Bir Alan Adına SSL Sertifikası Nasıl Kurulur

Bir SSL sertifikası (Secure Sockets Layer / TLS), güvenilir bir Sertifika Otoritesi (CA) tarafından verilen ve sunucunuzun kimliğini doğrulayan ve sunucu ile istemcinin tarayıcısı arasında şifreli bir kanal oluşturan kriptografik bir kimlik belgesidir. Doğru şekilde kurulduğunda, sitenizi http://‘den https://‘ye yükseltir, tarayıcı kilit simgesini etkinleştirir ve iletilen verilerin ortadaki adam saldırılarıyla ele geçirilmesini önler.

SEO açısından Google, 2014’ten bu yana HTTPS’yi onaylanmış bir sıralama sinyali olarak değerlendirmektedir. Kullanıcılar açısından ise eksik veya yanlış yapılandırılmış bir sertifika, dönüşüm oranlarını olumsuz etkileyen tarayıcı güvenlik uyarılarını tetikler. İster tek bir açılış sayfası yönetiyor olun ister çok alanlı bir altyapı, SSL’yi doğru kurmak — ve doğru tutmak — vazgeçilmezdir.

Başlamadan Önce Ön Koşullar

Herhangi bir yapılandırma dosyasına dokunmadan önce aşağıdakilerin mevcut olduğunu doğrulayın:

• Kayıtlı bir alan adı, sunucunuzun IP adresine yönlendirilmiş ve DNS tamamen yayılmış olmalıdır. Bir alan adını Alan Adı Kaydı üzerinden kaydedebilir veya transfer edebilirsiniz.
• Bir CA’dan SSL sertifika paketi. Bu genellikle şunları içerir:
• certificate.crt — birincil imzalı sertifikanız
• private.key — CSR’ınızla birlikte oluşturulan özel anahtar
• ca_bundle.crt — ara CA zinciri (bazen zincir dosyası olarak da adlandırılır)
• Sunucu veya kontrol paneli erişimi — cPanel/Plesk kimlik bilgileri veya sunucuya SSH root/sudo erişimi.
• Web sunucusu yazılımı — Alan adınız için çalışan ve yapılandırılmış Apache veya Nginx.
• Açık 443 portu — Herhangi bir şey kurmadan önce güvenlik duvarınızın 443 portunda gelen TCP bağlantılarına izin verdiğini doğrulayın.

Bir VPS Hosting ortamı kullanıyorsanız, tam root erişimine sahip olacak ve aşağıdaki üç yöntemden herhangi birini kullanabileceksiniz. Paylaşımlı hosting kullanıcıları genellikle yalnızca cPanel yöntemiyle sınırlıdır.

Doğru SSL Sertifika Türünü Seçmek

Tüm sertifikalar eşdeğer değildir. Yanlış türü seçmek para israfına veya kapsam boşluklarına yol açar.

Üretim ortamındaki e-ticaret siteleri veya ödeme kartı verisi işleyen herhangi bir site için ticari bir CA’dan OV veya EV sertifikaları kesinlikle önerilir. Let’s Encrypt DV sertifikaları tamamen güvenilirdir ve çoğu kullanım senaryosu için mükemmeldir, ancak kurumsal kimlik doğrulaması içermez.

OV, EV veya Wildcard kapsamına ve özel desteğe ihtiyaç duyuyorsanız ticari sertifikaları doğrudan SSL Sertifikaları üzerinden satın alabilirsiniz.

Yöntem 1: cPanel Üzerinden SSL Sertifikası Kurulumu

cPanel’in grafik arayüzü, yönetilen veya Paylaşımlı Web Hosting planlarındaki kullanıcılar için en hızlı yoldur. cPanel yönetimli bir VPS ortamı tercih ediyorsanız, cPanel’li VPS size tam sunucu kontrolüyle aynı arayüzü sunar.

Adım 1: cPanel’e Giriş Yapın

cPanel giriş URL’nize gidin:

https://yourdomain.com:2083

Hosting kimlik bilgilerinizle giriş yapın.

Adım 2: SSL/TLS Yöneticisine Gidin

cPanel kontrol panelinin Güvenlik bölümünde SSL/TLS‘ye tıklayın. Ardından “Siteniz için SSL’yi Kurun ve Yönetin (HTTPS)” başlığı altında SSL Sitelerini Yönet‘i seçin.

Adım 3: Hedef Alan Adını Seçin

Güvence altına almak istediğiniz alan adını seçmek için Alan Adı açılır menüsünü kullanın. Alan adı görünmüyorsa, cPanel’de ek alan adı veya birincil alan adı olarak eklendiğini doğrulayın.

