SSL Sertifikaları: Temelden ileri seviyeye kadar, ilkelerin, tiplerin ve dağıtım kılavuzlarının kapsamlı bir açıklaması.

2 dakika okuma.
2026-03-19
2,685
Aşağıdaki bağlantılar üzerinden alışveriş yaptığınızda, sizin için ek bir maliyet olmadan komisyon kazanıyorum.

SSL sertifikasının temel ilkeleri

Dijital dünyada, SSL sertifikaları güvenin kurulmasının temel taşıdır. Esasen X.509 standardına uygun bir dijital dosyadır ve bir web sitesinin kimlik bilgilerini bir çift şifreleme anahtarı (genel anahtar ve özel anahtar) ile birleştirir. Çalışma prensibi asimetrik şifreleme ve dijital imza teknolojilerine dayanır ve şu üç temel amacı gerçekleştirmeyi hedefler: şifreleme, doğrulama ve bütünlük.

Kullanıcılar, SSL sertifikası bulunan bir web sitesine HTTPS yoluyla eriştiğinde “SSL/TLS el sıkışması” (SSL/TLS handshake) adı verilen bir süreç başlatılır. Bu süreç milisaniye düzeyinde tamamlanır ve kullanıcı tarafından neredeyse hiç fark edilmez; ancak bunun arkasında bir dizi karmaşık kriptografi işlemi yatmaktadır.

HTTPS ve SSL/TLS El Sıkışma Süreci

El sıkma (handshake) işlemi, SSL/TLS protokolünün temelini oluşturur. Bu işlem, istemci (örneğin bir tarayıcı) tarafından sunucuya bağlantı isteği gönderilmesiyle başlar. Sunucu, ardından SSL sertifikasını istemciye gönderir. İstemci (genellikle güvenilir kök sertifika listelerine sahiptir) bu sertifikanın veren kuruluşun güvenilir olup olmadığını, sertifikanın geçerlilik süresi içinde olup olmadığını ve alan adının eşleşip eşleşmediğini doğrular.

Tavsiye edilen okuma SSL Sertifikalarının Kapsamlı Analizi: Prensip, Türler, Başvuru ve Dağıtım Rehberi

Doğrulama işlemi tamamlandıktan sonra, istemci sertifikada bulunan sunucu anahtarını kullanarak rastgele bir “ön anahtar” oluşturur ve bu ön anahtarı sunucuya gönderir. Yalnızca ilgili özel anahtara sahip sunucu bu ön anahtarı şifreleyebilir. Daha sonra, taraflar bu ön anahtar kullanarak bir dizi algoritma aracılığıyla anlaşarak aynı “oturum anahtarı”nı oluştururlar. Böylece “el sıkışma” (handshake) işlemi tamamlanmış olur ve sonraki tüm iletişim verileri, iletim sürecinin gizliliğini sağlamak için bu verimli simetrik “oturum anahtarı” ile şifrelenir ve şifrelenir.

Bluehost SSL sertifikası.
Bluehost SSL sertifikası.
BlueHost SSL sertifikaları, 1-2 yıllık uzatma süresi seçenekleri sunar, RSA veya ECC algoritmalarını destekler, 4096 bit'e kadar anahtar uzunluğu sağlar ve 1,75 milyon ABD dolarına kadar garanti tutarı sunar.
Aylık $7,49 USD'den başlayan fiyatlarla.
Bluehost SSL sertifikasına erişin →
hosting.com SSL sertifikası.
hosting.com SSL sertifikası.
Uygun fiyatlı DV, OV, EV SSL sertifikaları, en yüksek 256 bit şifreleme, 5 milyon ila 100 milyon ABD doları tutarında garanti ve 7/24 destek.
Aylık $2.5 USD'den başlayan fiyatlarla.
Hosting.com SSL sertifikasına erişin. →

Halka açık anahtar, özel anahtar ve dijital imzaların işlevleri.

Açık anahtar ve özel anahtar, birbirleriyle eşleşen asimetrik anahtarlardır. Açık anahtar herkese açık olabilir ve verileri şifrelemek ile imzaları doğrulamak için kullanılır; özel anahtar ise sunucu tarafından gizli tutulmalı ve verileri çözmek ile imzalar oluşturmak için kullanılmalıdır. SSL sertifikalarının temel işlevlerinden biri, sunucunun açık anahtarını kimliğiyle (alan adı, kuruluş bilgileri) güvenilir bir şekilde bağlamaktır.

