Giriş

İnternette bir adresin gerçekten beklediğiniz kurum veya hizmete ait olup olmadığını hızlı ve güvenli şekilde kontrol etmek için tarayıcıda yapılacak basit kontroller ile DNS/Whois araçlarını birlikte kullanabilirsiniz. Bu makale, "starora resmi site" araması yapan genel kullanıcılar için tarayıcı tabanlı doğrulamalar, DNS çözümleme yöntemleri, whois ile doğrulama ve güvenilir mirror tespiti üzerine pratik adımlar içerir.

Tarayıcıda yapılacak hızlı kontroller

Tarayıcı ilk temas noktanızdır; burada yapılacak basit kontroller çoğu zaman siteyle ilgili temel güven sinyallerini verir.

1. Adres çubuğunu dikkatle inceleyin

• Alan adını tam ve doğru yazıldığından emin olun: alt alan adları (subdomain) veya farklı TLD (uzantı) hataları dikkat gerektirir.
• Benzer karakter kullanımları (ör. 0 yerine O, küçük/büyük harf benzerlikleri) tespit edin.

2. Kilit simgesi ve sertifika bilgileri

Adres çubuğundaki kilit simgesi, bağlantının TLS ile şifrelendiğini gösterir. Kilit üzerine tıklayarak sertifika bilgilerini görüntüleyin ve şunları kontrol edin:

• Sertifikanın hangi domaine/alan adlarına verildiği (Subject ve SAN - Subject Alternative Name).
• Geçerlilik tarihleri; süresi dolmuş sertifikalar güven sorunudur.
• Sertifikayı veren yetkili kuruluş (tarayıcıda güvenilir bir CA olarak görünmelidir).
• Sertifika zincirinin tam ve hatasız olması; ara sertifika eksikse tarayıcı uyarı verebilir.

Daha derin analiz için çevrimiçi bir SSL testi aracı kullanabilirsiniz (ör. SSL Labs), ancak bu araçların sonuçlarının bağlama göre yorumlanması gerektiğini unutmayın.

3. Sayfa başlıkları ve HTTP başlıkları

Geliştirici araçlarını (F12) açıp Network sekmesinden ana sayfayı yeniden yükleyerek HTTP başlıklarını kontrol edin. Dikkat edilecekler:

• Strict-Transport-Security (HSTS) başlığı var mı?
• Content-Security-Policy (CSP) gibi güvenlik başlıkları uygulanıyor mu?
• X-Frame-Options, Referrer-Policy gibi ek başlıklar mevcut mu?

DNS ile doğrulama adımları

DNS çözümlemesi, alan adının hangi IP adreslerine işaret ettiğini ve DNS kayıtlarının nasıl yapılandırıldığını gösterir. Masaüstü veya mobilde kullanabileceğiniz temel komutlar: dig, nslookup veya çevrimiçi DNS araçlarıdır.

A/AAAA, CNAME, NS, MX, TXT gibi kayıtları kontrol edin

Örnek kullanım (terminalde veya online araçlarda): "dig +short starora.com" veya "nslookup starora.com". Aşağıdaki kayıt türlerini inceleyin:

• A / AAAA: IPv4 / IPv6 adresleri.
• CNAME: Başka bir domaine yönlendirme yapılıyorsa hedefi doğrulayın.
• NS / SOA: Alan adının yetkili isim sunucuları ve genel yönetim bilgileri.
• TXT: SPF veya site doğrulama kayıtları gibi ek bilgiler.

DNSSEC ve kayıt bütünlüğü

DNSSEC imzaları varsa çözümlemenin değiştirilmediğine dair ek güven işareti sağlayabilir. DNSSEC kontrollerini çevrimiçi araçlarla (ör. DNSViz) kontrol edebilirsiniz. DNSSEC olmaması otomatik olarak kötü demek değildir; ancak imza varsa bu bir güven sinyalidir.

IP, ters DNS ve barındırma

A kaydından dönen IP adresinin ters DNS (reverse DNS) kaydını kontrol edin ve IP'nin hangi sağlayıcıya ait olduğunu sorgulayın. IP lokasyonu ve sağlayıcı tutarlılığı, sitenin beklenen altyapıda bulunup bulunmadığı konusunda fikir verir.