Adım 4: Sertifika Bileşenlerini Yapıştırın

Her sertifika dosyasını düz metin düzenleyicide (Word değil) açın ve içeriği ilgili alanlara yapıştırın:

• Sertifika (CRT): certificate.crt içeriği
• Özel Anahtar (KEY): private.key içeriği. CSR’ı cPanel içinde oluşturduysanız, bu alan cPanel’in anahtar deposundan otomatik olarak doldurulur.
• Sertifika Otoritesi Paketi (CABUNDLE): ca_bundle.crt içeriği. Bu alanın boş bırakılması, mobil cihazlarda ve eski tarayıcılarda “güvenilmeyen sertifika” hatalarının en yaygın nedenlerinden biridir; çünkü tarayıcı zinciri güvenilir bir köke kadar oluşturamaz.

Adım 5: Kurun ve Doğrulayın

Sertifikayı Kur‘a tıklayın. cPanel, işlemi onaylamadan önce anahtar-sertifika çiftini doğrular. Özel anahtar ile sertifikanın genel anahtarı arasında uyumsuzluk varsa, cPanel kurulumu açık bir hata mesajıyla reddeder — bunu görmezden gelmeyin.

Kurulumdan sonra https://yourdomain.com adresini ziyaret edin ve kilit simgesinin göründüğünü doğrulayın. www alt alan adı kullanılıyorsa https://www.yourdomain.com adresini de test edin.

Yaygın cPanel hatası: AutoSSL (cPanel’in yerleşik Let’s Encrypt entegrasyonu), bir sonraki yenileme döngüsünde manuel olarak kurulan sertifikanın üzerine yazabilir. Ticari bir sertifika kurduysanız, istenmeyen değişikliği önlemek için cPanel > SSL/TLS Durumu altında ilgili alan adı için AutoSSL’yi devre dışı bırakın.

Yöntem 2: Let’s Encrypt ve Certbot ile Otomatik Kurulum

Certbot, Let’s Encrypt için referans ACME istemcisidir. CSR oluşturma, alan adı doğrulama, sertifika alma, web sunucusu yapılandırması ve yenileme işlemlerini — tümünü otomatik olarak — gerçekleştirir. Bu, doğrudan yönettiğiniz herhangi bir Linux sunucusu için doğru yaklaşımdır.

Adım 1: SSH Üzerinden Sunucunuza Bağlanın

ssh username@your-server-ip

Adım 2: Certbot’u Kurun

Debian / Ubuntu (Apache):

sudo apt update && sudo apt install -y certbot python3-certbot-apache

Debian / Ubuntu (Nginx):

sudo apt update && sudo apt install -y certbot python3-certbot-nginx

RHEL / AlmaLinux / Rocky Linux (Apache):

sudo dnf install -y epel-release
sudo dnf install -y certbot python3-certbot-apache

RHEL / AlmaLinux / Rocky Linux (Nginx):

sudo dnf install -y epel-release
sudo dnf install -y certbot python3-certbot-nginx

Adım 3: Sertifikayı Alın ve Kurun

Apache için:

sudo certbot --apache -d yourdomain.com -d www.yourdomain.com

Nginx için:

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Certbot varsayılan olarak HTTP-01 doğrulaması gerçekleştirir: web kök dizininize geçici bir dosya yerleştirir ve Let’s Encrypt sunucularından bu dosyayı 80 portu üzerinden getirmesini ister. Bu, komutu çalıştırmadan önce 80 portunun açık olması ve DNS’nin doğru çözümlenmesi gerektiği anlamına gelir.

İstendiğinde, tüm HTTP trafiğini HTTPS’ye yönlendirme seçeneğini seçin. Bu, sunucu yapılandırmanıza kalıcı bir 301 yönlendirmesi yazar; bu, SEO ve güvenlik açısından doğru davranıştır.

Adım 4: Otomatik Yenilemeyi Doğrulayın

Let’s Encrypt sertifikaları 90 gün sonra sona erer. Certbot, sertifika süresinin dolmasına 30 gün kala günde iki kez yenileme denemesi yapan bir systemd zamanlayıcısı (veya eski sistemlerde cron görevi) kurar. Gerçekten yenilemeden yenileme mantığını test edin:

sudo certbot renew --dry-run

Başarılı bir kuru çalıştırma, yenileme sürecinin sağlıklı olduğunu doğrular. Zamanlayıcı durumunu şu komutla kontrol edin:

systemctl status certbot.timer

Uç durum — wildcard sertifikalar için DNS-01 doğrulaması: HTTP-01 doğrulaması, wildcard alan adlarını (*.yourdomain.com) doğrulayamaz. Wildcard’lar için, DNS bölgenizde bir _acme-challenge TXT kaydı oluşturmanızı gerektiren DNS-01 doğrulamasını kullanın:

sudo certbot certonly --manual --preferred-challenges dns -d "*.yourdomain.com" -d yourdomain.com

TXT kaydını eklemek için istemleri takip edin, DNS yayılımını bekleyin, ardından doğrulamayı tamamlamak için Enter’a basın.

