SSL Sertifikası Nedir, Nasıl Alınır ve Kurulur?

SSL Sertifikası Nedir, Nasıl Alınır ve Kurulur?

SSL sertifikası, web siteniz ile ziyaretçinin tarayıcısı arasındaki veri iletişimini şifreleyen dijital bir güvenlik belgesidir. Açılımı Secure Sockets Layer (Güvenli Yuva Katmanı) olan SSL; kullanıcı adı, parola, kredi kartı ve kişisel bilgiler gibi verilerin üçüncü taraflarca okunamayacak şekilde şifrelenmesini sağlar. Bugün SSL yalnızca bir güvenlik önlemi değil; hem ziyaretçi güveni hem de Google sıralaması açısından her web sitesinin sahip olması gereken bir temel gerekliliktir. Bu rehberde SSL sertifikasının ne olduğunu, nasıl çalıştığını, türlerini ve adım adım nasıl alınıp kurulduğunu sade bir dille anlatıyoruz.

SSL Sertifikası Nedir ve Nasıl Çalışır?

SSL sertifikasını, iki anahtarı olan bir kilide benzetebilirsiniz. Sertifikayı sunucunuza kurduğunuzda sisteme dijital bir kilit takmış olursunuz. Anahtarlardan biri (özel anahtar) sunucunuzda kalır, diğeri ise ziyaretçinin tarayıcısında bulunur. Bir ziyaretçi sitenize bağlandığında bu iki anahtar birbirini doğrular ve aradaki tüm veri trafiği şifreli bir tünelden akmaya başlar. Böylece bir saldırgan araya girse bile ele geçirdiği veri, anlamsız matematiksel karakterlerden ibaret olur.

Bu şifreleme sürecinde günümüzde aslında SSL protokolünün daha güncel ve güvenli hali olan TLS (Transport Layer Security) kullanılır. Ancak sektörde alışkanlıktan dolayı hala yaygın biçimde SSL adı kullanılmaya devam eder; pratikte ikisini aynı anlamda düşünebilirsiniz. Teknik olarak bakıldığında, tarayıcı ile sunucu bağlantı kurarken kısa bir el sıkışma (handshake) gerçekleştirir: taraflar birbirini tanır, ortak bir şifreleme anahtarı üzerinde anlaşır ve bundan sonraki tüm veri bu anahtarla şifrelenir. Bu süreç saliseler içinde tamamlanır ve ziyaretçi hiçbir gecikme hissetmez.

SSL sertifikasının güvenilir olabilmesi için tarayıcıların tanıdığı bir Sertifika Otoritesi (Certificate Authority) tarafından imzalanmış olması gerekir. Sertifika otoritesi, sertifikayı vermeden önce başvuranın kimliğini doğrular; bu yüzden geçerli bir SSL sertifikası aynı zamanda sitenin gerçekten iddia ettiği kişi ya da kuruma ait olduğunun da bir kanıtıdır. Kendinden imzalı (self-signed) sertifikalar bu doğrulamadan geçmediği için tarayıcılar tarafından güvenilmez kabul edilir ve uyarı üretir.

HTTPS Nedir ve SSL ile İlişkisi

HTTPS, standart HTTP protokolünün SSL ile şifrelenmiş güvenli versiyonudur. Sitenize SSL sertifikası kurduğunuzda adresiniz otomatik olarak http yerine https ile başlar ve tarayıcının adres çubuğunda bir kilit simgesi görünür. Bir sitenin SSL kullanıp kullanmadığını anlamanın en basit yolu da budur: URL https ile başlıyorsa bağlantı şifrelidir. Doğru altyapıyla kurulmuş bir kurumsal web sitesi için HTTPS artık istisna değil, standart bir beklentidir.

SSL Sertifikası Türleri: DV, OV ve EV

Tüm SSL sertifikaları aynı şifreleme gücünü sunar; aralarındaki fark, sertifikayı alan kişi veya kurumun ne kadar detaylı doğrulandığıdır. Doğrulama seviyesi arttıkça ziyaretçiye verilen güven de artar.

