← Blog'a Dön

SSL Sertifikası Nedir, Ne İşe Yarar? HTTPS Olmadan Site Açmayın

SSL Sertifikası ve HTTPS Güvenliği

Chrome tarayıcısında bir siteye girdiğinizde adres çubuğunda kilit simgesi görüyorsanız, o site HTTPS üzerinden çalışıyor demektir. Kilit yoksa ve "Güvenli Değil" uyarısı varsa, kullanıcıların büyük çoğunluğu hemen geri tuşuna basıyor. SSL sertifikası artık bir lüks değil; hem kullanıcı güveni hem SEO hem de yasal uyumluluk açısından zorunlu bir altyapı bileşenidir.

SSL/TLS Nedir? HTTPS Nasıl Çalışır?

SSL (Secure Sockets Layer), tarayıcı ile sunucu arasındaki veri trafiğini şifreleyen bir protokoldür. Teknik olarak SSL'nin yerini çoktan TLS (Transport Layer Security) aldı; ancak sektörde hâlâ "SSL" terimi yaygın biçimde kullanılıyor.

HTTPS bağlantısı şu şekilde kurulur:

  1. Tarayıcı sunucuya bağlanır ve "Merhaba, HTTPS konuşmak istiyorum" der (Client Hello).
  2. Sunucu SSL sertifikasını gönderir. Bu sertifika, sunucunun kimliğini doğrulayan dijital bir belgedir.
  3. Tarayıcı sertifikayı güvenilir bir sertifika otoritesi (CA) tarafından imzalanıp imzalanmadığını kontrol eder.
  4. Her iki taraf bir oturum anahtarı üzerinde anlaşır (TLS Handshake).
  5. Bundan sonraki tüm veri alışverişi bu oturum anahtarıyla simetrik olarak şifrelenir.

Sonuç: İnternet servis sağlayıcınız, ağdaki kötü niyetli kişiler veya başka bir aracı, sizinle site arasındaki trafiği okuyamaz veya değiştiremez. Özellikle şifre, kart bilgisi veya kişisel veri gönderildiğinde bu şifreleme hayati önem taşır.

HTTP ile HTTPS Arasındaki Fark ve Chrome'un "Güvenli Değil" Uyarısı

HTTP (HyperText Transfer Protocol), veriyi düz metin olarak iletir. Aynı ağdaki bir saldırgan, HTTP trafiğini kolayca okuyabilir ve değiştirebilir (Man-in-the-Middle saldırısı). HTTPS ise bu trafiği şifreler.

Google Chrome, Temmuz 2018'de yayımlanan sürüm 68'den itibaren HTTP sitelerini adres çubuğunda "Güvenli Değil" (Not Secure) olarak işaretlemeye başladı. Firefox da benzer bir yaklaşım benimsedi. Bu uyarıyı gören kullanıcıların %85'i siteyi terk ettiğini gösteren araştırmalar mevcut. Özellikle form veya ödeme sayfası içeren sitelerde bu etki çok daha kritik.

SSL Sertifikası Türleri

Doğrulama Seviyesine Göre

  • DV (Domain Validation — Alan Adı Doğrulama): Yalnızca alan adının sahibi olduğunuz doğrulanır. Dakikalar içinde verilir. Kişisel bloglar, bilgi siteleri için uygundur. Let's Encrypt bu kategoridedir.
  • OV (Organization Validation — Kurum Doğrulama): Alan adı sahipliğine ek olarak şirket bilgileri de doğrulanır. Birkaç gün sürer. Kurumsal siteler için önerilir.
  • EV (Extended Validation — Genişletilmiş Doğrulama): En kapsamlı doğrulama. Şirketin yasal varlığı, adresi ve kimliği detaylı incelenir. Eski tarayıcılarda adres çubuğunda yeşil şirket adı gösterirdi; modern tarayıcılarda bu görsel fark kalktı. Büyük bankalar ve finans kurumları için uygundur.

Kapsam Açısından

  • Single Domain: Yalnızca tek bir alan adını kapsar (örnek.com).
  • Wildcard: Ana alan adı ve tüm alt alan adlarını kapsar (*.örnek.com — blog.örnek.com, shop.örnek.com gibi).
  • Multi-Domain (SAN): Tek sertifikayla birden fazla farklı alan adını kapsar. Birden fazla projeyi yöneten ajanslar için pratiktir.

Let's Encrypt: Ücretsiz SSL Nasıl Alınır?

Let's Encrypt, 2016'da hizmet vermeye başlayan, Internet Security Research Group (ISRG) tarafından yönetilen ve tamamen ücretsiz DV sertifikası sunan bir sertifika otoritesidir. Tüm büyük tarayıcılar tarafından güvenilir kabul edilir.

