WHOIS Gizliliğini Domainlerinizde Etkinleştirmeniz İçin 5 Neden (Ve Aslında Nasıl Çalışır)

Bir alan adı kaydettirdiğinizde, ICANN politikası kayıt şirketlerinin kişisel bilgilerinizi — tam adınızı, posta adresinizi, telefon numaranızı ve e-postanızı — kamuya açık olarak sorgulanabilen WHOIS veritabanında toplamasını ve yayımlamasını zorunlu kılar. Varsayılan olarak bu veriler internetteki herkese açıktır. WHOIS gizlilik koruması (alan adı gizliliği veya proxy kaydı olarak da bilinir), gerçek kayıt sahibi verilerinizi bir gizlilik proxy hizmetinin iletişim bilgileriyle değiştirerek kimliğinizi korurken alan adının tam işlevsel ve yasal uyumlu kalmasını sağlar.

Bu kozmetik bir özellik değildir. Spam, sosyal mühendislik, alan adı ele geçirme ve düzenleyici yükümlülük karşısındaki maruziyetinizi etkileyen somut bir operasyonel güvenlik kontrolüdür. Aşağıdaki bölümler bunun neden önemli olduğunu, temel mekanizmaların nasıl çalıştığını ve atladığınızda ne riske attığınızı ayrıntılı biçimde açıklamaktadır.

WHOIS Veritabanı Aslında Neyi İfşa Eder

Gizliliği etkinleştirme nedenlerini incelemeden önce, karşı karşıya olduğunuz saldırı yüzeyini anlamak faydalıdır. Gizlilik koruması olmayan standart bir WHOIS kaydı şunları yayımlar:

• Kayıt sahibi adı — yasal adınız veya işletme adınız
• Kayıt sahibi kuruluş — şirket veya kuruluş adı
• Posta adresi — sokak, şehir, eyalet, posta kodu, ülke
• Telefon ve faks numaraları — doğrudan iletişim hatları
• E-posta adresi — genellikle kişisel veya birincil iş gelen kutusu
• Kayıt şirketi adı ve IANA ID — saldırganlara tam olarak hangi kayıt şirketini hedef alacaklarını söyler
• Kayıt ve sona erme tarihleri — sosyal mühendislik saldırılarını zamanlamak için kullanışlıdır
• Ad sunucuları — DNS altyapınızı ortaya koyar

Bu verilere komut satırı araçları (whois example.com), web tabanlı WHOIS sorgulama portalları ve büyük ölçekte otomatik taramaya olanak tanıyan toplu WHOIS API’leri aracılığıyla erişilebilir. Tehdit aktörleri kayıtları tek tek sorgulamaz — milyonlarca kaydı programatik olarak toplar.

WHOIS Gizlilik Koruması Arka Planda Nasıl Çalışır

Alan adı gizliliğini etkinleştirdiğinizde, kayıt şirketiniz (veya sözleşmeli bir gizlilik proxy hizmeti) kamuya açık WHOIS kaydında kendi iletişim bilgilerini sizinkinin yerine koyar. Meşru iletişimler — yasal bildirimler, kötüye kullanım şikayetleri, alan adı transfer talepleri — proxy aracılığıyla size iletilir. Gerçek kayıt sahibi verileriniz, kayıt şirketi tarafından kamuya açık olmayan bir kayıtta tutulur ve yalnızca yasal zorunluluk durumunda (mahkeme kararı, kolluk talebi, ICANN uyuşmazlık çözümü) ifşa edilir.

Temel teknik ayrım: alan adının yasal kayıt sahibi olmaya devam edersiniz. Gizlilik hizmeti, sahip olarak değil, yayımlanan bir iletişim proxy’si olarak hareket eder. Bu, UDRP (Uniform Domain-Name Dispute-Resolution Policy) süreçlerinin, alan adı transferlerinin ve yenileme haklarının tamamen size ait kalmaya devam ettiği anlamına gelir.

