DNS Terminolojileri, Bileşenleri ve Kavramlarına Genel Bakış

DNS (Alan Adı Sistemi), interneti yönlendiren en önemli bileşenlerden biridir. DNS’in nasıl çalıştığını doğru bir şekilde anlamak, web sitesi yapılandırmasıyla ilgili sorunları teşhis etmeye yardımcı olabilir ve perde arkasında neler olup bittiğine dair anlayışınızı genişletebilir.

Bu kılavuzda, DNS yapılandırmanızla çalışırken size sağlam bir temel sağlamak için DNS’in bazı temel kavramlarından bahsedeceğiz. Bu kılavuz ayrıca kendi alan adınızı veya DNS sunucunuzu kurmanıza da yardımcı olacaktır.

Hadi başlayalım!

Alan Adı Terminolojileri

İlk olarak, kullanacağımız terimler hakkında bir anlayış geliştirmemiz gerekiyor. Bunlardan bazılarına diğer bağlamlardan zaten aşina olabilirsiniz. Ancak, alan adları ve DNS hakkında konuşurken, bilgisayar biliminin diğer alanlarında pek tartışılmayan birçok özel terim vardır.

• Alan Adı Sistemi

Alan adı sistemi (kısaca DNS), insan dostu alan adlarını benzersiz IP adreslerine çeviren mevcut bir ağ sistemidir.

• Alan Adı

Bir alan adı, bir internet kaynağıyla ilişkilendirmek için kullanılan insan dostu adı ifade eder. Örneğin, “cloudsigma.com” bir alan adıdır. Bazıları yalnızca “cloudsigma” kısmının alan adı olduğunu savunabilir, ancak genellikle tamamını ifade eder.

“cloudsigma.com” URL’si, CloudSigma’ya ait sunucularla ilişkilendirilir. URL web tarayıcısına girildiğinde, hedef sunucunun IP adresine bağlanmak için DNS ile iletişim kurar.

• IP Adresi

Bir IP adresi, ağa bağlı bir cihaz için ağ adresi görevi görür. Her IP adresi ağ içinde benzersiz olmalıdır. Web siteleri bağlamında ağ, çoğu zaman tüm internettir.

İki tür IP adresi vardır:

• • IPv4: Bu, en yaygın IP adresi biçimidir. Her biri en fazla 3 basamaklı olan dörtlü bir sayı kümesi olarak yazılır. Her küme bir nokta ile ayrılır. IPv4 aralığı 0.0.0.0 ila 255.255.255.255.

  • IPv6: IPv4 adresi tükenmesi sorununu çözmek için geliştirilmiş daha modern bir standarttır. IPv4, 232 adede kadar benzersiz adresi desteklerken, IPv6, 2128 adede kadar adresi destekler. Herhangi bir IPv6 adresi onaltılık basamaklarla yazılır. Her bölüm iki nokta üst üste (:) ile ayrılmış, 8 bölüme ayrılmış (her bölümde 4 basamak) en fazla 32 basamak içerebilir.

Üst Düzey Alan Adı

Üst düzey alan adı (kısaca TLD), alan adının en genel kısmıdır. En sağdaki kısmı (noktayla ayrılmış) ifade eder. Yaygın üst düzey alan adlarından bazıları şunlardır:

• “com”

• “net”

• “org”

• “edu”

• “io”

• “gov”

Alan adları açısından bu alan adları hiyerarşinin en üstünde yer alır. ICANN (Internet Corporation for Assigned Names and Numbers), belirli tarafların üst düzey alan adları üzerindeki kontrolü için izin verebilir. Bu taraflar, izinle TLD altındaki alan adlarını (genellikle bir alan adı kayıt kuruluşu aracılığıyla) dağıtabilir.

• Hostlar

Alan adında, sahibi bir alan adı aracılığıyla erişilebilen ayrı makineleri/hizmetleri ifade eden bireysel hostlar belirleyebilir. Örneğin, web sunucularını yalın alan adı ( example.com) ve “host” tanımı “www  ( www.example.com).