Let's Encrypt sertifikası nasıl alınır?

  • cPanel barındırma: Çoğu modern hosting panelinde "SSL/TLS" bölümünde "AutoSSL" veya "Let's Encrypt" seçeneği bulunur. Tek tıkla aktive edilir ve otomatik yenilenir.
  • Certbot ile manuel kurulum: Linux sunucularda certbot --nginx veya certbot --apache komutuyla birkaç dakikada kurulum tamamlanır.
  • Cloudflare üzerinden: Alan adınızı Cloudflare'e taşırsanız, ücretsiz planda bile otomatik SSL aktivasyonu sağlanır. Bunu aşağıda daha detaylı ele alıyoruz.

Let's Encrypt sertifikaları 90 günde bir yenilenmesi gerekir; ancak Certbot ve çoğu hosting paneli bu yenilemeyi otomatik halleder.

SSL'nin SEO'ya Doğrudan Etkisi

Google, Ağustos 2014'te yayımladığı resmi blog yazısında HTTPS'i hafif bir sıralama sinyali olarak kullanmaya başladığını duyurdu. O günden bu yana bu sinyalin ağırlığı kademeli olarak arttı.

Bugün SSL'nin SEO üzerindeki etkileri:

  • HTTP siteler, eşit koşullarda HTTPS rakiplerine göre sıralamada geride kalır.
  • Chrome'un "Güvenli Değil" uyarısı bounce rate'i artırır; yüksek bounce rate dolaylı olarak sıralamayı etkiler.
  • Google Search Console, HTTP ve HTTPS URL'lerini ayrı mülkler olarak değerlendirir; ikisini de eklemezseniz veri eksik görünür.
  • Backlink'lerin HTTP versiyonuna gelmesi durumunda canonical ve redirect ayarları doğru yapılmazsa link juice kaybı yaşanır.

Daha kapsamlı SEO iyileştirmeleri için SEO optimizasyon hizmetlerimizi inceleyebilirsiniz.

Mixed Content Hatası Nedir, Nasıl Giderilir?

Siteniz HTTPS üzerinden yayın yapıyor olsa bile, sayfanın içindeki bazı kaynaklar (görseller, scriptler, CSS dosyaları) hâlâ HTTP üzerinden yükleniyorsa "Mixed Content" hatası oluşur. Tarayıcı bu durumda güvenlik uyarısı verir veya HTTP kaynakları tamamen engeller.

Mixed Content hatalarını tespit etmek için:

  • Chrome DevTools → Console sekmesinde sarı veya kırmızı mixed content uyarılarını kontrol edin.
  • Why No Padlock? (whynopadlock.com) aracı, sayfanızdaki tüm HTTP kaynaklarını listeler.

Gidermek için HTML/CSS/JS dosyalarındaki tüm http:// referanslarını https:// ile değiştirin. WordPress sitelerinde Better Search Replace eklentisiyle veritabanındaki HTTP URL'lerini toplu olarak HTTPS'e çevirin. .htaccess dosyasına şu direktifi eklemek de HTTP kaynaklarını otomatik olarak HTTPS'e yönlendirir:

Header always set Content-Security-Policy "upgrade-insecure-requests;"

SSL Sertifikası Kurulum Adımları

  1. CSR (Certificate Signing Request) oluşturun: Hosting panelinizde veya OpenSSL komutuyla sunucunuza ait bir CSR ve özel anahtar oluşturun.
  2. Sertifikayı satın alın veya Let's Encrypt'ten ücretsiz alın: Ücretli sertifikalar için Comodo, DigiCert veya Sectigo gibi CA'lardan satın alma yapılır.
  3. Doğrulama tamamlayın: DV için alan adı doğrulaması (DNS kaydı veya dosya yükleme), OV/EV için kurum doğrulaması.
  4. Sertifikayı sunucuya yükleyin: cPanel'de SSL Manager, Nginx/Apache konfigürasyonuna sertifika yolu tanımlanır.
  5. HTTP → HTTPS yönlendirmesi kurun: Tüm HTTP trafiğini HTTPS'e kalıcı (301) yönlendirin.
  6. Mixed content kontrolü yapın ve düzeltin.
  7. Google Search Console'da HTTPS mülkünü ekleyin ve sitemap gönderin.

HSTS (HTTP Strict Transport Security) Nedir?

