Defaults.Exposed › Düzeltmeler › TLS sertifika sağlığı

TLS sertifika sağlığı nasıl düzeltilir

SSL/TLS sertifikanız, bir ziyaretçinin gerçekten sizin web sitenizle — bir taklitçiyle değil — konuştuğunu kanıtlayan ve tarayıcıdaki asma kilidi sağlayan dijital kimlik kartınızdır. Bu kontrol söz konusu sertifikanın geçerli ve güvenilir, sona ermek üzere olmayan, ve güçlü modern kriptografi ile oluşturulmuş olup olmadığını inceler.

İşletmeniz için sonuç: Bozuk veya süresi dolmuş bir sertifika, her tarayıcıda web sitenizin yerini tam ekran kırmızı 'Bağlantınız gizli değil' uyarısıyla doldurur. Ziyaretçilerin çoğu anında ayrılır ve geri dönmez — çevrimiçi satışlar durur, kayıtlar durur ve gizli olması gereken bağlantı sessizce ele geçirilebilir.

Bu size ne mal olabilir

• Sertifikanız sessizce bir hafta sonu sona erer; Pazartesi günü her ziyaretçi tam sayfa güvenlik uyarısıyla karşılaşır, ödeme ve iletişim formlarınız kullanılamaz ve her geçen saat satış kaybı yaşarsınız.
• Bir kafe veya otelin Wi-Fi'sinden ödeme yapan müşteri, sertifikanızın alan adınızla eşleşmediğine dair uyarı alır — sitenin sahte ya da saldırıya uğramış olduğunu varsayır, satın almayı terk eder ve başkalarına 'şüpheli görünüyordu' der.
• Daha büyük bir müşterinin BT ekibi sözleşme öncesi güvenlik taraması yapar, kendinden imzalı veya güvenilmeyen sertifika görür ve sizi risk olarak işaretler — ücretsiz düzeltilebilecek bir şey yüzünden anlaşma askıya alınır.
• Sertifikanız güncel imzalama yöntemi yerine eski bir yöntem veya zayıf anahtar kullanıyor; modern tarayıcılar bunu uyarıyla göstermeye başlar ve güvenlik denetimi, yıllardır önerilen listeden çıkmış kriptografi nedeniyle sizi düşürür.
• Kart ödemeleri alıyorsunuz ve ödeme sağlayıcınız sizi yeniden denetler; zayıf anahtar veya süresi dolmuş sertifika ödeme güvenlik kurallarını çiğner ve düzeltilinceye kadar çevrimiçi kasanız dondurulur.

Neden önemlidir. Sertifika, web sitenizin güvenliğinin tek en görünür parçasıdır — sağlıklıyken görünmez, bozulduğunda müşterileri doğrudan rakiplere yönlendiren korkutucu bir uyarıyla tüm sitenizi çöküşe sürükler. Sertifika sona ermesi, beklenmedik web sitesi kesintilerinin bir numaralı nedenidir ve tamamen önlenebilir. Geçerli sertifika almak ücretsizdir ve sağlıklı tutmak büyük ölçüde otomatik yenilenmesine izin vermekle ilgilidir.

Sade dille nedir

Biri web sitenizi ziyaret ettiğinde şifre veya kart numarası yazarken kendini güvende hissetmesi için iki şeyin gerçekleşmesi gerekir. Birincisi, bağlantının şifrelenmiş olması gerekir ki yabancılar okuyamasın. İkincisi — ve insanların unuttuğu kısım — ziyaretçinin tarayıcısının karşı tarafta gerçekten sizin web sitenizin bulunduğundan ve inandırıcı bir sahte kurmamış bir taklitçiden değil emin olması gerekir. Her iki işi birden yapan şey TLS sertifikanızdır (genellikle “SSL sertifikası” olarak da anılır).

Bunu alan adınız için kurcalamaya dayanıklı kimlik kartı olarak düşünün. Tanınan bir otorite tarafından verilir, alan adı adınızla ve son kullanma tarihi ile damgalanır ve bağlantıyı şifreleyen kriptografik anahtarı taşır. Her şey doğrulandığında tarayıcı asma kilidi gösterir ve siteniz normal yüklenir. Kimlik kartıyla ilgili bir sorun olduğunda tarayıcı ziyaretçinizi rahatlatmak yerine tam tersini yapar — ziyaretçiyi, “bu site güvenli olmayabilir” etkisinde tam ekran bir uyarıyla karşılar.