Neden 1: Kişisel Bilgilerinizi Toplanmadan ve Kimlik Hırsızlığından Koruyun

Gizlilik koruması olmadan ev adresiniz, kişisel telefon numaranız ve birincil e-postanız arama motorları tarafından dizine eklenir, üçüncü taraf WHOIS toplayıcıları tarafından arşivlenir ve veri komisyoncuları tarafından taranır — çoğunlukla kayıttan sonraki saatler içinde. Bu, gizliliği daha sonra etkinleştirseniz bile geri almak zor olan kalıcı, kamuya açık bağlantılı bir profil oluşturur.

Somut riskler:

• Kimlik hırsızlığı vektörleri: Saldırganlar, tam kimlik profilleri oluşturmak için WHOIS verilerini LinkedIn profilleri, sosyal medya ve veri ihlali dökümleriyle ilişkilendirir. Adınız, adresiniz ve e-postanızın kombinasyonu, finans kuruluşlarındaki bilgi tabanlı kimlik doğrulama (KBA) zorluklarını geçmek için çoğunlukla yeterlidir.
• Doxxing: Hassas konularda web sitesi işleten gazeteciler, aktivistler ve bireyler özellikle savunmasızdır. Tek bir WHOIS sorgusu, ev adresini düşmanca bir kitleye ifşa edebilir.
• Veri komisyoncusu amplifikasyonu: Üçüncü taraf WHOIS arşiv hizmetleri kayıtları süresiz olarak önbelleğe alır. Gizliliği etkinleştirdikten sonra bile geçmiş kayıtlar DomainTools veya WhoisXML API gibi sitelerde aylarca veya yıllarca kalabilir.

Operasyonel not: Gizliliği etkinleştirmeden önce alan adları kaydettirdiyseniz ve verileriniz WHOIS toplayıcıları tarafından zaten önbelleğe alındıysa, kaldırma talepleriyle doğrudan bu hizmetlerle iletişime geçin. Gizlilik koruması gelecekteki ifşayı önler ancak önbelleğe alınmış kayıtları geriye dönük olarak temizlemez.

Neden 2: Spam, Kimlik Avı ve İstenmeyen Teklifleri Ortadan Kaldırın

WHOIS kayıtlarından toplanan e-posta adresleri, spam kampanyaları için birincil bir kaynaktır. Bu teorik değildir — otomatik tarayıcılar, gerçek işletmelere bağlı doğrulanmış, aktif olarak kullanılan iletişim bilgileri sağladığı için özellikle WHOIS verilerini sürekli tarar.

WHOIS gizliliği olmadan alacaklarınız:

• Alan adıyla ilgili hizmetlerden (SEO ajansları, web tasarımcıları, hosting ek satışları) toplu tanıtım e-postaları
• Kayıt şirketinizi taklit eden, sahte alan adı sona erme veya askıya alma uyarısı veren kimlik avı e-postaları
• Meşru kayıt şirketi faturaları gibi görünmek üzere tasarlanmış, fiziksel adresinize posta yoluyla gönderilen yenileme dolandırıcılığı faturaları
• Kazınan WHOIS veri kümelerini satın alan telemarketing firmalarından soğuk aramalar

Kimlik avı boyutu özellikle dikkat gerektirmektedir. Kayıt şirketinizi bilen saldırganlar (WHOIS kaydında görünür), tam alan adınızı, kayıt şirketi adınızı ve sona erme tarihinizi — hepsini kamuya açık kayıttan çekerek — referans alan son derece ikna edici hedefli kimlik avı e-postaları oluşturabilir. Bu, saldırının güvenilirliğini önemli ölçüde artırır.

WHOIS gizliliği, toplanabilir e-posta adresini ortadan kaldırır ve yalnızca meşru yazışmaları filtreleyen ve ileten bir proxy adresiyle değiştirir.

