SSL Sertifikası nedir? Web Sitesi Güvenliği İçin Temel Bilgiler ve Kapsamlı Yapılandırma Kılavuzu

2 dakika okuma.
2026-04-25
2,008
Aşağıdaki bağlantılar üzerinden alışveriş yaptığınızda, sizin için ek bir maliyet olmadan komisyon kazanıyorum.

Günümüz internet ortamında, web sitesi güvenliği güven inşasının temel taşıdır. Bir web sitesine tarayıcınızdan eriştiğinizde, adres çubuğunun sol tarafında gösterilen “küçük kilit” simgesi, SSL sertifikasının işlevini yerine getirdiğini gösterir. Bu simge sadece web sitesi güvenliğinin bir sembolü değil; aynı zamanda kullanıcıların tarayıcısı ile web sitesi sunucusu arasındaki verilerin şifreli olarak aktarılmasını sağlayan bir teknoloji sistemidir.

SSL sertifikasının temel işlevi, güvenli bir şifreleme kanalı oluşturmaktır. Kullanıcılar giriş bilgilerini, ödeme şifrelerini veya herhangi bir kişisel veriyi gönderdiğinde, SSL sertifikası koruması olmadan bu bilgiler ağ üzerinde açık metin olarak iletilir ve kolayca üçüncü şahıslar tarafından engellenebilir veya çalınabilir. SSL sertifikası kullanıldığında ise tüm veri alışverişleri yüksek seviyede şifrelenir; veri paketleri ele geçirilse bile saldırganlar orijinal içeriği çözemezler. Bu sayede bilgilerin gizliliği ve bütünlüğü sağlanır.

SSL sertifikasının temel çalışma prensibi

SSL sertifikalarının çalışması, hassas bir asimetrik ve simetrik şifreleme kombinasyonuna dayanan bir teknik süreçe bağlıdır ve bu süreç genellikle “SSL el sıkışması” (SSL handshake) olarak adlandırılır.

Tavsiye edilen okuma SSL Sertifikası Nedir? Kapsamlı Bir Başlangıç Rehberi, Türleri ve Kurulum Talimatları

Asimetrik şifreleme, güven oluşturur.

Kullanıcılar, HTTPS protokolü ile korunan bir web sitesini ilk kez ziyaret ettiklerinde, sunucu SSL sertifikasını kullanıcının tarayıcısına gönderir. Bu sertifika, sunucunun kamusal anahtarını ve güvenilir bir sertifika veren kuruluş (CA) tarafından imzalanmış dijital bir imzayı içerir. Tarayıcı, sertifikanın veren kuruluşun kendi güven listesinde olup olmadığını kontrol eder ve sertifikanın geçerliliğini ile alan adının eşleşip eşleşmediğini doğrular. Bu işlem, sonraki iletişimler için kullanılacak bir “oturum anahtarı”nın güvenli bir şekilde değiş tokuş edilmesini sağlamak amacıyla asimetrik şifreleme algoritmaları (örneğin RSA, ECC) kullanır.

Bluehost SSL sertifikası.
Bluehost SSL sertifikası.
BlueHost SSL sertifikaları, 1-2 yıllık uzatma süresi seçenekleri sunar, RSA veya ECC algoritmalarını destekler, 4096 bit'e kadar anahtar uzunluğu sağlar ve 1,75 milyon ABD dolarına kadar garanti tutarı sunar.
Aylık $7,49 USD'den başlayan fiyatlarla.
Bluehost SSL sertifikasına erişin →
hosting.com SSL sertifikası.
hosting.com SSL sertifikası.
Uygun fiyatlı DV, OV, EV SSL sertifikaları, en yüksek 256 bit şifreleme, 5 milyon ila 100 milyon ABD doları tutarında garanti ve 7/24 destek.
Aylık $2.5 USD'den başlayan fiyatlarla.
Hosting.com SSL sertifikasına erişin. →

Simetrik şifreleme, verimliliği garanti eder.

