DoH ve DoT: Şifreli DNS ile Gizlilik ve Güvenlik

Geleneksel DNS sorguları şifresiz gönderilir. ISP'ler, saldırganlar ve hükümetler DNS trafiğinizi görebilir. DoH ve DoT, DNS sorgularını şifreleyerek gizliliğinizi korur.

Geleneksel DNS Sorunları

Normal DNS (UDP port 53):
[Şifresiz] Tarayıcı → ISP DNS → Yetkili NS

Sorunlar:
✗ ISP hangi siteleri ziyaret ettiğinizi görür
✗ MITM saldırısı ile DNS sorgusu değiştirilebilir
✗ DNS sansürü (belirli sitelerin engellenmesi)
✗ Profil oluşturma (reklam şirketleri)

Çözüm:
DNS over HTTPS (DoH) - port 443
DNS over TLS (DoT) - port 853

DNS over TLS (DoT)

# Stubby ile DoT (Linux)
apt install stubby -y

# /etc/stubby/stubby.yml
resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 128
edns_client_subnet_private: 1

# DNS sunucular (DoT destekleyen)
upstream_recursive_servers:
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
    tls_port: 853
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"
    tls_port: 853
  - address_data: 8.8.8.8
    tls_auth_name: "dns.google"
    tls_port: 853
  - address_data: 9.9.9.9
    tls_auth_name: "dns.quad9.net"
    tls_port: 853

listen_addresses:
  - 127.0.0.1@53
  - 0::1@53

systemctl enable stubby
systemctl start stubby

# /etc/resolv.conf
nameserver 127.0.0.1

DNS over HTTPS (DoH)

# dnscrypt-proxy ile DoH (Linux)
wget https://github.com/DNSCrypt/dnscrypt-proxy/releases/latest/download/dnscrypt-proxy-linux_x86_64-latest.tar.gz
tar -xvf dnscrypt-proxy-*.tar.gz
cd linux-x86_64
./dnscrypt-proxy -service install
./dnscrypt-proxy -service start

# /etc/dnscrypt-proxy/dnscrypt-proxy.toml
server_names = ['cloudflare', 'google', 'quad9-dnscrypt-ip4-filter-pri']

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[blocked_names]
  blocked_names_file = 'blocked-names.txt'

[sources]
  [sources.'public-resolvers']
    urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v3/public-resolvers.md']
    cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
    minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
    refresh_delay = 72

Tarayıcılarda DoH

Firefox DoH:
Ayarlar → Gizlilik → DNS over HTTPS
Sağlayıcı: Cloudflare veya NextDNS

Chrome/Edge DoH:
Ayarlar → Gizlilik → Güvenlik → Güvenli DNS kullan
Özel: https://dns.cloudflare.com/dns-query

Android (9+):
Ayarlar → Ağ → Özel DNS
dns.google veya one.one.one.one

iOS/macOS:
Profil kurulumu (Apple MDM)
veya NextDNS uygulaması

Kendi DoH Sunucusu

# CoreDNS ile DoH sunucu
wget https://github.com/coredns/coredns/releases/latest/download/coredns_linux_amd64.tgz
tar -xvf coredns_*.tgz

# Corefile
https://.:443 {
    tls /etc/letsencrypt/live/dns.buyukweb.com/fullchain.pem         /etc/letsencrypt/live/dns.buyukweb.com/privkey.pem
    forward . 1.1.1.1 1.0.0.1
    cache 30
    errors
    log
}

./coredns -conf Corefile

# DoH URL: https://dns.buyukweb.com/dns-query

# Test
curl -H 'accept: application/dns-json'   'https://dns.buyukweb.com/dns-query?name=buyukweb.com&type=A'

Gizlilik Sağlayıcılar

DoH Sağlayıcılar:
Cloudflare:   https://1.1.1.1/dns-query (Log yok)
Google:       https://dns.google/dns-query
Quad9:        https://dns.quad9.net/dns-query (Malware bloklama)
AdGuard:      https://dns.adguard.com/dns-query (Reklam filtresi)
NextDNS:      https://dns.nextdns.io (Özelleştirilebilir)

DoT Sağlayıcılar:
Cloudflare:   cloudflare-dns.com:853
Google:       dns.google:853
Quad9:        dns.quad9.net:853

NextDNS (Önerilen):
- Özelleştirilebilir whitelist/blacklist
- Reklam engelleme
- Analytics
- 300.000 sorgu/ay ücretsiz

Sonuç

DoH ve DoT, DNS gizliliğini ve güvenliğini dramatik biçimde artırır. Cloudflare 1.1.1.1 veya NextDNS gibi gizlilik odaklı sağlayıcılar ile ISP gözetimini önleyebilirsiniz. Kurumsal ağlarda stubby veya CoreDNS ile merkezi şifreli DNS çözümü uygulayabilirsiniz.