Bu kontrol, her biri bağımsız olarak bozabileceği o kimlik kartının sağlığına dört açıdan bakar:

• Geçerli ve güvenilir mi? — tanınan bir otorite tarafından verilmiş, tam alan adınızla eşleşiyor, kendinden imzalı değil ve süresi dolmamış.
• Yakında sona erecek mi? — sona eren sertifika tüm sitenizi çökertir.
• Güçlü bir yöntemle mi imzalanmış? — eski imzalama algoritmaları taklit edilebilir.
• Anahtarı yeterince güçlü mü? — zayıf anahtar prensipte kırılabilir.

Önceden söylemek istediğim iyi haber: sağlıklı sertifika almak ücretsizdir ve sağlıklı tutmak büyük ölçüde otomatik yenilenmesine izin vermeyle ilgilidir.

Size maliyeti ne olabilir

• Hafta sonu kesintisi. Bir sertifika sessizce Cuma geç saatlerinde bitiş tarihine ulaşır. Çalışması gereken yenileme çalışmadı (bir sunucu taşındı, bir komut bozuldu, kimse fark etmedi). Cumartesi sabahından itibaren her ziyaretçi — ve her Google tarayıcısı — ana sayfanız yerine tam sayfa kırmızı uyarı görür. Mağazanız kapalı ve farkında bile değilsiniz. Teknik düzeltme dakikalar alır; kayıp satış hafta sonu ve “kapandınız” diye karar veren müşteriler geri gelmez.

• Terk edilen ödeme. Bir müşteri telefonundan otel Wi-Fi’sından sipariş veriyor. Sertifikanız tam olarak kullandıkları alan adını karşılamıyor (örneğin shop.sizniz.com’u kapsıyor ama kullandıkları sizniz.com’u değil). Tarayıcı sitenin sizinkileri “taklit ediyor olabileceği” konusunda uyarı veriyor. Teknik olmayan bir alıcı için bu dolandırıcılık demektir — sekmeyi kapatır ve satışın var olduğunu asla bilmezsiniz.

• Duran sözleşme. Daha büyük bir müşterinin güvenlik ekibi imzalamadan önce rutin tarama yapar. Bir alt alan adınızda kendinden imzalı veya güvenilmeyen sertifika bulur. Her şey iyi olsa bile, o tek kırmızı bayrak hızlı onayı, ücretsiz düzeltilecek bir sorun yüzünden haftalarca süren gidip gelmelerle birlikte anlaşmayı geciktirir.

• Yavaş ilerleme uyarısı. Sertifikanız teknik olarak geçerli ama tarayıcıların kullanımdan kaldırdığı SHA-1 ile imzalanmış. Bir tarayıcı güncellemesinden sonra ziyaretçilerinizin bir kısmı kendi güncel makinenizde tekrar edemediğiniz uyarılar görmeye başlar. “Site bozuk görünüyor” diyen destek talepleri geliyor ve nedenini çözemiyor gibisiniz.

• Uyum başarısızlığı. Kart ödemeleri alıyorsunuz. Yeniden denetimde sağlayıcınızın kontrolleri zayıf anahtar veya süresi dolmuş sertifika işaretler. Kart güvenlik kuralları güçlü, güncel şifreleme gerektirir — dolayısıyla çevrimiçi ödemeleriniz düzeltilinceye kadar askıya alınır; geliri en kötü anda dondurur.

Teknik olarak nedir (dört parça)

Sertifika dört farklı şekilde sağlıksız olabilir ve bu sayfa hepsini kapsar. Her biri ayrı bir kontroldür ancak sizin için hepsi “sertifikam sorunsuz mu?” sorusuna indir.

1. Geçerli ve güvenilir

Bu en önemli olanıdır — ve sertifika sağlığının kritik, en yüksek ağırlıklı parçası. Sertifika ancak tüm bunlar doğru olduğunda “geçerli ve güvenilir” sayılır:

• Tarayıcıların zaten güvendiği bir tanınan sertifika otoritesi tarafından verilmiş (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon vb.).
• Ziyaretçinin kullandığı tam alan adıyla eşleşiyor — alt alan adları dahil.
• Kendinden imzalı değil — yani kim olduğunuzu şifrelemiş ama kanıtlamamış kendinize verdiğiniz bir sertifika değil.
• Tarih aralığı içinde — süresi dolmamış ve (nadir ama olur) gelecekte başlayan bir tarihe ayarlanmamış.
• Güven zinciri sağlam — onu imzalayan otorite bizzat güvenilir.

Bunlardan herhangi biri başarısız olursa tarayıcılar korkunç “Bağlantınız gizli değil” sayfasını gösterir ve bu kontrol kesinlikle başarısız olur. İyi şöyle görünür: tanınan bir otoriteden, müşterilerin kullandığı her alan adı ve alt alan adını kapsayan, tarih aralığında rahatça olan sertifika.