Kimlik doğrulaması başarılı olduktan sonra, tarayıcı rastgele bir “oturum anahtarı” oluşturur ve bu anahtarı sunucunun kamusal anahtarı ile şifreleyerek sunucuya gönderir. Sunucu, kendi sahip olduğu özel anahtar ile bu anahtarı çözerek oturum anahtarını elde eder. Bundan sonra, taraflar arasındaki iletişim, bu paylaşılan oturum anahtarı kullanılarak hızlı ve simetrik şifreleme (örneğin AES algoritması) yoluyla gerçekleşir. Bu yöntem, hem başlangıçtaki anahtar değişiminin güvenliğini sağlar hem de büyük ölçekli veri şifreleme ve iletiminin verimliliğini artırır.

SSL sertifikalarının ana tipleri ve seçimi.

Doğrulama seviyesine ve uygulama senaryolarına göre, SSL sertifikaları esas olarak üç türe ayrılır ve farklı ihtiyaçlara sahip web sitelerine güvenlik çözümleri sunar.

Domain doğrulama sertifikası.

DV sertifikaları, en hızlı ve en düşük maliyetli sertifika türleridir. CA (Certification Authority – Sertifika Yetkilisi), başvuru sahibinin alan adına sahip olduğunu yalnızca belirli DNS kayıtlarını çözümleyerek veya doğrulama e-postalarını alarak doğrular. Web sitelerine temel şifreleme özellikleri sağlar; ancak sertifikada şirket bilgileri yer almaz. Bu nedenle, kişisel bloglar, test ortamları veya kurumsal kimliğin gösterilmesine gerek olmayan iç sistemler için çok uygundur.

Kuruluş doğrulama sertifikası.

OV sertifikaları, DV (Domain Validation) temelinde, başvuru yapan kuruluşun gerçekliğine yönelik daha sıkı incelemeler ekler. CA (Certificate Authority), şirketin ticari kayıt bilgilerini, gerçek işletme adresini ve telefon numarasını doğrular. İnceleme başarılı olduktan sonra, sertifikada doğrulanmış şirket adı yer alır. Bu durum, kullanıcı güvenini önemli ölçüde artırır ve kurumsal web siteleri, e-ticaret platformları gibi gerçek bir kimlik göstermesi gereken ticari web siteleri için uygundur.

Tavsiye edilen okuma SSL Sertifikası nedir? Web sitenizin güvenliğini sağlamanıza yardımcı olacak kapsamlı bir rehber.

Genişletilmiş doğrulama sertifikası.

EV sertifikaları, en sıkı doğrulama süreçlerinden geçen ve en yüksek güvenlik seviyesine sahip sertifikalardır. CA (Certificate Authority – Sertifika Yetkilisi), sadece OV (Organizational Validation – Kurumsal Doğrulama) seviyesindeki kuruluşların doğrulanmasını yapmakla kalmaz; aynı zamanda daha kapsamlı bir inceleme de gerçekleştirir. EV sertifikası kullanılan web siteleri, çoğu popüler tarayıcının adres çubuğunda sadece kilit işaretiyle değil, aynı zamanda yeşil renkteki şirket adıyla da gösterilir; bu da en yüksek seviyede güvenin bir göstergesidir. Finans, sigorta, büyük e-ticaret gibi güven gereksinimlerinin çok yüksek olduğu sektörler genellikle bu tür sertifikaları tercih eder.

Bir web sitesi için SSL sertifikası nasıl alınır ve yüklenir?

Bir web sitesi için HTTPS’yi etkinleştirmek sistematik bir süreçtir ve başvurudan yapılandırmaya kadar birçok kritik adım içerir.

İlk adım: Sertifika imza isteği oluşturun.

Web sunucunuzda bir CSR (Certificate Signing Request) dosyası oluşturmanız gerekiyor. Bu işlem sırasında bir çift anahtar oluşturulur: Bir özel anahtar, sunucuda güvenli bir şekilde saklanmalı ve kesinlikle dışarı sızdırılmamalıdır; diğer anahtar ise sunucunuzun bilgilerini ve genel anahtarı içeren CSR dosyasıdır. CSR dosyasında, korumak istediğiniz alan adı, kuruluş adı gibi bilgiler bulunur ve bu bilgiler, bir Sertifika Yetkilisi’nden (CA – Certificate Authority) sertifika talep etmek için kullanılır.

UltaHost SSL sertifikası.
DV, EV, OV sertifikaları, en fazla $1, 750.000 ABD doları teminat tutarını destekler, sınırsız alt alan adını destekler, iOS ve Android uygulamalarını destekler ve 20%'den başlayan aylık $15,95 ABD doları fiyatla 30 günlük para iade garantisi sunar.