  • DV (Domain Validation - Alan Adı Doğrulaması): En temel seviyedir. Yalnızca alan adının size ait olduğu doğrulanır, kurumsal bir inceleme yapılmaz. Hızlı ve genellikle ücretsiz veya düşük maliyetlidir. Bloglar, kişisel siteler ve tanıtım siteleri için idealdir.
  • OV (Organization Validation - Kurum Doğrulaması): Alan adına ek olarak başvuran kurumun resmi kaydı (ticaret sicili, vergi bilgileri, adres) incelenir. Küçük ve orta ölçekli işletmeler, kurumlar ve eğitim kuruluşları için uygundur.
  • EV (Extended Validation - Genişletilmiş Doğrulama): En kapsamlı ve en pahalı türdür. Kurumun hukuki ve fiziksel varlığı en ayrıntılı şekilde denetlenir, bu yüzden kimlik avı saldırılarına karşı en güçlü koruma sağlar. Bankalar, finans kuruluşları ve büyük e-ticaret platformları için standart kabul edilir.

Güvenlik ve doğrulama kapsamı açısından sıralama DV, OV ve EV şeklinde artar. Şunu unutmamak gerekir: şifreleme gücü üç türde de aynıdır, yani DV sertifikası da EV kadar güçlü şifreleme sunar. Aradaki fark tamamen doğrulama derinliği ve dolayısıyla ziyaretçiye verilen kurumsal güven düzeyiyle ilgilidir.

Kapsam bakımından ise iki ek seçenek daha vardır. Birden fazla alt alan adınızı (blog.siteniz.com, magaza.siteniz.com gibi) tek sertifikayla korumak isterseniz Wildcard SSL, tek bir belgeyle o alan adının bütün alt alan adlarını kapsar. Farklı alan adlarını (siteniz.com, siteniz.net gibi) tek sertifikada toplamak isterseniz de Multi-Domain (SAN) sertifikaları tercih edilir. Böylece yönetimi kolaylaşır ve maliyet düşer.

Ücretsiz SSL mi, Ücretli SSL mi?

Ücretsiz SSL denince akla ilk gelen Let's Encrypt olur. 2015 yılında kâr amacı gütmeyen Internet Security Research Group tarafından başlatılan ve Mozilla, Cisco gibi kuruluşlarca desteklenen bu hizmet, herkese ücretsiz DV seviyesinde sertifika sunar. Çoğu modern hosting paketi Let's Encrypt'i tek tıkla kurulabilecek şekilde entegre eder.

Peki hangisini seçmelisiniz? Kısaca ihtiyacınıza bağlıdır:

  • Ücretsiz SSL uygundur: Bloglar, tanıtım siteleri ve ödeme/hassas veri toplamayan siteler için yeterlidir. Genellikle 90 gün geçerlidir ve çoğu panelde otomatik yenilenir.
  • Ücretli SSL gerekir: E-ticaret, üyelik, ödeme ve yoğun kişisel veri işleyen siteler için önerilir. OV/EV gibi üst doğrulama seviyeleri, garanti, teknik destek ve daha uzun geçerlilik gibi avantajlar sunar.

Özellikle müşteri verisi işleyen siteler için güvenlik yalnızca SSL ile bitmez; yasal yükümlülükleri de kapsar. Bu nedenle SSL kurarken KVKK ve çerez uyumu tarafını da birlikte ele almak akıllıca olur.

SSL Sertifikası Nasıl Alınır ve Kurulur?

SSL sertifikası almanın iki temel yolu vardır: hosting firmanızdan ya da bir sertifika sağlayıcıdan satın almak veya Let's Encrypt gibi ücretsiz bir çözüm kullanmak. Kurulum, hosting kontrol panelinize göre küçük farklılıklar gösterir. Aşağıda en yaygın senaryoları özetliyoruz.

cPanel Üzerinden Kurulum

  • cPanel'e giriş yapın: Genellikle alanadiniz.com:2083 adresinden panelinize erişebilirsiniz.
  • SSL/TLS bölümünü açın: Güvenlik (Security) başlığı altındaki SSL/TLS veya SSL/TLS Status seçeneğine gidin.
  • Ücretsiz kurulum için: SSL/TLS Status ekranında alan adınızı seçip Run AutoSSL butonuna basmanız çoğu durumda yeterlidir; sistem doğrulamayı yapıp sertifikayı otomatik yükler.
  • Ücretli sertifika için: Önce bir CSR (Certificate Signing Request) oluşturup sağlayıcınıza iletirsiniz. Sağlayıcının verdiği sertifika (CRT) kodunu ilgili alana yapıştırıp Sertifika Yükle butonuyla kurulumu tamamlarsınız.