2. Yakında sona ermiyor

Her sertifikanın sabit bitiş tarihi vardır. Ücretsizler genellikle 90 gün; ücretliler çoğunlukla bir yıl sürer. Tarih geçince güven anında buharlaşır — ek süre yoktur. Bu kontrol kaç günün kaldığını ve bunun kim tarafından verildiğiyle nasıl etkileştiğini ölçer:

• Halihazırda süresi dolmuşsa veya 7 günden az kalmışsa bu kritik sayılır — yenilemenin başarısız olduğunun işareti.
• 30 gün içinde sona eriyorsa ve otomatik yönetilmiyorsa bu şimdi yenileyin uyarısıdır.
• Otomatik yenileyen sağlayıcıdan (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL ve benzeri) en az bir hafta kalmış sertifikalar geçer — son tarihten önce kendiliğinden yenilenmesi beklenir.
• Bol süre (90+ gün veya otomatik yönetilen) temiz geçiştir.

İyi şöyle görünür: kimsenin dokunmasına gerek kalmadan kendiliğinden yenilenen otomatik yönetilen sertifika. Sona erme kesintisi yaşamamanın tek en güvenilir yolu, yenileme sorumluluğunu bir insana değil bir makineye vermektir.

3. Güçlü imza algoritması

Her sertifika, tarayıcıların kurcalamayı tespit etmesine olanak tanıyan kriptografik bir algoritmayla “imzalanır”. Eski algoritmalar — MD5 ve SHA-1 — taklit edilebildiği kanıtlanmıştır; saldırgan prensipte gerçekmiş gibi görünen hileli sertifika üretebilir. Bu kontrol, sertifika güçlü, modern bir imza kullandığında geçer: SHA-256 veya daha güçlü (SHA-384, SHA-512), modern ECDSA veya Ed25519/Ed448. MD5 ve SHA-1 başarısız olur. İyi şöyle görünür: SHA-256 veya daha iyisi — son yıllarda verilen her ücretsiz ve modern sertifikanın varsayılanı.

4. Güçlü anahtar

Sertifika, gerçek şifrelemeyi yapan kriptografik bir anahtar taşır. Bu anahtar çok kısaysa modern bilgi işlem gücü onu kırabilir; saldırganın sitenizi taklit etmesine veya trafiğinizin şifresini çözmesine olanak tanır. Kabul edilen minimumlar 2048 bit RSA veya 256 bit eliptik eğri (EC)‘dir. Bu kontrol bu boyutlarda veya üzerinde geçer, altında başarısız olur. İyi şöyle görünür: 2048 bit (veya 4096 bit) RSA ya da P-256 gibi 256 bit EC anahtarı — yine modern ücretsiz sertifikaların varsayılanı.

Son üç konuda not: geçerli-ve-güvenilir uyarı sayfasını oluşturan kritik olandır. İmza ve anahtar gücü geleceğe yönelik ve denetimler içindir — yakın tarihli ücretsiz sertifika bunları neredeyse her zaman otomatik olarak geçer, ancak güvenlik incelemesinin kontrol edeceği şeyler bunlardır, dolayısıyla doğru almaya değer.

Nasıl düzeltilir (ücretsiz, ~15 dakika)

Bu bölümü web sitenizi veya barındırmanızı çalıştıran kişiye iletin — düzeltme ücretsizdir. Let’s Encrypt veya herhangi bir modern barındırıcı aracılığıyla geçerli, güçlü, otomatik yenilenen sertifika ücretsizdir. Yalnızca zamanla sağlıklı kalmasını izlemek için ücret alıyoruz, düzeltmek için değil.

1. Adım — Sertifikayı ücretsiz, güvenilir bir sertifikayla alın veya değiştirin. Bu tek adım geçerliliği, imzayı ve anahtar gücünü aynı anda düzeltir; çünkü modern ücretsiz sertifikalar varsayılan olarak SHA-256 ve güçlü anahtarlar kullanır.