Whois sorgusu ile kayıt bilgilerini inceleme

Whois kayıtları; alan adının kimin tarafından, hangi tarihte ve hangi kayıt firması (registrar) aracılığıyla tescil edildiğini gösterir. Resmi kayıt sorgulama için ICANN Whois veya kayıt firmalarının servisleri kullanılabilir. Aşağıdaki noktalara bakın:

• Kaydın oluşturulma ve son yenileme tarihleri (yeni tesciller bazen dikkat gerektirir).
• Kayıt sahibine ait organizasyon bilgisi ve iletişim bilgileri (görünmüyor veya anonimleştirilmişse bu tek başına belirleyici değildir).
• Registrar (kayıt kuruluşu) bilgisi ve kayıt durumu.

Güvenilir mirror tespiti

Resmi bir mirror (aynalanmış site) arıyorsanız veya bir adresin resmi yansısı olup olmadığını doğrulamak istiyorsanız şu adımları uygulayın:

• Resmi kaynaklardan duyuru: Kurumun doğrulanmış sosyal hesapları, resmi blog veya destek sayfalarında mirror listesi arayın.
• Sertifika ve içerik eşleşmesi: Mirror üzerindeki HTTPS sertifikasının ana siteyle aynı SAN/CN bilgilerini taşıyıp taşımadığına bakın.
• İçerik bütünlüğü: Önemli bir dosya indiriyorsanız dosya boyutu ve hash (ör. SHA-256) gibi değerlerin resmi kaynakla uyumlu olup olmadığını kontrol edin.
• Barındırma ve IP tutarlılığı: Mirror IP'si ve sağlayıcısının, ana siteyle makul bir şekilde ilişkili olup olmadığını inceleyin.

Adım adım pratik doğrulama akışı (kontrol listesi)

1. Adres çubuğunu doğrulayın: Tam alan adı ve uzantıyı kontrol edin.
2. Tarayıcıdan kilit simgesine tıklayıp sertifika ayrıntılarını inceleyin (alan adları, geçerlilik, CA).
3. HTTP başlıklarını kontrol ederek HSTS/CSP gibi güvenlik önlemlerine bakın.
4. Bir DNS sorgusu yapın (dig veya nslookup) ve A/AAAA/CNAME sonuçlarını kaydedin.
5. Gerekirse DNSSEC varlığını doğrulayın veya DNS vizualizasyon aracıyla tutarlılığı inceleyin.
6. Whois sorgusu ile kayıt sahibini, kayıt tarihlerini ve registrar bilgilerini gözden geçirin.
7. Mirror varsa: sertifika, içerik hash ve resmi açıklamalarla karşılaştırın.
8. İçgörü elde edemiyorsanız destek/kontak kanallarından resmi onay isteyin ve kişisel bilgileri girmeyin.

Kırmızı bayraklar — dikkat edilmesi gereken durumlar

• Sertifika alan adıyla uyuşmuyor veya sertifika zincirinde hata var.
• Adres beklenmeyen bir TLD'ye yönlendiriyor veya çok benzer fakat farklı bir alan adı gösteriyor.
• Whois kaydı tutarsız, yeni kayıtlı veya bilinmeyen bir registrar ve iletişim bilgileri eksik.
• Sayfa başlıklarında beklenmeyen yönlendirmeler, yoğun reklamlar veya anormal içerik farklılıkları bulunuyor.

Son adımlar ve öneriler

Eğer yaptığınız tüm kontroller hâlâ net bir cevap vermiyorsa kuruma doğrudan ulaşarak adresin doğruluğunu teyit edin. Kayıtlı destek e-posta adresleri veya resmi sosyal medya profilleri üzerinden doğrulama talep etmek uygun bir yöntemdir. Ayrıca hassas bilgileri girmeden önce ikinci bir kaynaktan doğrulama yapın.

Bu rehber, temel teknik doğrulama adımlarını özetler; daha kapsamlı kurumsal değerlendirmeler için deneyimli bir güvenlik uzmanıyla çalışmak gerekebilir.