Genel alan adı altında ek hostlara sahip olmak mümkündür, örneğin “api” hostu üzerinden API erişimi ( api.example.com), “ftp” veya “files” hostu üzerinden FTP erişimi ( ftp.example.com veya files.example.com).

Alan adı içinde benzersiz oldukları sürece alan adlarının keyfi olmasına izin verildiğini unutmayın.

• Alt Alan Adı

Alt alan adı, hostlarla ilgili bir konudur. DNS bir hiyerarşi içinde çalışır. Bir TLD’nin altında birçok alan adı olabilir. Örneğin, “ example.com”, “ cloudsigma.com”, vb. hepsi “com” TLD’si altındadır. Bu bağlamda, bir alt alan adı (sub-domain), hedef alan adının bir parçası olan herhangi bir alan adına yapılan bir atıftır. Dolayısıyla, “example.com” adresinin “com” alan adının bir alt alan adı olduğunu söyleyebiliriz. Genellikle, “example” kısmı bir SLD (ikinci düzey alan adı) olarak adlandırılır.

Benzer şekilde, bir alan adı kendi altında bulunan tüm “alt alan adlarını” kontrol edebilir. Genellikle “alt alan adı” ifadesi bu durumu belirtmek için kullanılır. Örneğin, “ history.example.com”, şu alan adının bir alt alan adıdır: “ example.com”.

Bir ana bilgisayar adı (hostname) ile alt alan adı (subdomain) arasındaki temel fark, bir ana bilgisayarın bir bilgisayarı/kaynağı tanımlaması, alt alan adının ise üst alan adını genişletmesidir. Alt alan adlarından veya ana bilgisayarlardan bahsettiğimizde, en spesifik kısım olduğu için alan adının en sol kısmına bakarak bundan emin olabilirsiniz. DNS bu şekilde çalışır: en spesifik olandan (en sol taraf) en az spesifik olana (en sağ taraf) doğru.

• Tam Nitelikli Alan Adı

Tam nitelikli bir alan adı (kısaca FQDN), mutlak bir alan adını ifade eder. DNS sisteminde alan adları birbirine göreceli olarak verilebilir. Bu durum bazı belirsizliklere yol açabilir. Ancak bir FQDN, alan adı sisteminin mutlak köküne atıfta bulunan mutlak bir addır.

Bu, FQDN’in TLD dahil her bir üst alan adını belirttiği anlamına gelir. Uygun bir örnek “ mail.google.com” olacaktır. Belirli durumlarda, FQDN bir noktayla bitmeyebilir ancak sonunda bir nokta bulunmalıdır (ICANN standartları gereğince).

• Ad Sunucusu

Bir ad sunucusu, alan adlarını IP adreslerine çevirmek için ayrılmış özel bir bilgisayardır. Ad sunucuları, DNS sistemindeki yükün çoğunu üstlenir. Toplam alan adı çeviri talebi sayısı tek bir sunucunun başa çıkamayacağı kadar fazla olduğundan, üzerlerindeki baskıyı hafifletmek için talepler genellikle diğer ad sunucularına yönlendirilir.

Bir ad sunucusu “yetkili” olabilir; bu, yalnızca kendi kontrolü altındaki alan adlarıyla ilgili sorgulara yanıt verdiği anlamına gelir. Bu tür sunucular, talebi diğer ad sunucularına iletebilir veya diğer ad sunucularının verilerinin önbelleğe alınmış bir kopyasını sunabilir.

• Bölge Dosyası

Bir bölge dosyası, alan adları ile IP adresleri arasındaki eşlemeleri içeren bir metin dosyasıdır. DNS sisteminin veri tabanı olarak hizmet verir. Bu, DNS’in belirli bir alan adı için kullanıcı talebini tamamlarken hangi IP adresiyle iletişime geçeceğini bulmak için kullandığı katalogdur.

Genellikle ad sunucuları bölge dosyalarını barındırır ve tek bir alan adı altında kullanılabilir olan kaynakları tanımlar. Ayrıca bu bilgiyi almak için nereye gidileceği hakkındaki bilgileri de barındırabilir.