HSTS, tarayıcıya "bu siteye her zaman HTTPS üzerinden bağlan, HTTP deneme bile" talimatını veren bir güvenlik başlığıdır. Bir kez HSTS başlığını alan tarayıcı, belirtilen süre boyunca sitenize HTTP üzerinden bağlanmayı denemez bile; doğrudan HTTPS'e geçer.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Bu başlığı sunucunuza ekleyin. max-age=31536000 bir yıl anlamına gelir. preload direktifiyle hstspreload.org listesine kaydolarak tarayıcıların önceden bu bilgiyi bilmesini sağlayabilirsiniz; böylece ilk ziyarette bile HTTP denemesi olmaz.

Dikkat: HSTS aktive etmeden önce SSL kurulumunuzun tam ve doğru çalıştığından emin olun. Yanlış yapılandırılmış HSTS, sitenizi kilitleyebilir.

E-Ticaret Sitelerinde SSL Zorunluluğu: PCI-DSS

Kredi kartı ödemesi alan her site, PCI-DSS (Payment Card Industry Data Security Standard) standartlarına uymak zorundadır. Bu standartların temel gerekliliklerinden biri, kart sahibi verilerinin aktarımının TLS ile şifrelenmesidir.

PCI-DSS uyumsuzluğunun sonuçları ciddidir: kart ağlarından (Visa, Mastercard) para cezası, veri ihlali durumunda hukuki sorumluluk ve ödeme işlemcisinin sözleşmeyi feshetmesi. Bu nedenle e-ticaret projelerinde SSL yalnızca iyi bir uygulama değil, yasal zorunluluktur.

SSL Sertifikası Süresi Dolunca Ne Olur?

Sertifika süresi dolduğunda tarayıcılar "Bu bağlantı güvenli değil — NET::ERR_CERT_DATE_INVALID" gibi tam ekran bir uyarı gösterir. Kullanıcılar bu sayfayı geçip devam edebilir; ancak pratikte büyük çoğunluğu geri döner.

Süresi dolmuş sertifikasyon ile yaşanan sonuçlar:

  • Organik trafik dramatik biçimde düşer (Google bot da bu uyarılarla karşılaşır)
  • E-ticaret satışları durabilir
  • Kurumsal müşterilerde güven kaybı oluşur

Çözüm: Otomatik yenileme ayarlayın. Certbot ve Let's Encrypt otomatik yenilemeyi destekler. Ücretli sertifikalar için hosting panelinizde veya takvim uygulamanızda bitiş tarihinden 30 gün önce hatırlatıcı kurun.

Cloudflare ile Ücretsiz SSL Aktivasyonu

Cloudflare'in ücretsiz planı, alan adınızın DNS'ini Cloudflare'e taşımanız karşılığında otomatik SSL sertifikası sağlar. Kurulum adımları:

  1. Cloudflare.com'a kaydolun ve alan adınızı ekleyin.
  2. Cloudflare'in belirlediği nameserver'ları alan adı kayıt şirketinizde güncelleyin.
  3. SSL/TLS bölümünde şifreleme modunu "Full (Strict)" olarak ayarlayın.
  4. Edge Certificates sekmesinden "Always Use HTTPS" seçeneğini aktive edin.
  5. HSTS'yi de bu panelden etkinleştirebilirsiniz.

Cloudflare'in "Full (Strict)" modu, hem tarayıcı-Cloudflare hem de Cloudflare-sunucu arasındaki trafiği şifreler. Yalnızca "Flexible" mod seçerseniz Cloudflare-sunucu arası hâlâ HTTP'dir; bu güvenlik açığı yaratır.

SRN Dijital'in Tüm Projelerinde SSL Standardı

SRN Dijital olarak teslim ettiğimiz her web tasarım ve yazılım projesinde SSL kurulumu, HTTPS yönlendirmesi ve HSTS yapılandırması standart teslim paketinin bir parçasıdır. Projeyi HTTP üzerinde teslim etmiyoruz; çünkü SSL olmadan yapılan tüm SEO ve performans çalışması eksik kalır.

Kurumsal web sitelerinde OV sertifikası, e-ticaret projelerinde PCI-DSS uyumlu SSL yapılandırması, kişisel ve küçük ölçekli projelerde Let's Encrypt ile ücretsiz SSL kurulumu yapıyoruz. Mevcut sitenizin SSL durumunu değerlendirmek veya yeni bir proje başlatmak için bizimle iletişime geçin.

Profesyonel Desteğe mi İhtiyacınız Var?

SRN Dijital ekibi olarak dijitalleşme sürecinizin her adımında yanınızdayız.

Hemen Ulaşın
Ara
WhatsApp
Yorumlar

İlgili Hizmetler

İlgili Yazılar

Ücretsiz Danışmanlık Alın