Dijital imza teknolojisi, sertifikanın kendisinin gerçekliğini garanti eder. Sertifika veren kuruluş (CA – Certificate Authority), sertifika yayınlarken kendi özel anahtarını kullanarak sertifika içeriğini (sunucunun genel anahtarı, alan adı gibi bilgileri içerir) hashleme işlemine tabi tutar ve şifreler; böylece dijital bir imza oluşturulur. Tarayıcılar, içeride bulunan CA’nın genel anahtarını kullanarak bu imzayı doğrular ve böylece sertifikanın gerçekten güvenilir bir CA tarafından yayınlandığından ve içeriğin iletim sırasında değiştirilmediğinden emin olurlar. Bu durum, tüm güven zincirinin temelini oluşturur.

SSL sertifikalarının ana tipleri ve seçimi.

Piyasadaki çeşitli SSL sertifikaları arasından doğru seçimi yapmanın anahtarı, bu sertifikaların farklı türlerini anlamaktır. Sertifikalar esas olarak doğrulama seviyesi ve korunan alan adı sayısı olmak üzere iki kritere göre sınıflandırılır.

Doğrulama seviyelerine göre sınıflandırma: DV, OV, EV

Alan adı doğrulamalı sertifikalar, en temel sertifika türlerindendir. Sertifika yetkilendirme kuruluşu (CA), başvuru sahibinin alan adı üzerindeki kontrol hakkını doğrular (genellikle alan adının DNS kayıtlarına belirli bir giriş yaparak veya doğrulama e-postası alarak). İmza süreci hızlıdır ve maliyeti düşüktür; ancak sertifikada yalnızca alan adı bilgileri yer alır. Bireysel web siteleri, bloglar veya test ortamları için uygundur.

Tavsiye edilen okuma İnternet dünyasında, verilerin güvenli bir şekilde aktarılması, kullanıcıların güvenini oluşturmanın temel taşıdır. SSL sertifikası

Organizasyon doğrulamalı sertifikalar, DV (Domain Validation) doğrulamasının yanı sıra, başvuru sahibi olan kuruluşların (örneğin şirketler, hükümet kurumları) gerçekliği ve yasallığı konusunda daha sıkı incelemeler yapar. Sertifika veren kuruluşlar (CA – Certificate Authorities), ticari kayıtlar, telefon numaraları gibi bilgileri kontrol eder. OV sertifikaları, doğrulanmış kuruluş adlarını içerir ve kullanıcılara daha güvenilir bir kurumsal kimlik sunar; bu nedenle ticari web siteleri ve kurumsal uygulamalar için uygundur.

Güçlendirilmiş doğrulama tipi sertifikalar, en sıkı doğrulama süreçlerine ve en yüksek güvenlik seviyelerine sahip sertifikalardır. CA (Certificate Authority – Sertifika Yetkilisi), sadece OV (Organizational Validation – Kurumsal Doğrulama) seviyesindeki tüm incelemeleri tamamlamakla kalmaz; aynı zamanda daha kapsamlı manuel kontroller de gerçekleştirir. Bu sertifikaların en belirgin özelliği, EV (Extended Validation – Genişletilmiş Doğrulama) sertifikalarını destekleyen tarayıcılarda, web sitesine erişildiğinde adres çubuğunda şirket adının doğrudan yeşil renkte görünmesidir; bu da kullanıcı güvenini büyük ölçüde artırır. Genellikle finans kuruluşları, büyük e-ticaret platformları gibi itibar açısından çok yüksek gereksinimleri olan web siteleri tarafından tercih edilirler.

Kapsanan alan adlarına göre sınıflandırma: Tek alan adı, Çok alan adı, Jenerik karakter (*).

Adından da anlaşılacağı gibi, tek alan adı sertifikası yalnızca bir tam olarak tanımlanmış alan adını korur (örneğin…). www.example.comexample.comGenellikle, hem www’li hem de www’süz aynı ana alan adını ücretsiz olarak koruyabilir.

UltaHost SSL sertifikası.
DV, EV, OV sertifikaları, en fazla $1, 750.000 ABD doları teminat tutarını destekler, sınırsız alt alan adını destekler, iOS ve Android uygulamalarını destekler ve 20%'den başlayan aylık $15,95 ABD doları fiyatla 30 günlük para iade garantisi sunar.