Neden 3: Alan Adı Ele Geçirme için Saldırı Yüzeyini Azaltın

Alan adı ele geçirme, bir alan adının farklı bir kayıt şirketine veya kayıt sahibi hesabına yetkisiz olarak aktarılmasıdır. Bir web sitesi sahibinin karşılaşabileceği en zararlı saldırılardan biridir — ele geçirilen bir alan adı trafiğinizi yönlendirebilir, e-postanızı ele geçirebilir ve müşteri güvenini zedeleyebilir; çoğunlukla anında uyarı vermeden.

WHOIS veritabanı, alan adı ele geçirme senaryosunda kritik bir keşif aracıdır:

1. Saldırgan WHOIS’i sorgular ve adınızı, e-posta adresinizi ve kayıt şirketinizi öğrenir.
2. Saldırgan kayıt şirketi hesabınızı hedef alır; kimlik avı, kimlik bilgisi doldurma veya kişisel bilgilerinizi doğrulama olarak kullanarak kayıt şirketinin destek ekibini sosyal mühendislikle manipüle eder.
3. Saldırgan yetkisiz bir transfer başlatır; alan adı kilidini devre dışı bırakarak veya sahte bir transfer yetkilendirmesi göndererek.
4. Alan adı saldırgan kontrolündeki kayıt şirketine geçer — alan adı kilidi etkin değilse çoğunlukla 24 saat içinde.

WHOIS gizliliği, 2. adımı uygulanabilir kılan kişisel verileri kaldırır. Gerçek e-posta adresiniz ve adınız olmadan, kayıt şirketi desteğine yönelik sosyal mühendislik saldırılarını ikna edici biçimde yürütmek önemli ölçüde zorlaşır.

Derinlemesine savunma önerisi: WHOIS gizliliği, kayıt şirketi kilidi (EPP durumu clientTransferProhibited), kayıt şirketi hesabınızda iki faktörlü kimlik doğrulama ve yüksek değerli alan adları için mevcut olduğu durumlarda kayıt defteri kilidiyle birlikte kullanılmalıdır; bunların yerine geçmemelidir.

Birden fazla alan adı yönetiyorsanız veya müşteri altyapısı işletiyorsanız, merkezi DNS yönetimi ve izleme özelliklerine sahip bir VPS Hosting ortamı, yalnızca paylaşımlı kayıt şirketi panolarına kıyasla transfer uyarıları ve bölge dosyası bütünlüğü üzerinde çok daha fazla kontrol sağlar.

Neden 4: Hassas Projeler için Operasyonel Anonimliği Koruyun

Bir alan adı sahibinin kimliğinin bir web sitesiyle kamuya açık biçimde ilişkilendirilmesini istememesi için tamamen meşru nedenler vardır. Bunlar uç durumlar değildir — alan adı kayıtlarının önemli bir bölümünü temsil ederler:

• Kaynak koruma platformları veya ihbarcı portalları işleten araştırmacı gazeteciler
• Kısıtlı ifade özgürlüğüne sahip yargı bölgelerinde faaliyet gösteren siyasi aktivistler ve muhalifler
• Bal küpleri, tehdit istihbaratı altyapısı veya güvenlik açığı ifşa siteleri işleten güvenlik araştırmacıları
• Rakiplerin alan adı stratejilerini tespit etmesini istemeyen gizli ön lansman aşamasındaki işletmeler
• Ev adreslerini küresel internete yayımlamayı tercih etmeyen kişisel blog, forum veya topluluk siteleri işleten bireyler

WHOIS gizliliği, bu anonimliği sağlamak için standart, kayıt şirketi destekli mekanizmadır. Yasal bir hile gerektirmez — bu amaç için açıkça tasarlanmış, alan adı kayıt sisteminin yerleşik bir özelliğidir.