İkinci Adım: Başvuruyu ve Doğrulamayı CA’ya Gönderin

Güvenilir bir sertifika yetkilendirme kuruluşu seçin, CSR (Certificate Signing Request) dosyanızı gönderin ve başvurduğunuz sertifika türüne göre ilgili doğrulama sürecini tamamlayın. DV (Domain Validation) sertifikaları için doğrulama genellikle otomatiktir ve birkaç dakika ila birkaç saat içinde tamamlanır. OV/EV (Organizational Validation/Extended Validation) sertifikaları için ise manuel inceleme gereklidir ve bu süreç birkaç günden birkaç haftaya kadar sürebilir.

Üçüncü adım: Sertifika yüklemek ve yapılandırmak.

CA (Certificate Authority) incelemesi onaylandıktan sonra, verilen SSL sertifika dosyası (genellikle `.crt` veya `.pem` uzantılı) size gönderilir. Bu dosyayı daha önce oluşturduğunuz özel anahtarla birlikte sunucuya yüklemeniz gerekir. Daha sonra, web sunucu yazılımında (örneğin Nginx veya Apache’de) sertifika ve özel anahtarın yollarını belirleyin ve HTTP isteklerinin HTTPS’ye yönlendirilmesini sağlayın; böylece tüm trafiğin güvenli bir bağlantı üzerinden iletilmesi garanti altına alınır.

İleri Düzey Yapılandırmalar ve En İyi Uygulamalar

Sadece sertifikayı yüklemek her şeyin yolunda olduğu anlamına gelmez; gerçekten sağlam bir güvenlik savunması oluşturmak için güvenlik en iyi uygulamalarına uyulmalıdır.

Tavsiye edilen okuma SSL Sertifikası Kullanım Kılavuzu: Başlangıçtan Uzmanlığa, Web Sitelerinin Güvenliğini Kapsamlı Bir Şekilde Koruma

HTTP Strict Transport Security’yi etkinleştirin.

HSTS (HTTP Strict Security Transport), son derece önemli bir güvenlik politikasıdır. Sunucunun yanıt başlıklarında HSTS ayarları belirtilerek, tarayıcılara belirli bir süre boyunca (örneğin bir yıl) söz konusu alan adıyla bağlantı kurarken her zaman HTTPS kullanmaları gerektiği bildirilir. Bu sayede SSL çıkarma (SSL stripping) saldırıları etkili bir şekilde önlenir; kullanıcılar manuel olarak http:// adresini girse veya güvenli olmayan bir bağlantıya tıklasa bile, tarayıcı otomatik olarak https:// adresine yönlendirilir.

Düzenli güncellemeler ve anahtar döngüsü (key rotation)

SSL sertifikalarının belirli bir geçerlilik süresi vardır ve genellikle bu süre bir yıldır. Sertifikanın süresi dolmadan önce yenilenmesi ve değiştirilmesi gerekmektedir; aksi takdirde web sitesinde güvenlik uyarıları görünecek ve kullanıcılar siteye erişemeyecektir. Ayrıca, özel anahtarların düzenli olarak değiştirilmesi de iyi bir güvenlik alışkanlığıdır; bu sayede uzun süreli kullanımdan kaynaklanan özel anahtar sızıntı riskleri azaltılabilir.

Güçlü şifreleme paketleri ve protokolleri kullanın.

Güvenli olmadığı kanıtlanmış eski protokoller, örneğin SSL 2.0 ve SSL 3.0, devre dışı bırakılmalıdır; hatta TLS 1.0 ve TLS 1.1 de kademeli olarak kullanımdan kaldırılmalıdır. Sunucu yapılandırmalarında öncelikle TLS 1.2 ve TLS 1.3 etkinleştirilmeli ve güçlü şifreleme algoritmaları kullanılmalıdır. Bu sayede şifreli iletişimin gücü, modern bilgi işlem yeteneklerinin oluşturabileceği saldırılara karşı yeterli olacaktır.

Özetle.

