Giriş
DNS over HTTPS (DoH), DNS sorgularını standart HTTPS bağlantılarında şifreleyen modern bir protokoldür. Bu protokol, kullanıcı gizliliğini artırarak DNS sorgularının üçüncü taraflarca izlenmesini engeller. Windows Server 2025 DNS Sunucusu, Haziran 2026 tarihli toplu güncellemeyle birlikte DoH desteğini yerel altyapılarda üçüncü parti çözümler gerektirmeden kullanılabilir hale getirdi. Bu makalede, DoH protokolünün temel özellikleri, geleneksel DNS'den farkları, kurulum gereksinimleri ve mevcut sınırlamalar detaylı olarak açıklanacaktır.
DoH Nedir ve Geleneksel DNS'den Farkı Nedir?
Standart DNS'in Güvenlik Açıkları
Geleneksel DNS (Domain Name System), metin tabanlı bir protokoldür ve sorgular açık metin olarak iletilir. Bu durum, aşağıdaki riskleri beraberinde getirir:
- Gizlilik ihlali: DNS sorguları, ağ trafiğini izleyen üçüncü taraflarca (ISP'ler, saldırganlar) kolayca okunabilir.
- Veri manipülasyonu: DNS yanıtları değiştirilerek kullanıcılar sahte web sitelerine yönlendirilebilir (DNS spoofing).
- Hız ve performans: DNS sorgularının yanıt süresi, ağ trafiğine bağlı olarak değişkenlik gösterebilir.
DoH'un Avantajları
DoH, DNS sorgularını standart HTTPS (genellikle TCP port 443) üzerinden şifreleyerek yukarıdaki riskleri ortadan kaldırır. Temel avantajları şunlardır:
- Gizlilik koruması: Tüm DNS sorguları TLS 1.2/1.3 kullanılarak şifrelenir, böylece üçüncü taraflarca okunamaz.
- Veri bütünlüğü: DNS yanıtları doğrulanabilir ve değiştirilemez, saldırganlar tarafından manipüle edilemez.
- Standart protokol desteği: DoH, yaygın olarak kullanılan HTTPS protokolü üzerinde çalışır, bu nedenle güvenlik duvarları ve proxy'ler tarafından engellenmez.
- Performans: DoH, HTTPS trafiğinin optimize edilmesiyle birlikte daha hızlı yanıt süreleri sunabilir.
DoH ve Diğer Modern DNS Protokolleri
DoH, DNS over TLS (DoT) ve DNS over QUIC (DoQ) gibi diğer modern DNS protokollerinden farklıdır. Temel karşılaştırmalar şu şekildedir:
| Özellik | DoH | DoT | DoQ |
|---|---|---|---|
| Taşıma Katmanı | HTTPS (TCP 443) | TLS (TCP 853) | QUIC (UDP 443) |
| Varsayılan Port | 443 | 853 | 443 |
| Proxy Desteği | Evet | Hayır | Evet |
| Yaygınlık | Yüksek (HTTPS tabanlı) | Orta (TLS tabanlı) | Düşük (QUIC tabanlı) |
Windows Server 2025'de DoH Kurulumu
Ön Gereksinimler
DoH'u Windows Server 2025 DNS Sunucusunda kullanabilmek için aşağıdaki gereksinimlerin karşılanması gerekmektedir:
- İşletim Sistemi Sürümü: Haziran 2026 tarihli toplu güncellemeyi içeren Windows Server 2025 (build 25398 veya üzeri).
- DNS Sunucusu Rolü: DoH, yalnızca DNS Sunucusu rolü yüklü olan sistemlerde kullanılabilir.
- TLS 1.2/1.3 Desteği: Sunucu ve istemci tarafında TLS 1.2 veya 1.3 protokolü desteklenmelidir.
- Güvenlik Duvarı Ayarları: TCP port 443'ün hem yerel hem de uzak erişime açık olması gerekmektedir.
- Sertifika Gereksinimleri: DoH'u etkinleştirmek için geçerli bir SSL/TLS sertifikası kullanılmalıdır.