Önemli uyarı: WHOIS gizliliği sizi yasal olarak anonim kılmaz. Kayıt şirketleri doğru kayıt sahibi kayıtlarını tutmakla yükümlüdür ve geçerli yasal süreçlere yanıt olarak bunları ifşa edecektir. Yaptığı şey, verilerinizi pasif, kimlik doğrulamasız kamuya açık sorgu katmanından kaldırmaktır.

WHOIS’in ötesinde gerçek altyapı anonimliği gerektiren projeler için — Tor erişilebilir hizmetler veya gizliliği koruyan hosting gibi — hosting katmanı, kayıt katmanı kadar önem taşır. Sıkı veri işleme politikalarına sahip Dedicated Servers, altyapı düzeyinde hangi bilgilerin günlüğe kaydedildiği ve saklandığı üzerinde ek bir kontrol katmanı sağlar.

Neden 5: GDPR, CCPA ve Küresel Veri Gizliliği Düzenlemeleriyle Uyum Sağlayın

WHOIS verileri etrafındaki düzenleyici ortam, Genel Veri Koruma Yönetmeliği (GDPR)‘nin Mayıs 2018’de yürürlüğe girmesinden bu yana köklü biçimde değişmiştir. ICANN’ın GDPR uyum gerekliliklerine verdiği yanıt, Avrupa Ekonomik Alanı’ndaki kayıt sahipleri için WHOIS verilerinin nasıl işlendiğini temelden değiştirmiştir.

Temel düzenleyici temas noktaları:

• GDPR (AB/AEA): AB vatandaşlarının kişisel verileri, yasal bir dayanak olmaksızın kamuya açık WHOIS’te yayımlanamaz. Çoğu kayıt şirketi artık AEA kayıt sahipleri için kişisel verileri varsayılan olarak gizlemektedir; ancak bu koruma tüm kayıt şirketleri veya TLD’ler genelinde evrensel değildir.
• CCPA (Kaliforniya): Kaliforniya sakinlerinin kişisel bilgilerinin toplanması ve satışına ilişkin hakları bulunmaktadır. Veri komisyoncularına satılan WHOIS verileri CCPA yükümlülüklerini doğurabilir.
• PIPEDA (Kanada): Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası kapsamında Kanadalı kayıt sahipleri için benzer ilkeler geçerlidir.
• Yerel TLD politikaları: .de, .fr ve .uk gibi ülke kodu TLD’lerinin (ccTLD) gTLD gerekliliklerinden farklılık gösterebilen kendi kayıt defteri politikaları vardır.

Pek çok kayıt sahibinin gözden kaçırdığı uyum açığı: Kayıt şirketi düzeyinde GDPR gizlemesi, WHOIS gizlilik korumasıyla aynı şey değildir. GDPR gizlemesi, AEA kayıt sahiplerine uygulanan yasal bir yükümlülüktür; WHOIS gizliliği ise yargı bölgesi ve kayıt şirketi politikasından bağımsız olarak tutarlı koruma sağlayan bir hizmet katmanı özelliğidir. Gizlilik korumasını açıkça etkinleştirmeden yalnızca GDPR gizlemesine güvenmek, kayıt şirketinizin uygulaması tutarsızsa veya farklı politikalara sahip bir TLD altında kayıt yaptırırsanız sizi açıkta bırakır.

Alan adı kaydını düzgün yapılandırılmış SSL Sertifikaları ve gizlilik etkin WHOIS kayıtlarıyla eşleştirmek, denetçilere ve müşterilere eksiksiz, uyum odaklı bir duruş sergiler.

WHOIS Gizliliği ile Gizlilik Yok: Özellik Karşılaştırması

WHOIS Gizliliği Hakkında Yaygın Yanılgılar

“WHOIS gizliliği alan adımı arama motorlarından gizler.”

Gizlemez. Arama motorları web sitesi içeriğinizi dizine ekler ve alan adınızı bağlantılar, site haritaları ve tarama yoluyla keşfedebilir. WHOIS gizliliği yalnızca WHOIS veritabanındaki kayıt sahibi iletişim verilerini etkiler — arama motoru dizinlemesi üzerinde hiçbir etkisi yoktur.