Çok alan adlı sertifikalar, tek bir sertifika içinde birden fazla tamamen farklı alan adını eklemeye ve korumaya olanak tanır (örneğin…). example.comshop.example.netblog.example.orgBunun yönetimi gerçekten çok kolay.

Jenerik karakter içeren sertifikalar, bir ana alan adını ve tüm aynı seviyedeki alt alan adlarını korumak için kullanılır. Örneğin, *.example.com Verilen jenerik (wildcard) sertifikalar, aynı anda birden fazla şeyi koruyabilir. blog.example.comshop.example.commail.example.com vb. Eğer çok sayıda alt alan adınız varsa, joker karakter içeren sertifikalar (wildcard certificates) hem maliyet açısından en uygun seçenektir hem de yönetim ve işletme kolaylığı açısından en avantajlı çözümdür.

Uygulama: SSL Sertifikasının Başvurusu ve Dağıtımı

Prensipleri ve türleri öğrendikten sonra, bir sonraki adım bunları kendi web sitenize uygulamaktır. Başvurudan yayına kadar olan süreç standartlaştırılmıştır.

Tavsiye edilen okuma SSL Sertifikalarının Derinlemesine Analizi: Prensiplerden Dağıtıma Kadar – Web Sitelerinin Güvenliğini Sağlamanın Temel Rehberi

Sertifika Başvuru Süreci ve CSR Oluşturma

Sertifika başvurusunun ilk adımı, sunucunuzda bir Sertifika İmza İsteği (Certificate Signing Request – CSR) oluşturmaktır. CSR, sunucunuzun genel anahtarını ve doldurduğunuz kurumsal bilgileri içeren bir metin dosyasıdır. CSR oluşturulurken, sunucu aynı zamanda karşılık gelen özel anahtarı da oluşturur; bu özel anahtarın mutlaka güvenli bir şekilde saklanması gerekir.

生成CSR后,您需要向选定的CA(可能是付费的全球CA如DigiCert、Sectigo,也可能是免费的如Let‘s Encrypt)提交此CSR,并根据您选择的证书类型(DV/OV/EV)完成相应的验证流程。对于DV证书,验证通常在几分钟到几小时内完成;OV和EV则需要数个工作日进行人工审核。

Farklı sunucu ortamlarında kurulum ve yapılandırma (Nginx ve Apache örnekleriyle)

CA incelemesi onaylandıktan sonra, size bir sertifika dosyası verilecektir (genellikle bir… içerir)..crt.pemBelge; muhtemelen bir ara sertifika zinciri dosyası da içermektedir. Sertifika dosyasını ve özel anahtar dosyasını web sunucu yazılımına yapılandırmanız gerekmektedir.

Nginx için yapılandırma genellikle sitenin yapılandırma dosyasını düzenlemeyi içerir. server Belirtilen blok içinde. ssl_certificate(Sertifika dosyasının yolunu) ve ssl_certificate_key“(Özel Anahtar Dosyası Yolu)” komutunu kullanın ve dinleme portunu 80’den 443’e değiştirin.

Apache için, SSL modülünü sanal sunucu ayarlarınıza yüklemeniz ve bunu kullanmanız gerekmektedir. SSLCertificateFileSSLCertificateKeyFile Komut, sertifikanın ve özel anahtarın yolunu belirtmek için kullanılır.

Yükleme ve yapılandırma işlemleri tamamlandıktan sonra, değişikliklerin etkin hale gelmesi için Web sunucusunu yeniden başlatın. Daha sonra web sitenize HTTPS protokolü kullanarak erişmelisiniz ve tarayıcınızın adres çubuğunda kilit işareti olup olmadığını kontrol edin.

Dağıtımdan sonra zorunlu HTTPS yönlendirmesi ve HSTS (HTTP Strict Security) politikası

Sadece SSL sertifikası dağıtmak yeterli değildir; tüm trafiğin şifreli olarak korunmasını sağlamak için HTTP isteklerinin zorunlu olarak HTTPS’ye yönlendirilmesi gerekir. Bu, web sunucusu yapılandırmasına basit bir yeniden yazma kuralı ekleyerek gerçekleştirilebilir.