• Kayıtlar

Bir bölge dosyası çok sayıda kayıttan oluşur. Burada bir kayıt, bir kaynak ile bir ad arasındaki tek bir eşleme olarak tanımlanır. Kayıtlar; bir IP adresine eşlenen bir alan adı, belirli bir alan adı altında kullanılabilir olan kaynaklar veya bu bilgiyi almak için gidilecek yerlere yapılan atıflar olabilir.

DNS İş Başında

Şimdiye kadar, DNS ile ilgili bazı yaygın terimlere aşina olduk. Ancak sistem gerçekte nasıl çalışıyor? Sistem, üst düzey bir bakış açısıyla çok basit görünebilir. Yine de detaylara inmek, sistemin gerçek karmaşıklığını ortaya çıkaracaktır. Genel olarak DNS sistemi, internetin yaygınlaşması için büyük önem taşımaktadır.

• Kök Sunucular

DNS, özünde bir hiyerarşi içinde çalışır. Sistemin en tepesinde “kök sunucular” yer alır. Bu sunucular çeşitli kuruluşların kontrolü altındadır. Bu sunucuların yetkisi ICANN (İnternet Tahsisli Sayılar ve İsimler Kurumu) tarafından devredilmiştir.

Şu an itibarıyla faaliyette olan yaklaşık 13 kök sunucu bulunmaktadır. Ancak yük nedeniyle bu sunucuların her biri yansıtılmıştır (mirror). Tüm yansı sunucuların kök sunucuyla aynı IP adresini paylaştığını belirtmek önemlidir. Kök sunucuya herhangi bir talep yapıldığında, talep o sunucunun en yakın yansısına yönlendirilir.

Kök sunucuların görevleri nelerdir? Üst düzey alan adları hakkında bilgi sunarlar. Düşük düzeyli bir ad sunucusu bir talebi çözümleyemediğinde, talep alan adının kök sunucusuna yönlendirilir.

Ancak, kök sunucu aslında alan adının konumunu bilmez. Sadece, özellikle talep edilen üst düzey alan adını işleyecek olan isteği yönlendirir. Örneğin, “ blog.cloudsigma.com”, kök sunucunun kayıtlarında bu bilgi bulunmayacaktır. Bölge dosyalarını arayacaktır ancak bunun için herhangi bir kayıt olmayacaktır. Bunun yerine, “com” TLD'sini tanıyacak ve istekte bulunan birimi “com” adreslerini işleyen ad sunucusuna yönlendirecektir.

• TLD Sunucuları

Önceki örneğimizden devam edersek, istekte bulunan birim artık isteği (kök sunucu tarafından sağlanan) IP adresine gönderecektir. “ blog.cloudsigma.com” durumunda, “com” ad sunucusu bölge dosyalarındaki kayıtlarını arayacaktır.

İsteğe karşılık gelen bir kayıt olmayacaktır. Ancak, şu adresten sorumlu ad sunucusunun IP adresini listeleyen bir kayıt bulacaktır: “ cloudsigma.com”.

• Alan Adı Düzeyinde Ad Sunucusu

Artık, istekte bulunan birim, şu adres hakkındaki bilgileri gerçekten barındıran ad sunucusunun IP adresine sahiptir: “ blog.cloudsigma.com”. Şimdi sunucuya “www.cloudsigma.com” adresini çözümlemesini isteyen yeni bir istek gönderecektir.

Daha önce olduğu gibi, ad sunucusu bölge dosyalarını kontrol edecek ve şu adresle ilişkili olanı bulacaktır: “ cloudsigma.com”. Bu dosyanın içinde “www” ana bilgisayarı için bir giriş bulunacaktır. Bu kayıt, ana bilgisayarın nerede bulunduğunu tanımlar. Nihai yanıt daha sonra istekte bulunan birime iletilir.

• Çözümleyici Ad Sunucusu

Örnekte, istekte bulunan bir birimden bahsetmiştik. Bu nedir? Çoğu durumda, istekte bulunan bir “çözümleyici ad sunucusu” olacaktır. Diğer sunuculara soru sormak üzere yapılandırılmış bir sunucudur. Kullanıcılar için bir aracı sunucu görevi görür. Hızı artırmak için sonuçları önbelleğe alır.

