Defaults.Exposed

Defaults.Exposed › Raporlar

Süresi Dolmuş, Kendinden İmzalı, Geçersiz: Sertifika Hatası Raporu (2026)

Yayımlanma 2026-06-29

Rakamlar 2026-06-29 itibarıyla · metodoloji v7. TLS sertifikası sunan 197 milyon alan adı genelindeki toplu sayım verileri. “Geçersiz” = sertifika doğrulamayı geçmiyor (süresi dolmuş, kendinden imzalı, yanlış ana bilgisayar adı veya güvenilmeyen zincir). Bkz. nasıl notlandırıyoruz.

Sertifikaya sahip olmak, geçerli bir sertifikaya sahip olmakla aynı şey değildir: web’deki sertifikaların 8.57%‘i doğrulamayı geçemiyor. TLS sertifikası sunan 197 milyon alan adı arasında, 16,920,535 tanesinde tarayıcıların güvenmediği bir sertifika var — ve her biri ziyaretçilere sitenin yerine tam sayfa bir güvenlik uyarısı gösteriyor. Ücretsiz, otomatik yenilenen sertifikalar çağında bozuk bir sertifika neredeyse her zaman düzeltilebilir bir hatadır, bir maliyet sorunu değil.

Bu sertifikalarda gerçekte neyin yanlış olduğu

Bir sertifika birkaç nedenle doğrulamayı geçemez — süresi dolmuş, kendinden imzalı, farklı bir ana bilgisayar adı için verilmiş veya güvenilmeyen bir zincirden gelmiş. Sayımda açık ara en kolay tanımlanabilen kategori kendinden imzalı olanlardır:

SorunAlan adları
Sertifika mevcut ama geçersiz (herhangi bir nedenle)16,920,535 (8.57%)
— bunlardan kendinden imzalı3,378,080 (geçersizlerin 20.0%‘i)

Kendinden imzalı sertifika, alan adının kendi kendisine verdiği sertifikadır — trafiği şifreler ama hiçbir şey kanıtlamaz, bu yüzden tarayıcılar onu reddeder. Yanlışlıkla genel internete açılan cihazlarda, dahili araçlarda ve hazırlık (staging) ortamlarında yaygındır. Kalan geçersiz sertifikalar çoğunlukla süresi dolmuş veya ana bilgisayar adı uyuşmayanlardır.

Neden bozuk bir sertifika, HTTPS olmamasından daha kötüdür

HTTPS’siz bir site sessiz bir “Güvenli değil” etiketi alır. Bozuk sertifikalı bir site ise tam sayfa kırmızı bir ara sayfa alır — “Bağlantınız gizli değil” — ki çoğu ziyaretçi tıklayıp bunu geçmez. Bu, bir tarayıcının gösterdiği en sert güven sinyalidir ve içeriğiniz yüklenmeden önce tetiklenir. Bir işletme için bu, ilk temas anında kapanmış bir kapıdır.

Bu aynı zamanda önlenebilir: ücretsiz sertifika yetkilileri ve otomatik yenileme artık sertifikaların büyük çoğunluğunu verdiğinden, geçerli bir sertifika hiçbir şeye mal olmaz ve kendini yeniler. Bozuk sertifikalı 8.57%‘in neredeyse tamamı bütçe değil, yapılandırma boşluklarıdır.

Bir sertifika hatası nasıl düzeltilir

  1. Süresi mi doldu? Bir daha asla sona ermemesi için yenilemeyi otomatikleştirin (ACME / Let’s Encrypt). Sertifika hatalarını düzeltin.
  2. Kendinden imzalı mı? Onu ücretsiz bir sertifika yetkilisi tarafından verilen sertifikayla değiştirin — kendinden imzalı sertifikalar tarayıcılarda her zaman uyarı verir.
  3. Yanlış ana bilgisayar adı mı? Hizmet verdiğiniz adların tam olarak kapsanması için (www dahil) yeniden verin.
  4. Zincirin eksiksiz ve güvenilir olduğunu doğrulayın, ardından yeniden bir kontrolle teyit edin.

Sıkça sorulan sorular

Bir sertifika neden geçersiz hale gelir? En sık olarak süresi dolmuştur, kendinden imzalıdır, farklı bir ana bilgisayar adı için verilmiştir veya güvenilmeyen bir zincirden gelir. 2026-06-29 itibarıyla sertifikaların 8.57%‘i bu nedenlerden biriyle doğrulamayı geçemiyor.

Kendinden imzalı sertifika nedir? Sunucunun güvenilir bir sertifika yetkilisinden almak yerine kendi kendisine verdiği sertifikadır. Şifreler ama hiçbir kimliği kanıtlamaz, bu yüzden tarayıcılar onu reddeder. 3,378,080 alan adı böyle bir sertifika sunuyor.

Bozuk bir sertifika, HTTPS olmamasından daha mı kötüdür? Evet — bozuk bir sertifika siteyi engelleyen tam sayfa bir tarayıcı uyarısını tetiklerken, düz HTTP daha hafif, satır içi bir “Güvenli değil” etiketi alır.

Düzeltmek ne kadara mal olur? Hiçbir şeye. Geçerli sertifikalar ücretsizdir (Let’s Encrypt ve diğerleri) ve otomatik yenilenir. Bu bir yapılandırma düzeltmesidir.

Sertifikanızın geçerli olduğunu kontrol edin

Tarayıcıların reddettiği bir sertifika, şu anda size ziyaretçi kaybettiriyor. Kendinizinkini ücretsiz ve gizli olarak kontrol edin.

Alan adınızı kontrol edin → · Sertifika hatalarını düzeltin → · Web’in sertifikalarını kim veriyor? → · Sitem neden “Güvenli değil” diyor? → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.