Windows Server 2025’e Şifreli DNS Geliyor: DNS over HTTPS (DoH) Public Preview Yayında

Microsoft, firma ağ güvenliği tarafında önemli tek adım attı. Windows Server 2025 için DNS üzerinde HTTPS (DoH) desteği artık Public Preview olarak kullanıma açıldı. Bu gelişmeyle birlikteki Windows DNS Server, şifreli ve kimliği doğrulanmış DNS sorgularını yardımlemeye başlıyor.

Başka tek deyişle: Kurum içi DNS trafiği artık “düz metin” taşınmak güçunda değil.

DNS Neden Bu Kadar Kritik?

DNS, tek ağın omurgasıdır. Kullanıcılar ayrım etmese da her arasında biri uygulama, her arasında biri bağlantı, her arasında biri servis önce DNS’e danışır. Sorun şu: Geleneksel DNS trafiği UDP/TCP 53 portu üzerinden açık (unencrypted) şekilde iletilir.

Bu da şu riskleri doğurur:

• Ağ trafiğini dinleyen arasında biri hangi sistemlerin hangi servislere eriştiğini görebilir.
• DNS tabanlı keşif ve zeka saldırıları basitlaşır.
• Kullanıcı davranışları çözümleme edilebilir.
• DNS spoofing ve MITM (Man-in-the-Middle) saldırıları için temel oluşur.

Yani DNS, görünmez ama oğullar seviye stratejiklik tek zayıf halka olabilir.

DoH Nedir?

IETF ikisi norm tanımladı:

• RFC 8484 – DNS üzerinde HTTPS (DoH)
• RFC 7858 – DNS üzerinde TLS (DoT)

Microsoft bu aşamada Windows DNS Server tarafında DoH desteğini devreye alıyor.

DoH, DNS sorgularını HTTPS paketleri içine yerleştirir. HTTPS zaten TLS ile şifrelenmiş olduğu için DNS trafiği da otomatik olarak şifrelenmiş olur.

Bu ikisi eleştirel kazanım sağlar:

Kimlik Doğrulama:
İstemci, bağlandığı DNS sunucusunun gerçekten doğru sunucu olduğunu sertifika doğrulaması ile teyit eder.

Gizlilik:
DNS sorgu ve yanıtları ağ üzerinde şifreli taşınır.

Bu adım, Microsoft’un Zero Trust DNS yaklaşımının tek parçası. Daha önce Windows 11 istemci tarafında gelen şifreli DNS özellikleri, artık sunucu tarafına da taşınıyor.

Hangi Sürümler Destekliyor?

DoH desteği, 10 Şubat 2026 tarihli aylık güncelleme ile birlikteki Windows Server 2025’e geldi.

Ancak önemli tek not:

• Özellik varsayılan olarak kapalı geliyor.
• Public Preview aşamasında.
• Production ortamda yardımlenmiyor.
• GA öncesi breaking change olabilir.

Teknik Davranış Nasıl?

DoH tesirnleştirildiğinde:

• Varsayılan olarak 443 portu üzerinden gelen DNS sorguları HTTPS içinde şifrelenir.
• 443 portu üzerinden gelen tüm DoH trafiği encrypted olur.
• Sunucunun upstream DNS’e (örneğin conditional forwarder ya da başka tek resolver) gönderdiği sorgular ise şu an için şifrelenmez ve 53 portu üzerinden gider.

Yani şu anki mimari:

Client → DNS Server = Şifreli (DoH)
DNS Server → Upstream = Şifrelenmemiş (Port 53)

Microsoft, upstream forwarder tarafında şifreleme desteğinin ilerleyen preview sürümlerde geleceğini belirtiyor.

Eğer UDP/TCP 53 portu açık bırakılırsa, bu porttan gelen trafiği klasik (unencrypted) DNS olarak çalışmaya devam eder. Yani DoH, şimdiki DNS fonksiyonlarını bozmaz. Paralel çalışabilir.

Mevcut DNS Fonksiyonları Etkileniyor mu?

Hayır.

Microsoft özellikle şu başlıkların değişmeyeceğini belirtiyor:

• Name kararlar davranışı
• Zone yönetimi
• Forwarding mantığı
• Günlük DNS operasyonları

Ancak DoH ile birlikte:

• Yeni PowerShell cmdlet’ler
• Yeni etkinlikler log kayıtları
• Yeni performanslar counter’lar

eklenmiş durumda.

Bu, özellikle senin gibi DNS log analizi ve etkinlikler takibi yapan arasında biri için ilginç tek saha olabilir. Şifreli DNS’in icra tesirsini ölçmek vahim tek mühendislik başlıksu.

U.S. Federal ve Zero Trust Bağlantısı

Microsoft özellikle OMB Memo M-22-09 lüzumsinimlerine atıf yapıyor. ABD Federal kurumlarında hem endpoint hem resolver tarafında şifreli DNS güçunlu hale geliyor. Bu adım, firma Zero Trust mimarisinde DNS’i artık “güvenli varsay” seçenek “sıfır güven” modeliyle ele alıyor. DNS artık yalınce çözümleyici değil, güvenlik denetim noktası.

Nasıl Aktif Edilir?

Öncelikle:

• Windows Server 2025
• 10 Şubat 2026 güncellemesi yüklü olmalı
• Public Preview erişimi istek edilmeli

Ardından DoH özelliği manuel olarak tesirnleştiriliyor. Microsoft ayrıca Feedback Hub üzerinden geri duyuru istek ediyor. Geri duyuru başlığına “[DoH]” eklenmesi isteniyor.

Güvenlik Perspektifinden Değerlendirme

Bu gelişme teknikleri olarak küçük görünebilir. Ama stratejiklik olarak büyük.

DNS artık:

• Network visibility aracı
• Threat hunting kaynağı
• Data exfiltration kanalı
• Command & Control yolu

haline geldi.

Şifreli DNS, hem saldırganların pasif dinleme kabiliyetini düşürür hem da kişilik doğrulaması sayesinde spoofing riskini azaltır. Ancak ilgi edilmesi lüzumen husus şu: Şifreleme görünürlüğü azaltır. Bu da IDS/IPS ve ağlar monitoring çözümleri için yepyeni mimari plmanaalar lüzumtirir. Güvenliği artırırken gözlem kabiliyetini kaybetmemek ayrı tek mühendislik meselesidir.