Herhangi bir kullanıcının sisteminde genellikle yapılandırılmış birkaç çözümleyici ad sunucusu bulunur. Genellikle çözümleyici ad sunucuları ISP veya diğer kuruluşlar tarafından sunulur. Örneğin, Google, sorgulama yapmak için genel çözümleyici DNS sunucuları sunar. Bunu sisteminize manuel olarak yapılandırabilirsiniz.

Web tarayıcısına bir URL girildiğinde, kaynağın konumunu arar. İlk olarak, arama yerel olarak gerçekleştirilir. Buna “hosts” dosyası (ve diğer bazı konumlar) dahildir. Bulunamazsa, istek çözümleyici ad sunucusuna gönderilir. İsteği aldıktan sonra, çözümleyici ad sunucusu yanıt için önbelleğini arar. Bulunamazsa, daha önce belirtilen adımlardan geçer.

Çözümleyici ad sunucuları, son kullanıcı için istek sürecini basitleştirir. İstemcinin yalnızca bir kaynağın konumunu çözümleyici ad sunucularına sorması gerekir. Ad sunucusu araştıracak ve nihai yanıtı döndürecektir.

• Bölge Dosyaları

“Bölge dosyaları” ve “kayıtlar” kavramlarını zaten tartışmıştık. Peki, nasıl çalışırlar?

Bölge dosyaları, ad sunucuları için bir veritabanı görevi görerek bildikleri alan adları hakkındaki bilgileri depolar. Bir ad sunucusunun bildiği tüm alan adları kendi bölge dosyasında saklanacaktır. Ancak, bir ad sunucusuna gelen isteklerin çoğu bölge dosyası tarafından çözümlenmez. Sunucu yapılandırması özyinelemeli sorguları işlemek üzereyse (örneğin çözümleyici ad sunucuları), yanıtı döndürecektir. Aksi takdirde, istekte bulunan tarafı bir sonraki aramayı yapacağı farklı bir yere yönlendirecektir.

Bir ad sunucusu ne kadar çok bölge dosyası barındırırsa, yanıtları o kadar yetkili olacaktır. Bölge dosyaları bir DNS “bölgesini” (tüm DNS adlandırma sisteminin bir alt kümesi) tanımlar. Genellikle, bir bölge dosyası yalnızca tek bir alan adının yapılandırma verilerini içerir. Söz konusu alan adının kaynaklarının konumunu tanımlayan çok sayıda kayda sahip olabilir.

Bir bölgenin $ORIGIN parametresi, o bölgenin en yüksek yetki düzeyine eşittir. Örneğin, “ cloudsigma.com” için $ORIGIN değeri şu şekildedir: “ cloudsigma.com”. Parametrenin değeri, bölge dosyasının başında veya DNS sunucusunun yapılandırmasında saklanabilir. Her iki durumda da parametre, dosyanın hangi bölge için yetkili olduğunu açıklar.

The $TTL parametresi, sağladığı sonucun “yaşam süresi” (time to live) bilgisini ayarlar. Bir önbellekleme sunucusunun, önbelleğe alınan yanıtların geçerliliğini takip etmek için kullanabileceği bir zamanlayıcı olarak tanımlanabilir. TTL değerinin süresi dolarsa, yanıt artık geçerli sayılmaz ve atılır.

• Kayıt Türleri

Bölge dosyaları çok sayıda kayıttan oluşur. Şimdi, farklı kayıt türleri vardır. Sırada, en yaygın (ve zorunlu) kayıt türlerinden bazılarının üzerinden geçeceğiz:

SOA Kayıtları

Yetki Başlangıcı (kısaca SOA) kaydı tüm bölge dosyalarında zorunludur. Dosyadaki ilk gerçek kayıt olmalıdır. Ancak, $ORIGIN veya $TTL gibi girdilerin daha önce görünmesine izin verilir.