SSL sertifikaları, başlangıçta isteğe bağlı bir gelişmiş özellik iken, günümüzde modern web sitelerinin vazgeçilmez bir temel bileşeni haline gelmiştir. Verilerin şifrelenmesi ve sunucu kimliğinin doğrulanması yoluyla, kullanıcılar ile web sitesi sahipleri arasında güvenilir bir bağlantı kurar. SSL sertifikalarının çalışma prensiplerini anlamak, web sitenizin özelliklerine göre uygun sertifika türünü seçmek ve süreci titizlikle izleyerek sertifikayı kurup sonrasında düzenli olarak bakımını yapmak, her web sitesi operatörü ve geliştiricisinin alması gereken temel bilgilerdir.

Günümüzde siber güvenlik tehditlerinin giderek karmaşıklaştığı bir dönemde, SSL sertifikalarını doğru bir şekilde yapılandırmak ve bakımını yapmak, sadece kullanıcı gizliliği ve verilerine karşı sorumlu olmak anlamına gelmekle kalmaz; aynı zamanda web sitelerinin profesyonelliğini artırmak, arama motorlarının ilgisini çekmek ve böylece rekabet avantajı elde etmek için de kritik bir adımdır. HTTPS’nin kullanımı, artık sadece bir teknik seçenek olmaktan çıkıp temel bir iş ve etik sorumluluğa dönüşmüştür.

Sıkça Sorulan Sorular.

SSL sertifikasının dağıtılması, web sitesinin erişim hızını etkiler mi?

Evet, ancak etkisi çok azdır ve faydalar zararlardan çok daha fazladır. SSL el sıkışma (handshake) ve şifreleme/şifre çözme işlemleri çok küçük bir hesaplama yükü ve gecikme oluşturur; genellikle sadece birkaç on ila birkaç yüz milisaniyedir. TLS protokolünün optimizasyonları, daha hızlı donanım desteği ve HTTP/2 gibi yeni teknolojilerin yaygınlaşması sayesinde, bu gecikme kullanıcı deneyimi açısından neredeyse fark edilmez hale gelmiştir. Ancak sağladığı güvenlik artışı ve güven oluşturma değeri, bu küçük performans maliyetinin çok ötesindedir.

Ücretsiz SSL sertifikaları ile ücretli SSL sertifikaları arasındaki temel farklar nelerdir?

主要区别在于验证级别、功能支持、售后保障和保险赔付。免费证书(如Let‘s Encrypt颁发)大多是DV证书,提供基础的加密功能,非常适合个人或小型项目。付费证书则提供OV和EV级别的验证,能展示企业身份;通常提供更长的有效期选项、更全面的技术支持,以及当因证书问题导致数据泄露时提供的经济赔偿保险,这对于商业网站至关重要。

Eğer web sitem tamamen statik içerikler sunuyorsa, SSL sertifikasına ihtiyacım var mı?

Evet, gereklidir. Öncelikle, arama motorları HTTPS’yi sıralamada olumlu bir faktör olarak görmektedir; HTTPS kullanmak, web sitelerinin arama sonuçlarındaki görünürlüğünü artırmaya yardımcı olur. İkincisi, Chrome, Firefox gibi modern tarayıcılar tüm HTTP sayfalarını “güvensiz” olarak işaretler ve bu, kullanıcıların web sitesine olan güvenini ciddi şekilde etkileyebilir; bu da ziyaretçilerin siteden hemen ayrılmasına neden olabilir. Son olarak, statik siteler bile formlar veya üçüncü parti araçlar aracılığıyla veri aktarabilir ve HTTPS, kapsamlı bir koruma sağlar.

SSL/TLS sertifikası süresi dolduğunda ne gibi sonuçlar olur?

SSL sertifikasının süresinin dolması felaketle sonuçlanabilir. Bu web sitesini ziyaret eden tüm kullanıcılar, tarayıcılarında “Güvenli Değil” veya “Bağlantı Güvenli Değil” uyarıları görecek ve web sitesi içeriğine erişemeyeceklerdir. Bu durum, web sitesi trafiğinde keskin bir düşüşe, kullanıcı kaybına ve marka itibarının ciddi şekilde zarar görmesine neden olacaktır. Bu nedenle, sertifikanın süresi dolmadan önce güncellenmesini sağlamak için hatırlatıcılar ayarlanmalı veya otomatik yenileme araçları kullanılmalıdır.