SSL sertifikalarının ayrıntılı açıklaması: türleri, çalışma prensibi ve kurulum/ayarlama rehberi

2 dakika okuma.
2026-03-11
2,789
Aşağıdaki bağlantılar üzerinden alışveriş yaptığınızda, sizin için ek bir maliyet olmadan komisyon kazanıyorum.

SSL sertifikası nedir?

SSL sertifikası, aynı zamanda TLS sertifikası olarak da adlandırılır ve internet iletişiminde kimlik doğrulaması ile veri şifrelemesi sağlamak için kullanılan dijital bir belgedir. SSL (Secure Sockets Layer – Güvenli Soket Katmanı) ve onun halefi olan TLS (Transport Layer Security – İletim Katmanı Güvenliği) protokollerine uyar ve HTTPS güvenli bağlantılarının kurulmasının temelini oluşturur. Bir kullanıcı, SSL sertifikası bulunan bir web sitesini ziyaret ettiğinde, tarayıcının adres çubuğunda kilit işareti ve “https://” ön ekibi görünür; bu da istemci ile sunucu arasındaki veri aktarımının şifrelenmiş ve kimlik doğrulanmış olduğunu gösterir.

SSL sertifikasının temel işlevleri esas olarak iki alanda kendini gösterir: Şifreleme ve kimlik doğrulama. Şifreleme özelliği, istemci (örneğin bir tarayıcı) ile sunucu arasında aktarılan hassas bilgilerin (örneğin giriş bilgileri, kredi kartı numaraları, kişisel veriler) üçüncü şahıslar tarafından dinlenmesini veya değiştirilmesini engeller. Veriler aktarım sırasında ele geçirilse bile, saldırganlar içeriğini çözemezler. Kimlik doğrulama özelliği ise ziyaretçilere web sitesinin sahibinin gerçek kimliğini kanıtlar ve onların gerçekten iddia edilen resmi web sitesini ziyaret ettiklerinden emin olur; dolandırıcılık amaçlı web siteleriyle karşılaşmazlar. Bu, güvenilir bir üçüncü taraf kuruluş olan sertifika veren kuruluşlar (Certificate Authorities – CAs) tarafından sağlanan onay aracılığıyla gerçekleştirilir.

Standart bir SSL sertifikası, sertifikanın sahibinin alan adını (veya kuruluş adını), sertifikanın verildiği kuruluşu (CA – Certificate Authority), sertifikanın geçerlilik süresini ve çok önemli bir bileşen olan açık anahtarı içerir. Açık anahtara eşleşen özel anahtar, web sitesi sunucusu tarafından gizlice saklanır ve açık anahtarla şifrelenen bilgilerin şifresinin çözülmesi için kullanılır; bu da asimetrik şifrelemenin temelini oluşturur.

Tavsiye edilen okuma SSL Sertifikası Kullanım Kılavuzu: Türler, Başvuru Süreci, Dağıtım ve Sorun Giderme Adımları

SSL sertifikalarının ana tipleri

Doğrulama seviyeleri ve kapsamlarına göre, SSL sertifikaları farklı güvenlik ve güven gereksinimlerini karşılamak için aşağıdaki türlerde sınıflandırılır:

Bluehost SSL sertifikası.
Bluehost SSL sertifikası.
BlueHost SSL sertifikaları, 1-2 yıllık uzatma süresi seçenekleri sunar, RSA veya ECC algoritmalarını destekler, 4096 bit'e kadar anahtar uzunluğu sağlar ve 1,75 milyon ABD dolarına kadar garanti tutarı sunar.
Aylık $7,49 USD'den başlayan fiyatlarla.
Bluehost SSL sertifikasına erişin →
hosting.com SSL sertifikası.
hosting.com SSL sertifikası.
Uygun fiyatlı DV, OV, EV SSL sertifikaları, en yüksek 256 bit şifreleme, 5 milyon ila 100 milyon ABD doları tutarında garanti ve 7/24 destek.
Aylık $2.5 USD'den başlayan fiyatlarla.
Hosting.com SSL sertifikasına erişin. →

Domain doğrulama sertifikası.