DNS Guvenlik Tehditleri ve Koruma Yontemleri

DoH ve DoT protokollerinin yani sira DNS guvenliginde farkinda olunmasi gereken ciddi tehditler vardir. DNS spoofing saldirilarinda sahte DNS yanitlari ile kullanicilar zararli sitelere yonlendirilir; DNSSEC bu tehdide karsi dijital imza ile dogrulama saglar. DNS tunelleme saldirisi DNS sorgulari uzerinden veri sizintisi gerceklestirmek icin kullanilir ve geleneksel guvenlik duvarlari tarafindan tespit edilmesi zordur. DNS amplification saldirisi DDoS amacli olarak acik DNS sunuculari uzerinden buyutulmus trafik olusturur. Koruma icin DNS sunucunuzu recursive sorgulara kapatmak ve rate limiting uygulamak etkili yontemlerdir. Pi-hole veya AdGuard Home gibi cozumler ag seviyesinde DNS filtreleme ve reklam engelleme saglar. Response Policy Zone (RPZ) ile kurumsal ag icinde belirli domainleri engelleyebilirsiniz. DNS izleme ve loglama ile anormal sorgu kaliplarini tespit etmek proaktif guvenlik saglar. Buyukweb.com sunuculari DDoS korumali altyapida barindirildigi icin DNS tabanli saldirilarindan da etkilenmez.

---

Domain ve DNS Yonetimi

Domain Secimi

Kisa, akilda kalici domain secin. .com en guclu. .com.tr yerel SEO avantaji. Benzer domainleri de alin.

DNS Kayit Tipleri

A: IPv4 yonlendirme. AAAA: IPv6. CNAME: Alias. MX: E-posta sunucusu. TXT: SPF/DKIM/DMARC. NS: Yetkili DNS. SRV: Servis kesfetme. CAA: SSL kisitlama.

DNSSEC

DNS spoofing koruması. Dijital imza ile orijinallik dogrulama.

DNS Gecisi

TTL dusurme, kayitlari guncelleme, 24-48 saat propagasyon. Her iki sunucu gecis sirasinda aktif.

Subdomain

blog., shop., api. ile hizmetleri ayirin. Wildcard DNS ile toplu yonlendirme.

Domain Guvenligi

Transfer kilidi aktif tutun. Whois gizliligi kullanin. Kayit yenilemeyi otomatiklestirin.

Sik Sorulan Sorular

Transfer nasil yapilir?

EPP kodu alin, kilidi acin, transfer baslatin, onaylayin. 5-7 gun surer.

Whois gizliligi neden onemli?

Kisisel bilgilerinizi spam ve dolandiriciliga karsi korur.

Sonuc

Domain ve DNS dijital varliginizin temelidir. Dogru yapilandirma ile tum hizmetleriniz sorunsuz calisir.

DNS Propagasyon Sureci

TTL Nasil Calisir?

Her DNS kaydi bir TTL degerine sahiptir. TTL 86400 ise degisiklik 24 saate kadar eski degerle gosterilir.

Hizli Propagasyon

1. 24-48 saat once TTL'i 300'e dusurrun
2. Degisikligi yapin
3. Propagasyon sonrasi TTL'i normale cekin

Kontrol

whatsmydns.net ile propagasyon durumunu kontrol edin.

Domain Uzanti Rehberi

Uzanti	Kullanim	Avantaj
.com	Global	En guvenilir
.com.tr	Turkiye	Yerel SEO
.net	Teknoloji	Alternatif
.org	Kuruluslar	Non-profit
.io	Startup	Modern
.dev	Gelistirici	HTTPS zorunlu
.store	E-ticaret	Magaza icin

Ucretsiz DNS Saglayicilari

• Cloudflare DNS: Hizli, guvenli, ucretsiz CDN
• Google Cloud DNS: Guvenilir
• Hurricane Electric: IPv6 destegi mukemmel

Turkiye'de Hosting Sektoru 2025-2026

Sektorel Trendler

Turkiye hosting pazari hizla buyumektedir. E-ticaretin genislemesi, dijitallesme calismalarI ve uzaktan calisma trendi hosting talebini artirmaktadir. NVMe SSD, HTTP/3 ve edge computing gibi teknolojiler hosting performansini yeni seviyelere tasimaktadir.