“WHOIS gizliliği alan adımı yasal amaçlar için izlenemez kılar.”

Kılmaz. Kayıt şirketleri doğru kayıt sahibi kayıtlarını tutar ve geçerli mahkeme kararlarına, kolluk taleplerine ve ICANN uyuşmazlık çözüm süreçlerine (UDRP/URS) yanıt olarak bunları ifşa etmekle yasal olarak yükümlüdür.

“İş adresi kullandığım için WHOIS gizliliğine ihtiyacım yok.”

İş adresi kullanmak kişisel maruziyeti azaltır ancak spam, kimlik avı veya sosyal mühendislik risklerini ortadan kaldırmaz. Kayıt şirketi hesabınızı hedef alan saldırganların ev adresinize ihtiyacı yoktur — iş e-postanız ve kayıt şirketi adınız yeterlidir.

“WHOIS gizliliği alan adımın e-postasını etkiler.”

Etkilemez. WHOIS gizliliği yalnızca WHOIS kaydında yayımlanan iletişim verilerini etkiler. Alan adınızın MX kayıtları, e-posta yönlendirmesi ve E-posta Hosting yapılandırması WHOIS verilerinden tamamen bağımsızdır.

WHOIS Gizliliğinin Kullanılamayabileceği Durumlar

WHOIS gizliliği tüm TLD’lerde evrensel olarak mevcut değildir. Bazı kayıt defterleri belirli alan adı uzantıları için gizlilik proxy hizmetlerini yasaklar:

• .us alan adları: .us kayıt defteri politikası, çoğu kayıt sahibi türü için WHOIS gizliliğini açıkça yasaklar.
• Bazı ccTLD’ler: .de, .ca, .au ve diğerleri dahil ülke kodu TLD’lerinin değişen politikaları vardır — bazıları varsayılan olarak gizler, diğerleri üçüncü taraf gizlilik proxy’lerini yasaklar.
• Hükümet ve altyapı TLD’leri: .gov, .mil ve benzeri kısıtlı TLD’ler doğrulanmış kurumsal kimlik gerektirir ve gizlilik hizmetlerini desteklemez.

Gizliliğin kullanılamadığı TLD’ler için en iyi hafifletme yöntemi, kayıt sahibi iletişim bilgileri olarak kayıtlı bir iş adresi ve alan adına özgü bir e-posta adresi (birincil kişisel gelen kutunuz değil) kullanmaktır. Bu, gizlilik proxy hizmetlerine dayanmadan herhangi bir toplamanın etkisini sınırlar.

Birden fazla TLD’de alan adı portföyü yönetiyorsanız, bunları desteklenen uzantılarda tutarlı gizlilik araçları sunan bir kayıt şirketiyle Alan Adı Kaydı altında merkezileştirmek yönetimi önemli ölçüde basitleştirir.

Pratik Karar Matrisi: WHOIS Gizliliğini Etkinleştirmeli misiniz?