Alan adı doğrulamalı sertifikalar, edinme süreci en basit, hızlı ve maliyeti en düşük sertifika türüdür. Sertifika veren kuruluşlar, başvuru sahibinin belirli bir alan adı üzerindeki kontrol hakkını doğrular; bu genellikle alan adının kayıtlı olduğu e-posta adresine doğrulama e-postası göndererek veya belirli bir DNS kaydı oluşturulmasını talep ederek yapılır. Bu tür sertifikalar yalnızca alan adının sahipliğini kanıtlar ve herhangi bir şirket veya kuruluş bilgisi içermez.

DV sertifikaları, kişisel web siteleri, bloglar, test ortamları veya kurumsal kimliğin gösterilmesine gerek olmayan iç servisler için çok uygundur. En önemli avantajlarından biri, sertifikanın hızlı bir şekilde verilmesidir; genellikle birkaç dakika içinde tamamlanır. Ancak, kurumsal varlıkların doğrulanmasının eksik olması nedeniyle, yüksek düzeyde ticari güvenin gerektiği durumlarda (örneğin e-ticaret işlem sayfalarında) sağladığı güven seviyesi nispeten düşüktür.

Kuruluş doğrulama sertifikası.

Organizasyon doğrulamalı sertifikalar, DV sertifikalarına kıyasla daha yüksek bir güven seviyesi sunar. Sadece alan adı sahipliğini doğrulamakla kalmaz; aynı zamanda sertifika talep eden şirket veya kuruluşun yasal kayıt bilgilerinin (örneğin şirket adı, adresi vb.) doğruluğunu ve geçerliliğini de manuel olarak inceleyen bir CA (Sertifika Yetkilisi) tarafından denetlenir. Bu doğrulanmış kuruluş bilgileri, sertifika detaylarında görüntülenir.

OV sertifikaları, ticari web siteleri, kurumsal portallar ve kullanıcılarla resmi bir güven ilişkisi kurulması gereken platformlar için ideal bir seçenektir. Kullanıcılar tarayıcı adres çubuğundaki kilit simgesine tıklayarak sertifikayı incelediklerinde, şirketin adını açıkça görebilirler; bu da kullanıcı güvenini artırmaya ve phishing (oltalama) saldırılarına karşı riski azaltmaya yardımcı olur. Sertifikanın onay süreci genellikle birkaç iş günü sürer.

Tavsiye edilen okuma SSL Sertifikası Ayrıntılı İncelemesi: Prensiplerden Dağıtıma Kadar, Web Sitelerinin Güvenliğini Sağlamanın Vazgeçilmez Rehberi

Genişletilmiş doğrulama sertifikası.

Genişletilmiş Doğrulama Tipi sertifikalar (Extended Validation SSL Certificates), şu anki doğrulama süreçleri açısından en katı ve en yüksek güven seviyesine sahip SSL sertifika türüdür. Bu sertifikaların verilmesi, küresel olarak kabul edilen ve katı kurallara dayanmaktadır; CA (Certificate Authority) kuruluşlar, başvuran organizasyonlar hakkında hukuki, fiziksel ve operasyonel varlık açısından en kapsamlı incelemeleri yapar. En belirgin özelliği ise, EV sertifikası bulunan web sitelerinin çoğu popüler tarayıcıda adres çubuğunda doğrudan yeşil renkte şirket adının görünmesidir.

EV sertifikaları genellikle finansal kuruluşlar, büyük e-ticaret platformları, hükümet kurumları ve son derece hassas işlemler ile verileri işleyen web siteleri tarafından kullanılır. Kullanıcılara en yüksek seviyede kimlik doğrulaması sağlar ve marka otoritesi ile kullanıcı güvenini artırmada etkili bir araçtır. Başvuru süreci de en karmaşık ve en uzun süren süreçtir.