SOA kaydı, daha karmaşık kayıt türlerinden biridir. Yapısı şuna benzer:

Bunu parçalarına ayıralım:

• • example.com: Bu kısım bölgenin kökünü tanımlar. Bu örnekte, bölge dosyası “ example.com” alan adı içindir. Bazen bu değer, @ (bir yer tutucu, şu değerin yerine geçmesi için: $ORIGIN).

  • IN SOA: “IN” terimi “internet” anlamına gelir. Bunu birçok kayıtta bulabilirsiniz. “SOA” terimi ise bunun bir SOA kaydı olduğunu belirtir.

  • ns1.example.com: Bu değer, “ example.com” alan adı için birincil ad sunucusunu tutar. Ad sunucuları birincil veya ikincil olabilir. Dinamik DNS ile yapılandırılmışsa, bir adet “birincil” sunucu olması gerekir. Dinamik DNS yapılandırılmamışsa, birincil ad sunucularından biri olacaktır.

  • admin.example.com: Bölge yöneticisinin e-posta adresi buraya gelir. Buradaki @ işaretinin şununla değiştirildiğini unutmayın: . burada. Orijinal e-posta adresi bir nokta içeriyorsa, bu nokta bir ile değiştirilir.\. Örneğin, “ my.domain@example.com” adresi şuna dönüşür: “ my\domain.example.com”.

  • 12083: Bölge dosyasının seri numarasıdır. Bölge dosyası her düzenlendiğinde, dosyanın düzgün bir şekilde yayılması için bu numaranın güncellenmesi gerekir. İkincil sunucular, kendi bölge dosyalarının güncel olup olmadığını takip etmek için bu seri numarasını kullanır.

  • 3h: Bölgenin yenileme aralığını temsil eder. İkincil sunucular, bölge dosyası güncellemelerini kontrol etmeden önce bu süre kadar bekler.

  • 30m: Bu değer, bölgenin yeniden deneme aralığını temsil eder. Bir ikincil sunucu, yenileme süresi dolduğunda birincil sunucuya bağlanamazsa, birincil sunucuyu tekrar sorgulamadan önce bu süre kadar bekler.

  • 3w: Bu değer, son kullanma süresini temsil eder. Bir ikincil sunucu bu süre boyunca birincil sunucuya bağlanamazsa, yanıtları “yetkili” olarak döndürmeyi durdurur.

  • 1h: Bu değer, ad sunucusunun kendi bölge dosyasında bulunmayan bir ad hatasını ne kadar süreyle önbelleğe alacağını temsil eder.

A ve AAAA Kayıtları

Bu kayıtlar, bir ana bilgisayar (host) ile bir IP adresi arasında eşleme kurar. Burada “A” kaydı ana bilgisayara yapılan IPv4 eşlemesini, AAAA ise IPv6 eşlemesini belirtir.

A ve AAAA kayıtlarının temel yapısı şöyledir:

SOA kaydı örneğinde, ad sunucusunu “ ns1.exampel.com” olarak adlandırmıştık. Ad sunucusu “ example.com” alan adı altındadır. A kaydı şu şekilde görünecektir:

Tam adı belirtmek zorunda kalmadığımıza dikkat edin. Yalnızca ana bilgisayar adı (FQDN olmadan) ile DNS sunucusu geri kalanını değerinden gelen değerle doldurabilir$ORIGIN. Ancak yine de FQDN'yi kullanabiliriz:

Web sunucusunu “www” olarak şu şekilde tanımlayabilirsiniz:

Temel alan adına eşlemeyi de dahil etmeliyiz. Giriş şu şekilde görünecektir:

Alternatif olarak, @ sembolünü temel alan adı belirtmek için (tam adı yerine) kullanabiliriz:

Açıkça tanımlanmamış olan bu alan adı altındaki her şeyi çözümleme seçeneğini etkinleştiren bir joker karakter (wildcard) girişi eklemek iyi bir uygulamadır:

Aynı yapı AAAA kayıtları için de geçerlidir. Tek fark IPv6 adresleridir.

