Domain Kilidi Nasıl Açılır? Transfer Öncesi Hazırlık Rehberi
Domain transferine karar verdiniz; alıcı registrar'ın panelinde transfer başlatma ekranını açtınız, domain adını girdiniz — ama işlem başlamıyor ya da "domain transfere kapalı" hatası alıyorsunuz. Bu engelin arkasında çoğunlukla iki farklı kilit mekanizması yatıyor: registrar lock ve auth kodu eksikliği. İkisi birbirinden bağımsız kontroller olduğundan birini çözmek diğerini otomatik olarak çözmez. Transfer öncesinde her ikisinin de hazır olduğunu teyit etmek, sürecin sorunsuz ilerlemesini sağlar.
Domain transfer süreci teknik açıdan bakıldığında kayıt otoritesinin (registry) ve eski registrar'ın birden fazla güvenlik katmanını zorunlu kıldığı bir prosedürdür. Bu katmanlar, domain sahipliğinin kazayla ya da yetkisiz biçimde değişmesini engeller. Güvenlik açısından değerli olan aynı mekanizmalar, transfer planlandığında bilinçli biçimde devre dışı bırakılmalıdır. Bu, sistemi atlatmak değil; sistemin öngördüğü doğru kullanım akışıdır.
Aşağıda hangi kilitlerin ne anlama geldiği, her birinin nasıl kaldırıldığı, auth kodunun nasıl alındığı ve transfer penceresi boyunca nelere dikkat edilmesi gerektiği ele alınıyor. Hangi registrar'ı kullandığınızdan bağımsız olarak geçerli olan bu adımlar, transferin teknik hazırlık sürecini kapsar.
Transfer önündeki iki farklı kilit engeli
Domain transferlerini engelleyen iki farklı kilit türü birbiriyle karıştırılır: registrar lock (clientTransferProhibited) ve 60 günlük transfer kilidi. Her birinin kaynağı, işlevi ve kaldırılma yöntemi farklıdır.
Registrar lock, domain sahibinin ya da registrar'ın aktif olarak etkinleştirdiği bir koruma katmanıdır. WHOIS çıktısında clientTransferProhibited statüsü olarak görünür. Bu kilit açıkken EPP protokolü transferi reddeder; alıcı registrar talebi iletse de kayıt otoritesi işlemi onaylamaz. Registrar lock mekanizmasının ayrıntılarına bakıldığında, bu kilidi kaldırmanın yalnızca mevcut registrar üzerinden yapılabildiği görülür; alıcı registrar'dan değil, gönderen registrar'ın panelinden işlem yapılması gerekir.
60 günlük kilit ise farklı bir kısıtlamadır. ICANN politikası gereği, domain kaydedildikten ya da sahiplik bilgisi (registrant) değiştirildikten sonraki 60 gün boyunca transfer engellidir. Bu kural registrar'dan değil doğrudan ICANN'dan gelir ve registrar panelinden kaldırılamaz; sürenin dolması beklenir. 60 günlük kilidin aktif olup olmadığını anlamanın en hızlı yolu WHOIS sorgusudur:
; Domain statüsünü sorgula:
whois example.com | grep -i status
; Örnek çıktılar:
; clientTransferProhibited → registrar lock aktif
; serverTransferProhibited → registry düzeyinde kilit (60 gün veya fraud koruma)
; addPeriod → yeni kaydedilmiş, 60 gün içindeserverTransferProhibited statüsü registrar panelinden kaldırılamaz; bu, registry düzeyinde uygulanan bir kısıtlamadır. 60 günlük sürenin dolması ya da istisnai durumlarda registry ile doğrudan iletişim gerekir. Domain'in kaydedilme tarihini ve son registrant değişikliği tarihini WHOIS veya RDAP üzerinden kontrol ederek 60 günlük pencerenin geçip geçmediğini doğrulayabilirsiniz.
Auth kodu (EPP kodu): nedir, geçerlilik süresi ve alım yöntemi
Auth kodu — authorization code, EPP auth code veya transfer kodu olarak da bilinir — domain transferini başlatmak için alıcı registrar'a iletilmesi gereken tek kullanımlık bir şifredir. Kilitlerin kaldırılmasından bağımsız bir gereksinimdir: kilit açık olsa bile auth kodu olmadan transfer başlamaz.