Plesk Panel Üzerinden Kurulum

Plesk kullanıyorsanız arayüzdeki Let's Encrypt seçeneğine tıklayın, korunacak alan adlarını işaretleyin ve Kur (Install) butonuna basın. Ücretsiz sertifika birkaç saniyede kurulur ve periyodik olarak otomatik yenilenir.

Kurulum Sonrası Yapılması Gerekenler

Sertifika kurulduktan sonra sitenizin hemen tümüyle https çalışmayabilir. Sitenizdeki eski http bağlantılarının https olarak güncellenmesi ve tüm http trafiğinin otomatik olarak https'e yönlendirilmesi gerekir; aksi halde tarayıcı içerikleri karışık sayar. Hangi altyapıyı kullandığınız bu yönlendirme ve bakım kolaylığını doğrudan etkiler; doğru web sitesi altyapısı seçimi, SSL yönetimini de kolaylaştırır.

SSL Olmazsa Ne Olur? SEO ve Güven Etkisi

SSL sertifikası bulunmayan siteler http protokolü kullandığı için Google Chrome ve diğer modern tarayıcılar adres çubuğunda büyük harflerle Güvenli Değil (Not Secure) uyarısı gösterir. Bu uyarı ziyaretçilerin gözünde ciddi bir güven kaybı yaratır; birçok kullanıcı böyle bir siteye bilgi girmekten kaçınır ve sayfayı hemen terk eder.

Konunun bir de SEO boyutu vardır. Google, HTTPS'i 2014'ten bu yana resmi bir sıralama sinyali olarak kabul eder. İçeriği ve hızı benzer iki siteden HTTPS kullanan, arama sonuçlarında avantajlı konuma geçer. SSL'siz sitelerde artan hemen çıkma oranı ve düşen güven, dolaylı olarak sıralamalarınızı da olumsuz etkiler. Kısacası SSL, hem kullanıcı deneyimi hem de görünürlük için vazgeçilmezdir.

Bunun ötesinde, e-ticaret ve ödeme kabul eden siteler için SSL çoğu zaman bir tercih değil, zorunluluktur. Kredi kartı verilerini işleyen sitelerin uyması gereken PCI DSS gibi güvenlik standartları, aktarımdaki verilerin şifrelenmesini şart koşar; bu da pratikte geçerli bir SSL sertifikası anlamına gelir. Aynı şekilde iletişim formu, üyelik veya bülten aboneliği gibi kişisel veri toplayan her sayfa, ziyaretçinin bilgilerini korumak için mutlaka HTTPS üzerinden çalışmalıdır.

Geçerlilik Süresi ve Yenileme

SSL sertifikaları süresiz değildir. Sektör standardı yıllar içinde giderek kısalmakta olup güncel eğilim, geçerlilik sürelerinin belirgin şekilde azalması yönündedir. Let's Encrypt sertifikaları 90 gün geçerlidir ve genellikle otomatik yenilenir. Ücretli sertifikalarda ise süre dolmadan yaklaşık 30 gün önce yenileme yapılması önerilir. Süresi dolan bir sertifika, tarayıcıda anında güvenlik uyarısına yol açacağı için yenileme takvimini kaçırmamak önemlidir.

Web Siteniz İçin Doğru ve Güvenli Bir Başlangıç

SSL sertifikası; ziyaretçi verilerini şifreleyen, tarayıcı uyarılarını ortadan kaldıran ve SEO açısından size avantaj sağlayan temel bir güvenlik katmanıdır. Doğru türü seçmek, sağlıklı biçimde kurmak, http'den https'e yönlendirmeyi yapmak ve yenileme sürecini takip etmek ilk bakışta teknik görünse de, bu adımlar bir kez doğru kurgulandığında uzun yıllar sorunsuz çalışır. Bu süreci uzmanlara bırakmak isterseniz, Yassmedya olarak SSL kurulumu ve güvenli hosting dahil, kurumsal web sitenizi baştan sona güvenli bir altyapıyla kuruyor; siz işinize odaklanırken sitenizin teknik güvenliğini biz üstleniyoruz.

YassMedya Kurumsal Çözüm Ortağınız Olmaya Hazır. Dijital Platformda Tüm İhtiyaçlarınıza Tek Çözüm!