Jenerik (wildcard) sertifikalar ve çok alan adlı (multi-domain) sertifikalar

Doğrulama seviyelerinin yanı sıra, kapsadıkları alan adı sayısına göre de farklı türde sertifikalar bulunmaktadır. Jenerik (wildcard) sertifikalar, bir ana alan adını ve tüm aynı seviyedeki alt alan adlarını koruyabilir; örneğin, “*.example.com” için verilen bir sertifika “www.example.com”, “mail.example.com”, “shop.example.com” gibi adresler için de geçerlidir. Bu özellik, birden fazla alt alan adına sahip kuruluşlar için yönetim ve maliyet açısından büyük kolaylıklar sağlar.

UltaHost SSL sertifikası.
DV, EV, OV sertifikaları, en fazla $1, 750.000 ABD doları teminat tutarını destekler, sınırsız alt alan adını destekler, iOS ve Android uygulamalarını destekler ve 20%'den başlayan aylık $15,95 ABD doları fiyatla 30 günlük para iade garantisi sunar.

Çok alan adlı sertifikalar, aynı zamanda SAN (Subject Alternative Name) sertifikaları olarak da adlandırılır ve bir sertifika içinde “example.com”, “example.net” ve “anotherexample.org” gibi birbirinden tamamen farklı alan adlarını korumaya olanak tanır. Aynı kuruluşa ait birden fazla marka veya hizmet için birleşik bir güvenlik yönetimi sağlamak açısından oldukça uygundur.

SSL/TLS Protokolünün Çalışma Prensibi

SSL/TLS protokolü, iletim katmanının üzerine bir güvenlik katmanı oluşturarak üst katmandaki uygulama protokolleri (örneğin HTTP) için güvenlik sağlar. İşleyişi basit bir şifreleme işlemi değil; aksine, oldukça karmaşık ve adımlı bir “el sıkma” (handshake) sürecidir. Bu süreç esas olarak aşağıdaki aşamalardan oluşur:

El sıkma protokolleri ve anahtar değişimi

Müşteri tarafı (örneğin bir tarayıcı), bir HTTPS sunucusuna bağlanmaya çalıştığında SSL/TLS el sıkma (handshake) süreci başlar. İlk olarak, müşteri tarafı sunucuya “ClientHello” mesajını gönderir; bu mesajda desteklediği TLS sürümleri, desteklediği şifreleme algoritmalarının listesi ve rastgele bir sayı bulunur.

Tavsiye edilen okuma SSL Sertifikalarının Kapsamlı Analizi: Çalışma Prensibi, Tür Seçimi ve Kurulum/Yayın Kılavuzu

Sunucu, “ServerHello” mesajını gönderir; her iki tarafın da desteklediği TLS sürümünü ve şifreleme algoritmalarını belirler ve kendi rastgele sayısını iletir. Ardından, sunucu SSL sertifikasını (kamu anahtarı içeren) istemciye gönderir. Eğer sunucu istemciden kimlik doğrulaması talep ederse (bu durum nadirdir), bu aşamada istemcinin sertifikasını da talep eder.

Daha sonra, anahtar değişiminin kritik aşamasına geçilir. İstemci, sunucu sertifikanın geçerliliğini doğrular (güvenilir bir CA tarafından mı imzalandığı, alan adının eşleşip eşleşmediği, geçerlilik süresi içinde olup olmadığı). Doğrulama başarılı olduktan sonra, istemci bir ön anahtar (pre-master key) oluşturur ve bu ön anahtarı sunucu sertifikasındaki açık anahtar kullanarak şifreler; ardından bu şifreli ön anahtarı sunucuya gönderir. Sunucu, kendi sahip olduğu özel anahtar kullanarak bu ön anahtarı çözer ve böylece istemci ile sunucu her ikisi de aynı iki rastgele sayıyı (Client Random, Server Random) ve ön anahtarı elde ederler. Bu iki rastgele sayı ve ön anahtar, sonraki iletişim için kullanılacak simetrik oturum anahtarlarını oluşturmak amacıyla aynı algoritmayı kullanır. Simetrik anahtarların asimetrik şifreleme yoluyla aktarılması, bir yandan öncekinin güvenliğini, diğer yandan da sonrakinin verimliliğini bir araya getirir.