CNAME Kayıtları

CNAME kayıtları, sunucunun kurallı adı (bir A veya AAAA kaydı tarafından tanımlanan) için bir takma ad (alias) görevi görür. Aşağıdaki örneğe bir göz atın:

Burada, “www” adını tanımlamak için bir takma ad olarak “server1” kullandık. Sunucunun nihai yanıtı almak için ek sorgular çalıştırması gerektiğinden, bu tür kısayolların performans maliyetleri getirdiğini unutmayın. Takma ad katmanlarının sayısına bağlı olarak, bu durum kolayca büyük bir performans maliyetine neden olabilir. Ancak, CNAME takma adından yararlanan belirli bir durum vardır; örneğin, mevcut bölgenin dışındaki bir kaynağı sağlamak.

MX Kayıtları

MX kayıtları, alan adı için posta sunucularını (mail exchange) tanımlar. E-postanın sunucuya doğru şekilde ulaşmasına yardımcı olur. Diğer kayıtların aksine, MX kayıtları tüm bölge için geçerli olduğundan bir ana bilgisayarı bir şeyle eşlemez. Bu nedenle MX kayıtları şuna benzer:

Girişin başında ana bilgisayar adı olmadığına dikkat edin. Satırda ek bir değer olduğunu da fark edeceksiniz. Bu, postanın hangi sunucuya gönderileceğine karar vermeye yardımcı olan öncelik numarasıdır (tanımlanmış birden fazla posta sunucusu varsa). Sayı ne kadar düşükse, öncelik o kadar yüksektir.

Bir MX kaydı, (CNAME tarafından değil) A veya AAAA kaydı tarafından tanımlanan bir ana bilgisayarı göstermelidir. Bunu akılda tutarak, yapılandırılmış iki posta sunucusu varsa, kayıtlar şu şekilde görünecektir:

Bu örnekte, öncelik numarasına bakılırsa, “mail1” sunucusu “mail2” sunucusuna tercih edilir. Tam alan adını atlayarak kodu daha da kısaltabiliriz:

NS Kayıtları

Bu kayıtlar, belirli bölge için ad sunucularını (nameserver) tanımlar. Şimdi akla gelen soru şu: Bölge dosyası ad sunucusunun içinde bulunuyorsa, neden kendisine bir referans gerektiriyor? Bu sorunun bir cevabı, DNS sisteminin çoklu önbelleğe alma mekanizmalarıdır. Bölge dosyası aslında diğer sunuculardaki önbelleğe alınmış bir kopya olabilir.

MX kayıtlarına benzer şekilde, NS kayıtları da tüm bölge için geçerlidir. Bu nedenle, varsayılan olarak belirli bir ana bilgisayarları yoktur. NS kaydı girişleri şuna benzer görünecektir:

Bir sunucunun düzgün çalışmaması durumunda iki ad sunucusunun tanımlanması önerilir. Dahası, çoğu DNS sunucusu, yalnızca tek bir ad sunucusu içeriyorsa bölge dosyasını reddedecektir.

Ana bilgisayarların A veya AAAA kayıtları ile eşlemesini de dahil etmeliyiz:

PTR Kayıtları

PTR kayıtları, klasik bir A veya AAAA kaydının tersidir. Bu kayıtlar, bir IP adresiyle ilişkili bir adı tanımlamak için kullanılır. Bu kayıtlar, benzersiz bir özelliğe sahiptir çünkü .arpa kökünde başlarlar ve IP adresinin sahibini temsil ederler. IP adreslerini kuruluşlara ve hizmet sağlayıcılara dağıtanlar RIR’lerdir (Bölgesel İnternet Kayıt Defterleri). RIR’ler arasında APNIC, AFRINIC, LACNIC, RIPE NCC ve ARIN yer alır.

Örneğin, için bir PTR kaydı111.222.333.444 şuna benzer görünecektir:

Bir sonraki PTR kaydı örneğinde, Google’ın IPv6 DNS sunucusuna göz atın 2001:4860:4860::8888:

Bir IP adresinin ters DNS adını aramak için dig aracını -x bayrağıyla kullanabiliriz. Örneğin, ters DNS IP adresine göz atın8.8.4.4:

İnternet sunucuları, günlük kayıtlarındaki alan adlarını takip etmek, bilinçli spam işleme kararları almak ve diğer cihazlar hakkında okunması kolay bilgiler görüntülemek için PTR kayıtlarını kullanır.