Daha da ileri giderek, HSTS (HTTP Strict Security Transport) politikasını dağıtabilirsiniz. HSTS, özel bir HTTP yanıt başlığı aracılığıyla tarayıcılara, belirli bir süre boyunca (örneğin bir yıl) söz konusu alan adı ve alt alan adlarına yapılan tüm erişimlerin HTTPS kullanılarak yapılması gerektiğini bildirir; bu durum, girilen adresin HTTPS protokolü kullanmayan bir adres olması durumunda bile geçerlidir.http://Bu, SSL sökme (SSL stripping) saldırılarını etkili bir şekilde önler ve güvenliği artırır. HSTS (HTTP Strict Transport Security) politikası genellikle sunucu yapılandırma dosyası aracılığıyla eklenir. Strict-Transport-Security Bu, yanıt başlıkları (response headers) aracılığıyla gerçekleştirilir.

SSL Sertifikalarının Bakımı ve En İyi Uygulamaları

SSL sertifikasının dağıtılması bir kez yapıldıktan sonra her şeyin çözüldüğü anlamına gelmez; uzun vadeli güvenliği sağlamanın anahtarı, sürekli bakım ve güvenlik en iyi uygulamalarına uyulmasıdır.

Sertifika Geçerlilik Süresinin İzlenmesi ve Otomatik Yenilenmesi

SSL sertifikalarının hepsinin belirgin bir geçerlilik süresi vardır (şu anki en uzun geçerlilik süresi bir yıldır). Sertifikanın süresinin dolması, web sitesi erişimlerinin kesilmesine ve güvenlik uyarılarının alınmasına neden olan en yaygın sorunlardan biridir. Bu nedenle, etkili bir sertifika izleme ve uyarı mekanizması kurmak son derece önemlidir.

Modern operasyon ve bakım süreçleri için, özellikle DV sertifikaları söz konusu olduğunda, sertifika yaşam döngüsünü yönetmek için otomatikleştirilmiş araçların kullanılması şiddetle tavsiye edilir. Örneğin,Certbot等客户端工具,可以与Let‘s Encrypt等服务配合,实现证书的自动申请、安装和续订,彻底消除人工管理的疏漏和过期风险。

Güvenli İletim ve Özel Anahtar Yönetimi

SSL sertifikalarının güvenliğinin temeli, özel anahtarın gizliliğine dayanır. Sunucunun özel anahtarı bir kez sızdırılırsa, saldırganlar ara kişi (man-in-the-middle) saldırıları gerçekleştirerek iletilen verileri şifresiz hale getirebilirler. Bu nedenle, özel anahtar dosyasının sunucuda yalnızca yetkileri sıkı bir şekilde kısıtlanmış bir yerde saklanması ve yedekleme işleminin güvenli bir şekilde yapılması gerekmektedir.

Yapılandırmada, güvenli olmayan eski SSL/TLS sürümleri (örneğin SSL 2.0/3.0, TLS 1.0/1.1) devre dışı bırakılmalı ve tercihen TLS 1.2 veya daha yüksek sürümleri kullanılmalıdır. Aynı zamanda, sunucunun desteklediği şifreleme paketleri dikkatlice ayarlanmalı ve daha uzun vadeli güvenlik sağlamak için özellikle “ileri yönlü gizlilik” (forward secrecy) özelliğine sahip şifreleme paketleri tercih edilmelidir.

Düzenli kontroller ve güvenlik açığı taramaları

Düzenli olarak çevrimiçi araçlar (örneğin SSL Labs’ın SSL Server Test) kullanarak SSL/TLS yapılandırmanızın kapsamlı bir güvenlik değerlendirmesini ve güvenlik açığı taramasını yapın. Bu araçlar, sertifikanızın geçerli olup olmadığını, yapılandırmanızın güvenli olup olmadığını, bilinen güvenlik açıklarının (örneğin Heartbleed, POODLE vb.) bulunup bulunmadığını kontrol eder ve gerekli iyileştirmeler için ayrıntılı önerilerde bulunur. Tarama sonuçlarına göre sunucu yapılandırmanızı zamanında ayarlamak, HTTPS hizmetlerinizin en iyi güvenlik durumunda kalmasını sağlamanın etkili bir yoludur.

Özetle.