Dikkat Edilmesi Gerekenler

Hosting sektoru rekabetci bir pazardir. Dusuk fiyat vaat eden ancak altyapı kalitesinden odun veren firmalardan kacinin. Gizli maliyet, yenileme fiyat artisi ve yetersiz destek en sik karsilasilan sorunlardir.

Hosting Firmasi Secim Kriterleri

1. Veri merkezi lokasyonu: Turkiye'de veri merkezi olan firmalari tercih edin
2. Uptime garantisi: Minimum %99.5, ideal %99.8+
3. Teknik destek: 7/24 Turkce destek zorunlu
4. Guvenlik: DDoS korumasi, SSL, WAF dahil olmali
5. Yedekleme: Gunluk otomatik yedekleme olmali
6. Olceklenebilirlik: Ihtiyac artiginda kolayca yukseltme yapilabilmeli
7. Musteri yorumlari: Gercek kullanici deneyimlerini arastirin

Buyukweb 2009'dan beri bu kriterlerin tumunu karsilayarak 5.200+ musteriye guvenilir hosting hizmeti sunmaktadir. Sorulariniz icin 0850 302 60 70 numarasini arayabilir veya destek@buyukweb.com adresine yazabilirsiniz.

Sik Yapilan Hosting Hatalari

Hosting secimi ve yonetiminde en sik karsilasilan hatalar:

1. Sadece Fiyata Bakmak

En ucuz hosting her zaman en iyi secim degildir. Performans, guvenlik ve destek kalitesi fiyattan daha onemlidir. Dusuk maliyetli hostinglerde yenileme fiyatlari genellikle cok daha yuksektir.

2. Yedekleme Almamak

Otomatik yedekleme olsa bile, onemli degisikliklerden once manuel yedek almak hayati onem tasir. Yedeklerin geri yuklenebilirligini test etmeyen sirketler veri kaybi yasadiginda ciddi sorunlarla karsilasir.

3. Guncellemeleri Ertelemek

WordPress, eklentiler ve isletim sistemi guncellemelerini ertelemek guvenlik aciklarına davetiye cikarir. Otomatik guvenlik guncellemeleri yapilandirmak en temel onlemdir.

4. SSL Kullanmamak

Hala SSL sertifikasi olmayan web siteleri mevcut. SSL olmadan Google siralama duser, ziyaretci guveni azalir ve veri guvenligi tehlikeye girer. Ucretsiz Let's Encrypt sertifikasi bile yeterlidir.

5. Kaynak Planlamasi Yapmamak

Trafik artisina hazirliksiz yakalanmak, sitenizin cokmesine neden olabilir. Trafik trendlerini izleyin ve ihtiyac halinde kaynakları zamaninda artirin.

Baslangic Rehberi: Ilk Adimlar

Bu konuda yeniyseniz, asagidaki adimlarla baslayabilirsiniz:

Adim 1: Ihtiyac Analizi

Projenizin gereksinimlerini belirleyin. Trafik beklentisi, disk alani ihtiyaci, veritabani boyutu ve ozel yazilim gereksinimleri listenizin basinda olmalidir.

Adim 2: Uygun Hizmet Secimi

Ihtiyaciniza gore paylasimli hosting, VDS veya dedicated sunucu secin. Buyukweb.com uzerinden paketleri karsilastirabilirsiniz.

Adim 3: Kurulum ve Yapilandirma

Hosting paketinizi aldiktan sonra domain yonlendirmesi, SSL kurulumu ve uygulama kurulumunu yapin. cPanel ve Plesk ile bu islemler oldukca kolaydir.

Adim 4: Guvenlik Onlemleri

SSL sertifikasi, guclu sifre politikasi, duzenli yedekleme ve guvenlik guncellemelerini ilk gunden uygulayin.

Adim 5: Izleme ve Bakım

Duzenli yedekleme kontrolu, performans izleme ve guvenlik taramasi ile sunucunuzun sagligini koruyun.

Bu adimlarda herhangi bir noktada takilirtsaniz Buyukweb teknik destek ekibi size yardimci olacaktir. Ucretsiz danismanlik icin bize ulasin.