Sıklıkla kullanılan e-posta sunucuları, e-postanın gönderildiği IP adresinin PTR kaydını arayacaktır. PTR kaydı boşsa, e-postanın spam olma (ve dolayısıyla reddedilme) olasılığı yüksektir. FQDN ile PTR kaydının alan adı arasında bir eşleşme olmasının önemli olmadığını unutmayın. Önemli olan faktör, geçerli bir PTR kaydının eşleşen ve karşılık gelen ileri yönlü A kaydıyla ilişkili olup olmadığıdır.

Genellikle, internetteki ağ yönlendiricilerinin fiziksel konumlarına karşılık gelen PTR kayıtları vardır. Örneğin, “NYC” veya “CHI”, New York ve Chicago’da bulunan yönlendiriciler için geçerli referanslardır. Bu teknik, bir traceroute veya MTR gerçekleştirirken ve paketlerin izlediği yolu incelerken faydalıdır.

CAA Kayıtları

Bu kayıtlar, alan adınız için SSL/TLS sertifikası düzenleyebilecek CA’ları (Sertifika Yetkilileri) belirtir. 8 Eylül 2017’den beri, tüm CA’ların bir sertifika düzenlemeden önce CAA kayıtlarını kontrol etmesi gerekmektedir. Herhangi bir CAA kaydı yoksa, herhangi bir CA sertifika düzenleyebilir. Aksi takdirde, yalnızca belirli CA’ların sertifika düzenlemesine izin verilir. CAA kayıtları tek tek ana bilgisayarlara veya tüm bir alan adına uygulanabilir.

İşte bir CAA kaydı örneği:

Girdinin CAA’ya özgü kısmı 0 issue "letsencrypt.org" şeklindedir. Bu bölümde üç kısım yer alır:

• Bayraklar: Bir CA’nın anlamadığı etiketleri nasıl ele alması gerektiğini belirten tam sayı bir değerdir. Bayrak değeri 0 olarak ayarlanırsa, kayıt yoksayılacaktır. Değer 1 ise, CA sertifikayı düzenlemeyi reddetmelidir.
• Etiketler: Bunlar, bir CAA kaydının amacını belirten dizelerdir. Şu an itibarıyla geçerli değerler şunları içerir: issue (bir CA’ya belirli bir alan adı için sertifika düzenleme yetkisi verir), issuewild (joker karakter sertifikalarına yetki verir) ve iodef (CA’ların ilke ihlallerini bildirdiği bir URL tanımlar).
• Değerler: Bunlar, kaydın etiketiyle ilişkili dizelerdir. Etiket issue veya issuewild ise, değer genellikle izin verdiğiniz CA’nın alan adı olacaktır. Etiket iodef ise, bir iletişim formunun URL’si veya e-posta geri bildirimi için bir mailto: bağlantısı olacaktır.

CAA kayıtlarını getirmek için dig aracını kullanabiliriz:

CAA kayıtları hakkında daha ayrıntılı bilgi için RFC 6844.

Son Düşünceler

Bu kılavuz, DNS ile ilgili çeşitli terminolojileri açıklamaktadır. Ayrıca tüm bileşenlerin nasıl bir araya geldiğini de tarif etmektedir. Bu kapsamlı genel bakış sayesinde, DNS sisteminin işlevselliğini iyi bir şekilde kavramış olmalısınız. Genel fikir basit ve anlaşılması kolay olsa da, detaylar çok hızlı bir şekilde karmaşıklaşır. Deneyimsiz yöneticiler için bu kavramları ve stratejileri uygulamak zor olabilir.

Bir CloudSigma müşterisi misiniz? O halde şuna göz atın: CloudSigma altyapınız için ters DNS/PTR kayıtlarını yönetme ve güncelleme.

Keyifli Bilişimler!