SSL sertifikaları, başlangıçta isteğe bağlı bir güvenlik özelliği iken, günümüzde modern web siteleri için vazgeçilmez bir altyapı haline gelmiştir. Şifreleme, kimlik doğrulama ve bütünlük kontrolü yoluyla kullanıcılar ile sunucular arasında güvenli ve güvenilir bir iletişim kanalı oluştururlar. SSL sertifikalarının temel prensiplerini (asimetrik şifreleme ve dijital imzaları) anlamaktan, doğrulama seviyelerine ve alan adı ihtiyaçlarına göre uygun sertifika türünü seçmeye, başvuru sürecini tamamlamaktan, sertifikaları dağıtmaya ve HTTPS ile HSTS’yi zorunlu kılmak için gerekli yapılandırmaları yapmaya kadar; ardından da izleme, otomatik yenileme ve güvenlik yapılandırma taramaları yoluyla sürekli bakımını sağlamaya kadar olan süreç, SSL sertifikalarını etkili bir şekilde kullanmanın temelini oluşturur. Bu rehberi takip ederek web siteniz için SSL sertifikalarını etkili bir şekilde dağıtabilir ve yönetebilir, böylece ağ güvenliğinizin ilk savunma hattını güçlendirebilirsiniz.

Sıkça Sorulan Sorular.

SSL sertifikaları ve TLS sertifikaları aynı şey mi?

Evet, günlük kullanımda bahsettiğimiz SSL sertifikaları aslında SSL/TLS protokolüne dayalı sertifikalardır. SSL, TLS’nin öncüsüdür ve tarihi nedenlerden dolayı “SSL sertifikası” adı yaygın olarak kullanılmaya devam etmektedir; ancak modern web siteleri daha güvenli ve güncel olan TLS protokolünü kullanmaktadır. Bu nedenle, günümüzdeki sertifikalar daha doğru bir ifadeyle “TLS sertifikası” olarak adlandırılmalıdır. Yine de sektör genelinde hâlâ “SSL sertifikası” terimi kullanılmaktadır.

免费的SSL证书(如Let‘s Encrypt)和付费证书有什么区别?

主要区别在于验证类型、功能、服务支持和有效期。Let‘s Encrypt主要提供自动化的DV证书,非常适合个人网站和大多数基础应用,有效期短(90天),需自动化续订。付费证书则提供OV、EV等更高级别的验证,提供更高的信任展示(如地址栏显示公司名)、更长的可选有效期、价值更高的保修赔付,以及专业的技术支持服务,更适合商业实体和对品牌信誉有高要求的网站。

Bir SSL sertifikası, birden fazla sunucu veya IP adresi için kullanılabilir mi?

Tabii ki, ancak bu durum sertifikanın türüne ve verilen izinlere bağlıdır. Tek alan adına, çoklu alan adına veya joker karakter içeren sertifikalar, belirli bir sunucu IP adresine veya fiziksel sunucuya bağlı değildir. Sertifikanın izin verdiği alan adı kapsamı içindeyse, aynı sertifikayı ve ilgili özel anahtarı birden fazla sunucuda kullanabilirsiniz (örneğin yük dengeleme amacıyla). Ancak, özel anahtarın birden fazla yerde dağıtılmasının güvenlik risklerine özellikle dikkat etmelisiniz. Bazı CA (Sertifika Yetkilendirme Kuruluşları)’nın lisans sözleşmelerinde sertifikanın kullanım sayısıyla ilgili kısıtlamalar bulunabilir; bu nedenle satın almadan önce sözleşmeleri dikkatlice incelemelisiniz.

SSL sertifikası dağıtıldıktan sonra, web sitesinin erişim hızı yavaşlar mı?

Erken dönemlerde, SSL/TLS el sıkışma işlemlerinin getirdiği ek hesaplama yükü nedeniyle hızda hafif bir düşüş olabiliyordu. Ancak modern sunucu donanımlarının büyük ölçüde gelişmesi ve TLS 1.3 protokolünün yaygınlaşmasıyla bu etki neredeyse hiç hissedilmez hale geldi. TLS 1.3, el sıkışma sürecini büyük ölçüde optimize ederek gidiş-dönüş sayısını azalttı ve şifreli bağlantıların daha hızlı kurulmasını sağladı. Aksine, HTTPS’yi etkinleştirdiğinizde HTTP/2 gibi modern protokoller de kullanılabilir; bu protokollerin çoklu kullanım (multiplexing) gibi özellikleri genellikle web sitelerinin yükleme performansını önemli ölçüde artırır ve genel kullanıcı deneyimini iyileştirir.