SSL Sertifikası Türleri, Doğrulama ve Yönetim Rehberi

Güvenlik Genel
2 Mar 2026
Paylaş:

SSL Sertifikası Türleri, Doğrulama ve Yönetim Rehberi

Son Güncelleme: Mart 2026

SSL (TLS) sertifikaları, çevrimiçi hizmetlerin güvenliği ve kullanıcı güveni için kritik bir bileşendir. Bu rehberde sertifika türleri, doğrulama yöntemleri, TLS yapılandırması ve pratik yönetim senaryoları adım adım açıklanacaktır.

İçindekiler

SSL / TLS Genel Bakış

İnternet iletişimini şifrelemek için yaygın olarak kullanılan protokol TLS (Taşıma Katmanı Güvenliği) olup, halk arasında hâlen SSL olarak anılmaktadır. TLS; veri bütünlüğü, gizlilik ve kimlik doğrulama sağlar. Sertifikalar ise bir sunucunun kimliğini doğrulayan x.509 standardında dijital belgeleridir.

Temel kavramlar

  • Public Key (Açık Anahtar): Sertifika içinde bulunan genel anahtar.
  • Private Key (Özel Anahtar): Sunucuda güvenle saklanması gereken anahtar.
  • Certificate Authority (CA - Sertifika Otoritesi): Sertifika yi imzalayan güvenilir kuruluş.
  • Chain (Zincir): Server -> Intermediate -> Root şeklinde imza zinciri.

Sertifika Türleri (DV, OV, EV, Wildcard, SAN)

Sertifika seçimi, kullanım amacına ve güven ihtiyacına göre değişir. Aşağıda yaygın türler özetlenmiştir.

Domain Validation (DV) - Alan Doğrulama

DV sertifikaları, yalnızca alan adının kontrol edildiğini doğrular. Hızlı ve genellikle ücretsiz (ör. Let's Encrypt) ile elde edilebilir; düşük maliyetli projeler ve otomasyon için uygundur.

Organization Validation (OV) - Kurum Doğrulama

OV sertifikaları, alan doğrulamasına ek olarak kuruluşun varlığı ve kimliği doğrulanır. Kurumsal uygulamalar, müşteri verisi işleyen hizmetler için önerilir.

Extended Validation (EV) - Genişletilmiş Doğrulama

EV sertifikaları daha sıkı kontrol süreçlerinden geçer ve uzun süreli güven gerektiren durumlarda tercih edilir. Tarayıcıların adres çubuğunda daha belirgin güven göstergesi sağlayabilir.

Wildcard Sertifikalar

Wildcard sertifikalar *.alanadi.com formatıyla bir ana domain ve tüm alt alan adlarını kapsar; yönetimi kolaylaştırır ancak private key güvenliği kritik önem taşır.

SAN / UCC Sertifikalar

SAN (Subject Alternative Name) veya UCC sertifikaları birden fazla domain/alt alan adını tek sertifika ile kapsar. Çoklu domain (multi-domain) siteler için idealdir.

Doğrulama (Validation) Yöntemleri

Sertifika otoriteleri farklı doğrulama metotları kullanır. Doğrulama yöntemi seçimi, DV/OV/EV ayrımında önemlidir.

DNS Challenge (DNS Doğrulama)

DNS doğrulama, DNS kaydına belirli bir TXT girdisi eklemeyi gerektirir. Wildcard sertifikalar için genellikle zorunludur. Bu yöntem otomasyon ile birleştirildiğinde (API destekli DNS sağlayıcıları) güvenli ve tekrarlanabilir bir süreç sunar.

HTTP Challenge (HTTP Doğrulama)

HTTP doğrulamada CA, web sunucunuza belirli bir dosya isteyerek alan adının kontrolünü yapar. Basit ve hızlıdır ancak CDN veya reverse proxy kullanılan yapılarda yapılandırma dikkat ister.

Email Doğrulama

Email doğrulama, alanın WHOIS veya DNS ile ilişkili belirli e-posta adreslerine gönderilen onay linki ile yapılır; OV/EV için genelde yeterli değildir.

Kurumsal Doğrulama Süreçleri

OV/EV için CA; vergi kayıtları, ticaret sicil bilgisi gibi resmi belgelerle kuruluşu doğrular. Bu süreç manuel adımlar içerir ve süre olarak daha uzundur.