Auth kodu mevcut registrar tarafından üretilir ve yalnızca domain sahibi hesabı üzerinden talep edilebilir. Çoğu registrar bu kodu panel üzerinden anında sunar; bazıları domain'in WHOIS'te kayıtlı e-posta adresine gönderir. Kod rastgele bir karakter dizisidir, genellikle 8-16 karakter uzunluğundadır ve büyük/küçük harf ile rakam içerir.
; Tipik EPP auth kodu biçimi:
aB3$kL9mXw2#
; Bazı registrar'lar daha uzun kodlar üretir:
Xk92#mBvL0$nQr47Auth kodunun geçerlilik süresi registrar'dan registrar'a farklılık gösterir. Bazı registrar'lar kodu 24 saat, bazıları 7 gün, bazıları ise 30 güne kadar geçerli tutar. Kod süresi dolduktan sonra yeni bir kod talep etmek gerekir; alıcı registrar transfer formuna girilen kod geçersizse genellikle "invalid auth code" hatası döner. Bu nedenle kodu aldıktan sonra transferi mümkün olan en kısa sürede başlatmak, süre aşımı kaynaklı tekrar işlemlerini önler.
Auth kodu e-posta ile iletiliyorsa domain'in WHOIS'te kayıtlı e-posta adresine gönderilir. Bu adresin aktif ve erişilebilir olması kritiktir. Registrant e-posta adresi güncel değilse önce bu bilgiyi güncellemek, ardından auth kodu talep etmek gerekir — ancak bu güncelleme 60 günlük kilidi tetikleyebileceğinden dikkatli değerlendirmek gerekir. Alan adı sorgulama ile mevcut WHOIS kaydındaki iletişim bilgilerini önceden kontrol etmek, süpriz engellerle karşılaşmamayı sağlar.
Kilit kaldırma ve auth kodu isteme: sıralama ve zamanlama
Registrar lock kaldırma ve auth kodu alma işlemleri çoğu registrar panelinde birbirinden bağımsız adımlardır; ancak bazı registrar'lar auth kodu talebini yalnızca kilit kaldırıldıktan sonra etkinleştirir. Bu nedenle önerilen sıralama şöyledir: önce 60 günlük kilidin aktif olmadığını doğrula, ardından registrar lock kaldır, son olarak auth kodunu talep et.
1. WHOIS sorgula → serverTransferProhibited var mı?
Varsa: 60 gün bekle veya tarihi hesapla
2. Registrar paneli → Domain Kilidi / Transfer Lock → Kapat
3. WHOIS tekrar sorgula → clientTransferProhibited kalktı mı?
(Değişiklik birkaç dakika ile 1 saat arasında yayılabilir)
4. Registrar paneli → Auth Kodu / EPP Kodu → Talep et / Görüntüle
5. Alıcı registrar → Transfer başlat → Auth kodu girRegistrar lock kaldırıldıktan sonra WHOIS çıktısının güncellenmesi anlık gerçekleşmeyebilir. Bazı registrar'lar WHOIS'i hemen günceller; bazılarında birkaç saat gecikme görülebilir. Alıcı registrar'ın transfer başlatma ekranı bazen WHOIS'i gerçek zamanlı sorgulamak yerine kendi önbelleklenmiş verisini kullanır; bu nedenle WHOIS henüz güncellenmiş görünmese de transfer talebi başarılı olabilir. WHOIS güncellemesi transfer onayının değil, WHOIS veritabanı yayılımının bir fonksiyonudur.
Kilit kaldırma ile transfer başlatma arasında geçen süreyi mümkün olduğunca kısa tutmak güvenlik açısından tercih edilen yaklaşımdır. Kilit açık kaldığı her an domain yetkisiz transfer girişimlerine karşı daha savunmasız olur — her ne kadar auth kodu olmadan transfer başlaması teknik olarak mümkün olmasa da.
Transfer penceresi: kilit açıkken dikkat edilmesi gerekenler
Transfer başlatıldıktan sonra eski registrar, domain sahibine onay bildirimi gönderir. Çoğu registrar bu aşamada e-posta ile onay ister; onay verilirse transfer hızlanır, reddedilirse iptal edilir, beş gün içinde yanıt verilmezse transfer otomatik onaylanır. Bu beş günlük pencere ICANN'ın belirlediği standarttır.