• Cloudflare: SSL/TLS → Genel Bakış’ta modu Tam (Katı) olarak ayarlayın. Cloudflare sizin için güvenilir kenar sertifikası verir ve otomatik yeniler; “Katı” çalışması için kaynak sunucunuzun da geçerli sertifikası olduğundan emin olun.
• Google Workspace / Microsoft 365 barındırması veya herhangi bir cPanel barındırıcısı: SSL/TLS Durumu’nu arayın ve AutoSSL’i çalıştırın. Ücretsiz sertifikaları otomatik sağlar ve yeniler.
• Site oluşturucular (Squarespace, Wix, Shopify, modern WordPress barındırıcıları): SSL genellikle varsayılan olarak açıktır — alan adı/güvenlik ayarlarınızda etkin olduğunu ve hem sizniz.com hem de www.sizniz.com’u kapsadığını doğrulayın.
• Kendi Linux sunucunuz (Nginx/Apache): Certbot ile Let’s Encrypt kurun — sudo certbot --nginx -d sizniz.com -d www.sizniz.com (ya da --apache). Modern EC anahtarı için --key-type ecdsa ekleyin. Sertifikanın hepsini karşılaması için -d ile her barındırdığınız ana bilgisayar adını listeleyin.

2. Adım — Yenilemeyi otomatik hale getirin ki asla sona ermesin. Bu, hafta sonu kesintisi senaryosunu önleyen adımdır.

• Let’s Encrypt sunucusunda yenileme zamanlayıcısının aktif olduğunu doğrulayın ve test edin: sudo certbot renew --dry-run. Certbot normalde otomatik zamanlayıcı kurar; değilse günlük cron işi ekleyin: 0 3 * * * certbot renew --quiet.
• Cloudflare, cPanel AutoSSL ve yönetilen/site-oluşturucu barındırıcılarda yenileme sizin için yapılır — zamanlamak için hiçbir şey yok.

3. Adım — Doğru adları kapsadığından emin olun. En yaygın “geçerli ama uyarı” nedeni ad uyumsuzluğudur. Sertifika, müşterilerin gerçekte kullandığı her ana bilgisayar adını karşılamalıdır — yalın alan adı, www ve shop. veya app. gibi alt alan adları. Sertifika oluşturulurken her birini dahil edin (joker karakter *.sizniz.com tüm alt alan adlarını tek seferde karşılar).

4. Adım — Yalnızca imza veya anahtar gücü işaretlenmişse yeniden verin. Hiçbir şey satın almanıza gerek yok: yeni sertifika oluşturun (1. Adım) ve yeni olan SHA-256 ve güçlü anahtarı otomatik olarak kullanacaktır. Kendi sunucunuzda modern anahtarı açıkça belirtebilirsiniz — örn. EC için openssl ecparam -genkey -name prime256v1 -out server.key ya da RSA için openssl genrsa -out server.key 4096 — ardından yeniden verin.

5. Adım — Doğrulayın, ardından burada yeniden kontrol edin. Tarihleri, yayıncıyı ve anahtarı hızlı komutla doğrulayın — echo | openssl s_client -servername sizniz.com -connect sizniz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — ardından bu kontrolü yeniden çalıştırın.

Yaygın hatalar

• “Bir kez SSL kurduk” diye tamamlanmış saymak. Sertifikalar bir saate göre sona erer. Otomatik yenileme olmadan soru “sona erer mi?” değil “ne zaman?” sorusuna dönüşür — genellikle en uygunsuz anda.
• www’yi kapsayıp yalın alan adını kapsamamak (ya da tersi). Her ikisi de sertifikada olmalıdır, aksi takdirde birinde ad uyumsuzluğu uyarısı çıkar. Aynı tuzak sonradan eklenen yeni alt alan adlarını da yakalar.
• Aslında genel olan “test” alt alan adında kendinden imzalı sertifika bırakmak. Şifreler, dolayısıyla güvenli hisseder — ama tarayıcılar (ve güvenlik tarayıcıları) buna güvensiz sayar ve bu klasik bir denetim kırmızı bayrağıdır.
• Ücretlinin daha güvenli olduğunu varsaymak. Ücretsiz Let’s Encrypt sertifikası, pahalı bir sertifika kadar tam olarak güvenilir ve şifredir. Daha fazla ödeme daha güçlü asma kilit sağlamaz.
• Sertifikayı yenilemek ama sunucuyu yeniden yüklemeyi unutmak. Diskte duran yeni sertifika, web sunucusu onu almak için yeniden yüklenene kadar hiçbir şey yapmaz — “yeniledi ama hâlâ süresi dolmuş gösteriyor” sorununun şaşırtıcı derecede yaygın bir nedeni.
• Sessizce başarısız olan otomatik yenileme. Yenileme işi bozulabilir (taşınan dosya, DNS değişikliği, engellenen port) ve sessizce “başarılı” olmaya devam edebilir. Son kullanma tarihini izlemek — yalnızca yenileme işini değil — bunu ısırmadan önce gerçekten yakalayan şeydir.

SSS