Teknik Kontrol Listesi: Alan Adı Kaydınızı Güvence Altına Alma

• WHOIS gizliliğini kayıttan sonra değil, kayıt anında etkinleştirin — ilk kayıt penceresinden önbelleğe alınan WHOIS verileri üçüncü taraf toplayıcılarda kalabilir.
• Komut satırından whois yourdomain.com çalıştırarak veya üçüncü taraf bir sorgulama aracı kullanarak gizliliğin etkin olduğunu doğrulayın ve kişisel verilerinizin görünmediğini onaylayın.
• Tüm üretim alan adlarında kayıt şirketi kilidi (clientTransferProhibited) etkinleştirin.
• Kayıt şirketi hesabı girişi için özel bir e-posta adresi kullanın — kamuya açık iletişim veya pazarlama için kullanılan adresle aynı olmamalıdır.
• Kayıt şirketi hesabınızda iki faktörlü kimlik doğrulamayı etkinleştirin.
• Alan adı sona erme hatırlatıcılarını önceden ayarlayın — süresi dolan alan adları gizlilik korumasını kaybeder ve drop-catching’e karşı savunmasız hale gelir.
• Yüksek değerli alan adları için kayıt şirketinizden kayıt defteri kilidi talep edin; bu, herhangi bir durum değişikliği için bant dışı doğrulama gerektirir.
• WHOIS kayıtlarınızı yıllık olarak denetleyin; özellikle gizlilik ayarlarını yanlışlıkla sıfırlayabilecek kayıt şirketi geçişleri veya hesap güncellemelerinden sonra.
• Alan adlarınızın yanı sıra hosting altyapısı da işletiyorsanız, cPanel ile VPS veya kontrol paneli ortamınızın DNS yönetimini entegre ettiğinden emin olun; böylece bölge değişiklikleri ve kayıt şirketi ayarları tek bir kontrol noktasından izlenir.

SSS

WHOIS gizliliğini etkinleştirmek alan adımın SEO’sunu veya arama motoru sıralamalarını etkiler mi?

Hayır. Google ve diğer arama motorları WHOIS kayıt sahibi verilerini sıralama sinyali olarak kullanmaz. WHOIS gizliliğinin tarama, dizinleme veya sıralama üzerinde hiçbir etkisi yoktur. SEO açısından önemli olan tek şey web sitesi içeriğiniz, geri bağlantılarınız ve teknik yapılandırmanızdır.

WHOIS gizliliği etkinken alan adı transfer yetkilendirme kodlarını almaya devam edebilir miyim?

Evet. Alan adı transferleri için EPP yetkilendirme kodları (auth kodları), kayıt şirketinizdeki doğrulanmış kayıt sahibi e-posta adresinize gönderilir — bu, proxy değil gerçek adresinizdir. Gizlilik proxy’si transfer ile ilgili iletişimleri engellemez veya kesmez.

WHOIS gizliliği ücretsiz mi, yoksa ek ücret mi alınıyor?

Büyük kayıt şirketlerinin çoğu artık desteklenen gTLD’ler (.com, .net, .org vb.) için WHOIS gizliliğini ek ücret olmaksızın sunmaktadır. Bazı kayıt şirketleri hâlâ nominal bir yıllık ücret talep etmektedir. Ödeme sırasında gizliliğin etkin olduğunu her zaman doğrulayın — ücretsiz sunulduğunda bile varsayılan olarak etkinleştirilmeyebilir.

Kayıt şirketim bir veri ihlali yaşarsa WHOIS gizliliği beni korur mu?

Hayır. WHOIS gizliliği verilerinizi kamuya açık WHOIS kaydında korur. Gerçek kayıt sahibi verileriniz hâlâ kayıt şirketinizin iç sistemlerinde saklanmaktadır. Kayıt şirketi tarafındaki bir ihlal, gizlilik ayarlarından bağımsız olarak bu verileri ifşa edebilir. Bu nedenle güçlü güvenlik uygulamalarına sahip bir kayıt şirketi seçmek, WHOIS gizliliğinden bağımsız olarak önem taşır.

WHOIS gizliliği ICANN’ın kayıt sahibi doğrulama gerekliliklerine uygun mu?

Evet. ICANN’ın 2013 Kayıt Şirketi Akreditasyon Anlaşması (RAA), kayıt şirketlerinin doğru kayıt sahibi verilerini toplamasını ve doğrulamasını zorunlu kılar; ancak bu verilerin kamuya açık biçimde görüntülenmesini şart koşmaz. Gizlilik proxy hizmetleri, kayıt şirketinin gerçek kayıt sahibi bilgilerini sakladığı ve meşru yasal ve uyuşmazlık çözüm amaçları için erişilebilir kıldığı sürece ICANN politikası kapsamında açıkça izin verilmektedir.