Şifreli İletişim ve Kayıt Protokolleri

El sıkışma işlemi tamamlandıktan sonra, taraflar şifreli iletişim aşamasına geçerler. İstemci, “ChangeCipherSpec” mesajını göndererek sunucuya, sonraki mesajların müzakere edilen oturum anahtarı ve şifreleme paketi kullanılarak şifreleneceğini bildirir. Daha sonra, şimdiye kadar gönderilen tüm el sıkışma mesajlarının özetini içeren bir “Finished” mesajı gönderir; bu özet, sunucunun el sıkışma işleminin değiştirilip değiştirilmediğini doğrulaması için kullanılır.

Sunucu da “ChangeCipherSpec” ve “Finished” mesajlarını gönderir. Her iki taraf da “Finished” mesajının doğru olduğunu doğruladıktan sonra, el sıkma (handshake) süreci resmi olarak sona erer.

Daha sonra, uygulama katmanı verileri (örneğin HTTP istekleri ve yanıtları) TLS kayıt protokolü tarafından işlenir. Kayıt protokolü, verileri yönetilebilir parçalara bölür, bunları sıkıştırır (bu işlem günümüzde nadiren kullanılmaktadır), mesajın bütünlüğünü sağlamak için mesaj doğrulama kodları hesaplar ve son olarak verileri simetrik oturum anahtarları kullanarak şifreler; ardından bu şifreli veriler karşı tarafa iletilir. Karşı taraf, verileri aldıktan sonra şifreyi çözer, doğrular, sıkıştırmayı açar ve verileri yeniden bir araya getirir; böylece orijinal veriler üst katman uygulamaya iletilir.

SSL sertifikasını nasıl edinebilir ve kurulumunu nasıl yapabilirim?

Bir web sitesine SSL sertifikası dağıtmak sistematik bir süreçtir; anahtar çiftinin oluşturulmasından sunucuda nihai konfigürasyonunun yapılmasına kadar adımların doğru sırayla izlenmesi gerekmektedir.

Sertifika başvuru ve verme süreci.

İlk adım, sunucunuzda bir özel anahtar ve sertifika imza isteği (Certificate Signing Request – CSR) oluşturmaktır. Özel anahtar, kesinlikle gizli tutulması gereken bir dosyadır. CSR ise, kamusal anahtarınızı, sertifika talep edeceğiniz alan adını, kuruluş bilgilerinizi ve diğer gerekli bilgileri içerir. OpenSSL gibi araçlar kullanılarak bu dosyalar kolayca oluşturulabilir.

İkinci adım, seçtiğiniz sertifika yetkilendirme kuruluşuna CSR (Certificate Signing Request) dosyasını göndermektir ve başvurduğunuz sertifika türüne göre ilgili doğrulama sürecini tamamlamaktır. DV sertifikaları için bu genellikle e-posta veya DNS doğrulamasıdır; OV/EV sertifikaları için ise CA (Certificate Authority) manuel inceleme sürecini başlatır.

Doğrulama işlemi başarılı olduktan sonra, CA (Certificate Authority – Sertifika Otoritesi) SSL sertifika dosyasını (genellikle .crt veya .pem formatında) ve olası ara sertifika zinciri dosyalarını oluşturur. Bu dosyaları sunucunuza indirmeniz gerekmektedir.

Web sunucusuna yükleme ve yapılandırma işlemleri

Yükleme işlemi, kullanılan sunucu yazılımına göre değişiklik gösterir. Aşağıda, yaygın olarak kullanılan Nginx ve Apache örnekleriyle bu süreç kısaca açıklanmaktadır.