TLS Konfigürasyonu ve Güvenlik Ayarları

Doğru TLS konfigürasyonu hem performansı hem de güvenliği etkiler. Aşağıda tavsiyeler ve örnek ayarlar yer almaktadır.

Önerilen Protokoller ve Şifre Takımları (Cipher Suites)

Güncel sunucular için TLS 1.3 desteklenmeli, bağlantılar TLS 1.2'nin altına düşürülmemelidir. TLS (Taşıma Katmanı Güvenliği) sürümleri ve şifre takımları (cipher suites - şifreleme takımları) performans ve güvenlik arasında denge sağlar.

Öğe Öneri Açıklama
TLS Sürümü TLS 1.3, TLS 1.2 TLS 1.3 en iyi performans/güvenlik; 1.2 geri uyumluluk için korunmalı.
Perfect Forward Secrecy Aktif Ephemeral anahtar değişimiyle geçmiş oturumların korunması.
OCSP Stapling Aktif Revocation (iptal) sorgularını hızlandırır ve gizliliği artırır.
HSTS includeSubDomains; preload (isteğe bağlı) HTTP'den HTTPS'ye zorunlu yönlendirme sağlar; preload için dikkatli planlama gerekir.

OCSP, CRL ve Revocation (İptal) Yönetimi

Sertifika iptali durumunda OCSP (Online Certificate Status Protocol) veya CRL (Certificate Revocation List) kullanılır. Sunucu tarafında OCSP stapling aktif edilmesi önerilir; bu, istemcinin CA'ya doğrudan bağlanmasını engeller ve gizliliği artırır.

HTTP/2 ve HTTP/3 Uyumluluğu

Modern TLS ayarları HTTP/2 ve HTTP/3 (QUIC) ile uyumlu olmalıdır. Performans için TLS 1.3 desteklenmiş ve uygun ALPN (Application-Layer Protocol Negotiation) yapılandırılmış olmalıdır.

Otomasyon ve Sertifika Yönetimi

Sertifika ömrü boyunca yenileme (renewal), rotasyon ve key management (anahtar yönetimi) süreçleri belirlenmelidir.

Let's Encrypt ve ACME

Let's Encrypt ve ACME (Automatic Certificate Management Environment) protokolü, sertifikaların otomatik alınması ve yenilenmesi için yaygın olarak kullanılır. Certbot gibi istemcilerle HTTP veya DNS challenge yöntemiyle entegrasyon sağlanabilir.

Özel/Ücretli CA'lar ve Kurumsal Yönetim

Kurumsal yapılar genellikle ücretli CA'lar, SLA ve destek gibi avantajlar sunan sağlayıcıları tercih eder. Sertifika envanteri, son kullanma tarihleri ve otomatik yenileme sistemleri merkezi bir yönetim panelinde takip edilmelidir.

Private Key Güvenliği

Private Key (özel anahtar) güvenliği için en iyi uygulamalar:

  • HSM: Donanım Güvenlik Modülü (HSM) veya KMS kullanımı.
  • Yetkilendirme: Sadece yetkili kişilerin erişimi.
  • Yedekleme: Şifrelenmiş yedeklemeler; anahtar yedekleri ayrı ortamda tutulmalı. Detaylı yedekleme hizmetleri için Corelux Yedekleme Hizmeti incelenebilir.
  • Audit (Denetim): Anahtar erişim loglarının tutulması.

Pratik Yapılandırma Senaryoları

Aşağıda farklı ihtiyaçlara göre uygulanabilecek örnek konfigurasyonlar yer almaktadır.

1) Basit Web Sitesi (Tek Domain)

  1. Sertifika Türü: DV (Let's Encrypt).
  2. Doğrulama: HTTP Challenge.
  3. Yapılandırma: Certbot ile 60 günlük yenileme planı (otomatik cron ile 30 günde bir kontrol).

2) Çoklu Domain / Kurumsal Site

  1. Sertifika Türü: OV veya SAN sertifikası.
  2. Doğrulama: CA ile kurum belgeleri üzerinden manuel doğrulama.
  3. Yapılandırma: Centralized PKI yönetimi, otomatik yenileme entegrasyonu ve HSM kullanımı.

3) CDN ve Load Balancer Arkasında Çalışan Site

  1. Sertifika Türü: Wildcard veya SAN (CDN sağlayıcısına göre değişir).
  2. Doğrulama: DNS Challenge (özellikle wildcard için).
  3. Yapılandırma: Sertifika CDN veya load balancer (LB) üzerinde terminasyon; backend serverlar için mTLS (karşılıklı TLS) tercih edilebilir.

