükümlüdür.

  3. T + 1sa

    Hesabı geri alabildiyseniz hemen sertleştirin

    Parolayı sıfırlayın, tüm 2FA cihazlarını söküp donanım anahtarı ile yeniden bağlayın, eski API anahtarlarını iptal edin, oturumları zorla kapatın. Sahiplik e-postasını ayrı bir adrese taşıyın; serverUpdateProhibited talebi için tescilciyle açık iletişimde kalın.

  4. T + 4sa

    İletişimi yeniden ayağa kaldırın

    Kurumsal e-postanız aynı alanda barınıyorsa yedek alan ya da Microsoft 365/Google Workspace'in yedek MX'i üzerinden kritik iletişimi sürdürün. Müşteri/iş ortağı bildirimini önceden hazırlanmış bir şablonla tek elden yapın — söylenti yönetimi olayın ikinci dalgasıdır.

  5. T + 24sa

    Tescil otoritesine ve gerekirse ICANN'e başvurun

    Tescilci işbirliği yetersizse Registry Operator'a (örn. Verisign — .com/.net) ve ICANN Compliance'a doğrudan başvuru yapın. .tr için TRABİS'in itiraz mekanizmasını işletin; e-Devlet ile sahiplik geçmişinizi ibraz edin. Bu adım, resmi süreçlerin başlangıç tarihini belgeler.

  6. T + 72sa

    Resmi süreci başlatın

    Hukuki danışmanla birlikte uygun mekanizmayı seçin: yetkisiz transfer için TDRP, kötü niyetli tescil için UDRP, .tr için TRABİS uyuşmazlık çözümü. Topladığınız kanıt (zaman damgalı WHOIS, geçmiş arşivi, marka tescil belgeleri) başvurunuzun omurgasıdır.

Resmi uyuşmazlık mekanizmaları
UDRP ~60 gün

Uniform Domain-Name Dispute-Resolution

Kötü niyetli tescil (cybersquatting) için ICANN'in standart süreci. WIPO ve NAF gibi tahkim merkezleri yürütür; üç koşul kanıtlanır — alan adının markaya benzerliği, kötü niyet ve haklı menfaat eksikliği.

TDRP ~30 gün

Transfer Dispute Resolution

Yetkisiz veya hatalı transfer için ICANN sürecidir. UDRP'den farkı: marka değil, transfer geçerliliği sorgulanır. Hijack vakalarının doğal yoludur ve sonuç UDRP'ye göre daha hızlı gelir.

TRABİS UÇHS

.tr uyuşmazlık çözümü

Uyuşmazlık Çözüm Hizmet Sağlayıcısı (UÇHS) mekanizmasıyla .tr ailesindeki ihtilaflar çözülür. Türk hukuku çerçevesinde işlediği için marka tescil belgeleri ve ticaret sicil kayıtları doğrudan delil olarak kullanılır.

Hatırlatma

Tüm bu süreçler kanıta dayanır. whois.history sağlayıcıları (DomainTools, SecurityTrails) önceki sahiplik ve NS kayıtlarını tutar — bunlar olay başvurusunda kritik delildir. Kayıtları aylık olarak da kendi tarafınızda dondurun.

07 — Sık karıştırılanlar

Sık karıştırılan domain güvenliği kavramları

Registrar Lock vs. Registry Lock

Registrar Lock, tescilcinin panelinden açılıp kapatılan client*Prohibited kilitleridir; ücretsiz ama hesabınız ele geçirilirse aynı tıkla kalkar. Registry Lock tescil otoritesinin uyguladığı server*Prohibited kilitleridir; kaldırmak için panel dışı manuel onay ister. Asıl koruma ikincisindedir.

WHOIS Privacy vs. Domain Güvenliği

WHOIS Privacy sahip bilgilerini kamuya kapatır — kişisel veriyi gizler, ele geçirmeyi zorlaştırmaz. Domain güvenliği ise kilitler, 2FA ve DNSSEC ile sahipliği fiilen korur. Privacy bir gizlilik aracı, güvenlik bir savunma katmanıdır; biri diğerinin yerini tutmaz.

DNSSEC vs. SSL / TLS

DNSSEC DNS yanıtlarının imzalanmasıdır; "size dönen NS / A kaydı sahte mi?" sorusunu yanıtlar. SSL/TLS ise sunucuyla aranızdaki bağlantıyı şifreler; "karşı uçtaki sunucu doğru sunucu mu?" sorusunu yanıtlar. İkisi farklı katmanları korur; biri diğerini gereksiz kılmaz. TLS sayfasında derinleşin.

Süre uzatma vs. Sahiplik transferi

Süre uzatma (renew) aynı tescilcide alan adının tescil süresini ileriye taşır; sahipliği değiştirmez. Transfer ise alan adını başka bir tescilciye taşır ve genelde 1 yıl ek tescil de eklenir. Kilitlenmiş bir alanın süresi uzatılabilir ama transfer için kilidin kaldırılması gerekir.

Auth-code vs. Hesap şifresi

Auth-code (EPP kodu) bir alan adına özgüdür ve yalnızca transferde kullanılır; her transferden sonra döndürülmesi (rotate) gerekir. Hesap şifresi ise panele genel erişim verir. Auth-code sızdığında tek bir alan adı risktedir; hesap şifresi sızdığında portföyün tamamı.

Birinci el kaynaklar

EPP status kodları, kilit hizmetleri, uyuşmazlık çözüm politikaları ve CAA standardı için resmi kaynaklar.

Sıradaki adım

Alan adı portföyünüze birlikte bakalım.

Kilit durumunuzu, hesap güvenliğinizi, DNSSEC ve yenileme takviminizi gözden geçirelim — yıllarca emek verdiğiniz markanın altındaki temeli birlikte sağlamlaştıralım.