Nginx sunucusu için, indirdiğiniz sertifika dosyasını ve özel anahtar dosyasını sunucunun belirli bir dizinine yüklemeniz gerekmektedir (örneğin: `/etc/nginx/certs/` veya `/etc/nginx/private/`)./etc/nginx/ssl/Ardından web sitesinin yapılandırma dosyasını düzenleyin ve 443 numaralı portu dinlemesini sağlayın.serverBlok içinde, sertifikanın ve özel anahtarın yolunu belirtin:

server {
    listen 443 ssl;
    server_name yourdomain.com;
    ssl_certificate /etc/nginx/ssl/yourdomain.crt;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.key;
    # 其他配置...
}

Aynı zamanda, orta seviye sertifika zincirlerini sertifika dosyasına birleştirmek için gerekli ayarlamaları yapmanız gerekiyor, ya da bunu başka bir yolla gerçekleştirmelisiniz.ssl_trusted_certificateKomutlar ayrı ayrı belirtilmelidir.

Apache sunucusu için de süreç benzerdir. Etkinleştirmeniz gerekmektedir.ssl_moduleDaha sonra, sanal sunucu ayarlarında (genellikle…)<VirtualHost *:443>Paragraf kullanımıSSLCertificateFileKomut, sertifika dosyasını göstermektedir ve kullanılacaktır.SSLCertificateKeyFileÖzel anahtar dosyasını gösterin ve kullanın.SSLCertificateChainFileOrta seviye sertifika zinciri dosyasına işaret eder.

Yapılandırmayı tamamladıktan sonra, yapılandırmanın etkinleşmesi için Web sunucusunu yeniden başlatın. Daha sonra, sertifikanın doğru şekilde yüklendiğini ve yapılandırmanın güvenli olduğunu test etmek için çevrimiçi SSL kontrol araçlarını (örneğin SSL Labs’ın SSL Test aracını) kullanmalısınız.

Sertifika Yenileme ve Otomatik Yönetim

SSL sertifikalarının bir geçerlilik süresi vardır (şu anki en uzun süre 13 aydır) ve süre dolduğunda tarayıcılar ciddi uyarılar gösterir. Bu nedenle, sertifikanın yenilenmesi çok önemlidir.

现代最佳实践是使用自动化工具进行证书管理,例如Certbot,它支持Let‘s Encrypt等提供免费DV证书的CA。Certbot可以自动完成证书申请、验证、安装、Web服务器配置重载以及到期自动续期的全部流程。通过设置定时任务,可以实现证书的全生命周期自动化管理,彻底消除因证书过期导致的服务中断风险。

Özetle.

SSL sertifikaları, güvenli ve güvenilir bir internet ortamı oluşturmanın temel taşlarıdır. Güçlü şifreleme teknolojileri sayesinde verilerin iletim sırasındaki gizliliğini ve bütünlüğünü korurlar ve katı kimlik doğrulama mekanizmaları aracılığıyla kullanıcıların web sitelerinin gerçekliğini belirlemelerine yardımcı olurlar. Temel alan adı doğrulama sertifikalarından en yüksek güven seviyesini sağlayan genişletilmiş doğrulama sertifikalarına, esnek joker karakterler ve çok alan adlı sertifikalara kadar çeşitli türler, farklı kullanım senaryolarının ihtiyaçlarını karşılar. SSL/TLS el sıkışma (handshake) işlemlerini ve şifreli iletişim mekanizmalarını anlamak, bu sertifikaların güvenlik önlemlerini daha iyi kavramamıza yardımcı olur. Başvuru, doğrulama ve sunucuda kurulum işlemlerinin tamamını yönetebilmek ve otomatik yenileme süreçlerini uygulayabilmek ise her web sitesi operatörü ve geliştiricisinin sahip olması gereken temel becerilerdir. Doğru SSL sertifikasını kullanmak, sadece teknik bir gereklilik değil; aynı zamanda kullanıcı güvenliği ve itibarı açısından da önemli bir taahhüttür.

Sıkça Sorulan Sorular.

SSL sertifikası ve TLS sertifikası arasındaki fark nedir?