Sertifika Türleri Karşılaştırma Tablosu

Özellik DV OV EV Wildcard
Doğrulama Seviyesi Alan doğrulama Kuruluş doğrulama Genişletilmiş kuruluş doğrulama Alan + alt alanları
Hız Hızlı (dakikalar) Gecikmeli (günler) En uzun (günler‑haftalar) DNS işlemleri gerektirir
Maliyet Düşük / Ücretsiz Orta Yüksek Orta‑Yüksek
En Uygun Kullanım Hobiler, bloglar İş siteleri Finansal / Yüksek güven gerektiren Birden fazla alt alanı olan projeler

Sıkça Sorulan Sorular

Sertifika süresi dolmadan önce otomatik yenileme nasıl yapılır?

Automasyon için ACME uyumlu istemciler (ör. Certbot) kullanın ve yenileme için cron veya systemd timer ile 30‑60 günlük kontrol planı oluşturun. Ücretli CA'larda merkezi yönetim panelleri ve API'ler ile yenileme otomatikleştirilebilir.

WildCard mı, SAN mı tercih etmeliyim?

Alt alan adlarının yapısına göre karar verin: Dinamik ve çok sayıda alt alan varsa wildcard, farklı domainleri bir arada kullanıyorsanız SAN daha uygundur. Güvenlik ve özel anahtar yönetimi de kararın bir parçasıdır.

OCSP Stapling neden önemli?

OCSP stapling, istemcinin CA'ya doğrudan bağlanmasını engeller, revocation (iptal) kontrolünü hızlandırır ve gizliliği artırır. Sunucu tarafında desteklenmeli ve düzenli olarak güncellenmelidir.

HSTS preload listesine nasıl eklenirim?

HSTS preload için önce tüm alt domainlerde HTTPS çalışmalı, HSTS header'ı (max-age ve includeSubDomains) doğru ayarlanmalı ve ardından preload talebinde bulunulmalıdır. Geri dönüşsüz etkileri olduğundan dikkatlice planlayın.

Özel anahtar (private key) kaybı veya sızıntısı durumunda ne yapmalıyım?

Hemen sertifika iptali (revoke) işlemi başlatın, yeni bir anahtar çifti oluşturup sertifikayı yeniden çıkarın. Ayrıca, anahtar yönetim süreçlerinizi gözden geçirip HSM veya KMS gibi çözümlerle koruma sağlayın.

Sonuç

Doğru SSL/TLS stratejisi; sertifika türü seçimi, güvenli TLS yapılandırması, otomasyon ve anahtar yönetimini kapsar. Kurumsal projelerde OV/EV, geniş altyapılarda SAN veya Wildcard, otomasyon odaklı yapılarda ise Let's Encrypt ve ACME tercihleri mantıklıdır. Sertifika yönetimini profesyonel hizmetlerle entegre etmek isterseniz Corelux'un SSL Sertifikası hizmetini inceleyebilir, yedekleme ve anahtar güvenliği için Yedekleme Hizmeti ile entegrasyon planlayabilirsiniz.

Yapılacaklar:

  • İlk adım: Hangi sertifika tipinin ihtiyacınızı karşıladığını belirleyin.
  • İkinci adım: Otomasyon ve DNS/HTTP challenge yöntemlerini değerlendirin.
  • Üçüncü adım: Private key güvenliği için HSM/KMS ve yedekleme süreçleri kurun.

Detaylı projeye özel danışmanlık ve kurulum için Corelux destek ekibi ile iletişime geçebilirsiniz.

ssl tls sertifika sertifika yönetimi san dv ov ev letsencrypt ocsp hsts anahtar yönetimi

Yazar

Boran BAR

Kategoriler

cPanel cPanel / WHM Dell FreeBSD Genel Güvenlik Optimizasyon PHP Plesk Sanallaştırma SQL Ubuntu Linux Laravel Wordpress CyberPanel Windows

Önerilen Yazılar

Vmware Esxi' de Düşen Diski Sorunsuz Geri Ekleme

20 Kas 2021

Wannacry Fidye virüsünden korunma yolları

16 May 2017

VDS Nedir? VPS Nedir? Farkları Nelerdir? (2026) - Corelux

23 Oca 2026

PHP Hata Gösterme

21 Mar 2020

Windows Server OpenSSH Kurulumu

14 Kas 2021
Chat on WhatsApp