Transfer onay e-postası, domain'in WHOIS'teki registrant e-posta adresine gönderilir. Bu adresin transferden önce erişilebilir olduğunu doğrulamak kritiktir. Onay e-postası yanıtsız kalırsa beş gün sonra transfer otomatik tamamlanır; ancak istem dışı bir transfer girişimi söz konusuysa bu pencereyi izlemek ve gerekirse reddetmek için bu adresin aktif olması şarttır.
Transfer süreci boyunca domain'in DNS hizmeti kesintisiz devam eder. Nameserver bilgisi transfer tamamlanana kadar değişmez; DNS propagasyonu gerektiren asıl değişiklik transfer sonrasında nameserver güncelleniyor ise o zaman başlar. Transfer onayı ve tamamlanması aşamasında siteye veya e-postaya erişim kesintisi yaşanmaz; endişe, DNS değil sahiplik kaydının hangi registrar'da tutulduğuyla ilgilidir.
Bazı durumlarda alıcı registrar transfer onayını kendi tarafında da ister. İki taraflı onay gerektiren bu yapılarda hem eski registrar'dan hem alıcı registrar'dan gelen bildirimleri takip etmek gerekir. Transfer tamamlandıktan sonra alıcı registrar'dan tescil onay e-postası gelir ve yeni registrar'ın panelinden domain'in listelendiğini teyit etmek, sürecin sorunsuz kapandığını doğrular.
Kilidi açmanın güvenlik boyutu ve ne zaman kapatılmalı
Registrar lock, domain kaçırma (domain hijacking) saldırılarına karşı en etkili birinci savunma hattıdır. Sosyal mühendislik ile registrar destek ekibini manipüle ederek transfer başlatmaya çalışan saldırılar, lock aktifken EPP protokolü düzeyinde reddedilir. Auth kodu ayrı bir katman sağlasa da lock'un olmadığı bir yapıda saldırganın yalnızca auth koduna ihtiyacı kalır. İki katmanlı koruma, her ikisini birlikte aşmayı önemli ölçüde zorlaştırır.
Bu nedenle kilidi açık bırakmak gereken minimum süreyle sınırlı tutulmalıdır. Transfer başlatıldıktan sonra eski registrar kilidi çoğunlukla otomatik kilitler; bazı registrar'lar transfer tamamlanana kadar manual kilit eklenmesine izin vermez. Transfer iptal edilirse ya da reddedilirse kilidi derhal yeniden etkinleştirmek standart pratik olmalıdır.
Aktif olarak kullanılan ve değerli domainler için serverDeleteProhibited ve serverUpdateProhibited statüslerinin de WHOIS'te görünüp görünmediğini kontrol etmek faydalıdır. Bu statüsler registry düzeyinde ek koruma katmanlarını temsil eder; yanlışlıkla ya da yetkisiz biçimde silinmeyi veya güncellemeyi engeller. Bunlar transferi doğrudan engellemez ama kapsamlı bir domain güvenlik politikasının parçasıdır.
Domain süresi ile transfer hazırlığı arasındaki ilişkiyi de gözetmek gerekir. Transferden önce domain'in yenileme tarihini kontrol etmek, süreç içinde sürenin dolmasını ve dolayısıyla olası grace period karmaşasını önler. Bazı registrar'lar transferi yenileme olarak saymaz; alıcı registrar'ın transfer sonrası sona erme politikasını önceden öğrenmek, transferin ardından beklenmedik yenileme maliyetiyle karşılaşmayı engeller.
Transferin bekleme süresi dışında takılıp kalması çoğunlukla tek bir gözden kaçmadan kaynaklanır — kilit açılmamış, 60 günlük pencere beklenmemiş ya da auth kodu süresi dolmuş. Bu adımlar eksiksizse işlem mekanik olarak ilerler. Transfer penceresinde gelen onay e-postasını izlemek ve yeni registrar'da domain'i teyit etmek, sürecin beklediğiniz şekilde kapandığını doğrular. Kilidi transfer bittikten sonra derhal yeniden etkinleştirmek ise sonraki adımdır.