SSL ve TLS, aynı güvenlik protokolünün farklı sürümleridir. SSL, Netscape şirketi tarafından erken dönemlerde geliştirilen bir güvenlik protokolüdür (SSL 1.0, 2.0, 3.0). SSL 3.0“da güvenlik açıkları tespit edildiği için, onun yerine TLS protokolü standart olarak belirlenmiştir. TLS 1.0, 1.1, 1.2, 1.3 sürümleri sırasıyla piyasaya sürülmüş ve protokolün güvenliği giderek artırılmıştır. Günümüzde SSL 3.0 ve tüm eski sürümler tamamen kullanımdan kaldırılmış olup, modern internet ortamında yaygın olarak TLS protokolü kullanılmaktadır. Ancak tarihi bir alışkanlık nedeniyle ”SSL sertifikası” ifadesi hâlâ kullanılmaktadır ve bu ifade, SSL/TLS protokollerinin uygulanmasında kullanılan dijital sertifikaları ifade etmektedir; teknik olarak bu sertifikalar aslında TLS sertifikalarıdır.

Ücretsiz SSL sertifikalarının ücretli olanlardan ne farkı var?

免费证书(如Let‘s Encrypt签发)通常是域名验证型证书,能提供与付费DV证书相同的加密强度。主要区别在于服务和支持层面。付费证书提供更广的兼容性保证(尤其是对老旧设备)、商业保险赔付(如因证书问题导致损失可获得赔偿)、更专业的客户技术支持以及更灵活的证书类型选择(如OV、EV、通配符等)。付费证书的验证信息通常也更易被某些企业防火墙或内部系统信任。对于大多数个人网站和中小型项目,免费DV证书是完全足够且推荐使用的。

SSL sertifikası yüklendikten sonra, web sitesi kesinlikle güvende midir?

Öyle değil. SSL sertifikası esas olarak veri aktarımı sırasındaki güvenliği sağlar; yani “aktarım halindeki” verilerin şifrelenmesini sağlar. Web sitesi sunucusunun kendisinin güvenliğini (örneğin hacker saldırılarını önlemek) koruyamaz, web sitesi uygulama katmanındaki güvenlik açıklarını (örneğin SQL enjeksiyonları, çapraz sitelik betik saldırıları) engelleyemez ve sunucuda saklanan “statik” verilerin güvenliğini de garanti edemez. Güvenli bir web sitesi için çok katmanlı güvenlik önlemlerine ihtiyaç vardır; bunlar arasında güçlü şifreler kullanmak, sunucuları ve uygulamaları düzenli olarak güncellemek, güvenlik duvarları kurmak ve güvenli kodlama yapmak yer alır. SSL/TLS, kapsamlı bir güvenlik stratejisinin çok önemli bir parçasıdır, ancak tek başına yeterli değildir.

Neden bazen tarayıcılar SSL sertifikasının güvenli olmadığını veya geçersiz olduğunu belirtir?

Tarayıcıların sertifikaların güvenli olmadığını belirten uyarıları genellikle aşağıdaki nedenlerden kaynaklanır: Birincisi, sertifikanın geçerlilik süresi dolmuştur; ikincisi, sertifikanın verildiği alan adı, mevcut ziyaret edilen web sitesinin alan adıyla eşleşmiyor; üçüncüsü, sertifikayı veren sertifika yetkilisi, işletim sistemi veya tarayıcının güvenilir sertifika listesine dahil değil (bu sorun, kendi imzalı sertifikalarda sık görülür); dördüncüsü, sunucunun SSL/TLS yapılandırması güvenli değil, mesela eski güvenli protokol sürümleri (SSL 2.0/3.0) veya zayıf şifreleme paketleri kullanılıyor; beşinci olarak, bazı iç web sitelerine erişirken, kuruluşun iç CA tarafından verilen sertifikalar kullanılıyor ve bu CA'nın kök sertifikası cihazınıza eklenmemiş. Bu tür uyarılarla karşılaşıldığında, özellikle hassas işlemler yapılırken dikkat edilmelidir.