Adım Adım Kurulum
1. Toplu Güncellemenin Yüklenmesi
DoH desteğinden yararlanabilmek için Windows Server 2025'in en son toplu güncellemesini yükleyin:
# Güncellemeleri kontrol et ve yükle
Get-WindowsUpdate -Install -AcceptAll -AutoReboot2. DNS Sunucusu Rolünün Doğrulanması
DNS Sunucusu rolünün yüklü olduğundan emin olun:
# DNS Sunucusu rolünün yüklü olup olmadığını kontrol et
Get-WindowsFeature -Name DNS | Select-Object Name, InstallStateEğer yüklü değilse, aşağıdaki komutla rolü yükleyin:
# DNS Sunucusu rolünü yükle
Install-WindowsFeature -Name DNS -IncludeManagementTools3. SSL/TLS Sertifikasının Yapılandırılması
DoH, HTTPS üzerinden çalıştığı için geçerli bir sertifika gerektirir. Yerel sertifika otoritesinden (CA) veya üçüncü parti bir sağlayıcıdan sertifika alabilirsiniz. Sertifikayı IIS veya yerel sertifika deposuna yükleyin:
# Yerel sertifika deposuna sertifika ekle (örnek: mydoh.example.com)
Import-Certificate -FilePath "C:\Certs\mydoh.example.com.cer" -CertStoreLocation Cert:\LocalMachine\My4. DoH'un Etkinleştirilmesi
DoH'u etkinleştirmek için aşağıdaki PowerShell komutlarını kullanın. Bu adımda, DoH'u hem istemci hem de sunucu tarafında yapılandırabilirsiniz:
# DoH'u etkinleştir (Sunucu tarafı)
Set-DnsServerDohSetting -Enable $true -ServerName "mydoh.example.com" -CertificateThumbprint "A1B2C3D4E5F6..." -AllowFallbackToUdp $false
# DoH'u istemci tarafında etkinleştir (isteğe bağlı)
Set-DnsClientDohServerAddress -ServerAddress "https://mydoh.example.com/dns-query" -DohTemplate "https://mydoh.example.com/dns-query" -AutoUpgrade $true5. DoH'un Test Edilmesi
Yapılandırmanın doğru çalıştığını doğrulamak için aşağıdaki adımları izleyin:
# DNS sorgularını DoH üzerinden test et
Resolve-DnsName -Name "example.com" -Type A -Server "https://mydoh.example.com/dns-query"
# DoH istemci ayarlarını doğrula
Get-DnsClientDohServerAddressDoH'un Yönetimi ve İzlenmesi
DoH Loglarının İzlenmesi
DoH sorgularını izlemek ve performansı değerlendirmek için Windows Event Log'larını kullanabilirsiniz. Aşağıdaki komutlar, DoH ile ilgili olayları filtreleyerek görüntülemenizi sağlar:
# DoH olaylarını Event Viewer'da filtrele
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DNS-Client/Doh'; Level=4} | Select-Object TimeCreated, MessagePerformans Optimizasyonu
DoH'un performansını artırmak için aşağıdaki önerileri uygulayabilirsiniz:
- Sertifika Önbelleği: Sık kullanılan sertifikaları önbelleğe alarak TLS el sıkışma süresini azaltın.
- DNS Önbelleği: Yerel DNS önbelleğini optimize ederek sorguların yanıt süresini iyileştirin.
- Ağ Yönlendirme: DoH sunucusuna olan bağlantıyı optimize ederek gecikmeyi azaltın.
Mevcut Sınırlamalar ve Bilinen Sorunlar
Desteklenmeyen Senaryolar
Aşağıdaki senaryolar DoH tarafından desteklenmemektedir:
Uyarı: DoH, aşağıdaki durumlarda kullanılamaz veya sınırlı destek sunar:
- IPv6 adresleriyle çalışırken bazı ağ cihazları tarafından engellenebilir.
- Yerel ağda kullanılan özel DNS sunucularıyla uyumluluk sorunları yaşanabilir.
- DoH sunucusunun HTTPS sertifikası geçerli değilse bağlantı başarısız olur.
- Bazı güvenlik duvarları, DoH trafiğini HTTPS trafiği olarak algılayarak engelleyebilir.
Bilinen Sorunlar ve Çözümleri
| Sorun | Nedeni | Çözüm |
|---|---|---|
| DoH sorguları yanıt vermiyor | Sunucu sertifikası geçersiz veya güvenilmez. | Sertifikayı yenileyin ve doğru thumbprint kullanıldığından emin olun. |
| Yüksek gecikme süresi | DoH sunucusuna olan bağlantı yavaş. | Sunucuyu yerel ağa yakın bir konuma taşıyın veya CDN kullanın. |
| DoH istemci ayarları kayboluyor | Windows güncellemeleri ayarları sıfırlayabilir. | Ayarları bir PowerShell betiğiyle otomatik olarak yapılandırın. |
En İyi Uygulamalar ve Öneriler
Güvenlik Önerileri
- Sertifika Yönetimi: DoH sunucusu için kullanılan sertifikayı düzenli olarak yenileyin ve güvenlik açıklarını tarayın.
- Erişim Kontrolü: DoH sunucusuna yalnızca yetkili istemcilerin erişmesini sağlayın.
- Günlük Analizi: DoH sorgularını düzenli olarak inceleyerek olağandışı aktiviteleri tespit edin.
Performans Önerileri
- Önbellek Boyutu: DNS önbelleğini optimize ederek yanıt sürelerini iyileştirin.
- Ağ Bağlantısı: DoH sunucusuna olan bağlantıyı optimize ederek gecikmeyi azaltın.
- Yedek Sunucu: Yük dengeleme için birden fazla DoH sunucusu kullanın.
Sonuç
Windows Server 2025 ile birlikte gelen DoH desteği, yerel DNS altyapılarında gizlilik ve güvenliği artırmak için önemli bir adımdır. DoH'un kurulumu ve yönetimi, temel DNS bilgisine sahip olan herkes tarafından gerçekleştirilebilir. Ancak, performans ve güvenlik açısından dikkatli bir planlama gerektirir. Bu makalede sunulan adımları izleyerek, DoH'u güvenli ve verimli bir şekilde kullanabilirsiniz.