Yöntem 3: SSH Üzerinden Manuel SSL Kurulumu (Apache ve Nginx)

Manuel kurulum, sertifika yerleşimi, şifre paketleri ve sanal ana bilgisayar yapılandırması üzerinde tam kontrol sağlar. Bu, belirli TLS politikalarını uygulamanız gereken üretim sunucuları için tercih edilen yaklaşımdır.

Adım 1: Sertifika Dosyalarını Sunucuya Yükleyin

Dosyaları yerel makinenizden aktarmak için scp kullanın:

scp certificate.crt private.key ca_bundle.crt username@your-server-ip:/tmp/

Ardından bunları güvenli, web’den erişilemeyen bir dizine taşıyın:

sudo mkdir -p /etc/ssl/yourdomain
sudo mv /tmp/certificate.crt /etc/ssl/yourdomain/
sudo mv /tmp/private.key /etc/ssl/yourdomain/
sudo mv /tmp/ca_bundle.crt /etc/ssl/yourdomain/
sudo chmod 600 /etc/ssl/yourdomain/private.key
sudo chmod 644 /etc/ssl/yourdomain/certificate.crt /etc/ssl/yourdomain/ca_bundle.crt

Kritik güvenlik notu: Özel anahtar hiçbir zaman herkese açık okunabilir olmamalıdır. chmod 600 izni, erişimi yalnızca root kullanıcısıyla sınırlandırır. Apache veya Nginx’in root olmayan bir kullanıcı olarak çalıştığı sistemlerde (örn. www-data), servis ayrıcalıkları düşürmeden önce root olarak çalışırken başlangıçta anahtarı okur — dolayısıyla root’a ait 600 doğrudur.

Adım 2a: Apache’yi Yapılandırın

Alan adınız için sanal ana bilgisayar yapılandırmasını düzenleyin:

sudo nano /etc/apache2/sites-available/yourdomain.com.conf

SSL sanal ana bilgisayar bloğunu ekleyin veya değiştirin:

<VirtualHost *:80>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    Redirect permanent / https://yourdomain.com/
</VirtualHost>

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com

    SSLEngine on
    SSLCertificateFile      /etc/ssl/yourdomain/certificate.crt
    SSLCertificateKeyFile   /etc/ssl/yourdomain/private.key
    SSLCertificateChainFile /etc/ssl/yourdomain/ca_bundle.crt

    # Modern TLS hardening
    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder     off
    SSLSessionTickets       off

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    DocumentRoot /var/www/yourdomain
</VirtualHost>

SSL modülünü ve siteyi etkinleştirin, ardından Apache’yi yeniden başlatın:

sudo a2enmod ssl headers
sudo a2ensite yourdomain.com.conf
sudo apache2ctl configtest
sudo systemctl restart apache2

Yeniden başlatmadan önce her zaman apache2ctl configtest çalıştırın. Yapılandırma dosyasındaki bir sözdizimi hatası tüm web sunucusunu çökertir.

Adım 2b: Nginx’i Yapılandırın

Alan adınızın sunucu bloğunu düzenleyin:

sudo nano /etc/nginx/sites-available/yourdomain.com

Aşağıdaki yapılandırmayı ekleyin:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://yourdomain.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate      /etc/ssl/yourdomain/certificate.crt;
    ssl_certificate_key  /etc/ssl/yourdomain/private.key;
    ssl_trusted_certificate /etc/ssl/yourdomain/ca_bundle.crt;

    # Modern TLS hardening
    ssl_protocols        TLSv1.2 TLSv1.3;
    ssl_ciphers          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  1d;
    ssl_session_tickets  off;

    # OCSP Stapling
    ssl_stapling         on;
    ssl_stapling_verify  on;
    resolver             8.8.8.8 8.8.4.4 valid=300s;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    root /var/www/yourdomain;
    index index.html index.php;
}

Siteyi etkinleştirin ve test edin:

sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

OCSP Stapling açıklaması: Stapling olmadan, tarayıcının sertifikanın iptal edilip edilmediğini kontrol etmek için her TLS el sıkışmasında CA’nın OCSP yanıtlayıcısıyla iletişim kurması gerekir. Bu gecikmeye yol açar ve tarama verilerini CA’ya sızdırır. ssl_stapling on ile Nginx, OCSP yanıtını önbelleğe alır ve doğrudan istemciye sunar; böylece gidiş-dönüş ortadan kalkar.

TLS Sertleştirme: Orijinal Yapılandırmanın Eksik Bıraktıkları

Varsayılan ayarlarla kurulan bir sertifika güvenlidir, ancak sertleştirilmiş değildir. Aşağıdaki tablo, SSL Labs notunu A+’ya çıkaran ek direktifleri özetlemektedir:

SSL Kurulumunu Doğrulama ve Test Etme

Kurulum, sonucu dışarıdan doğrulayana kadar tamamlanmış sayılmaz.

Tarayıcı Doğrulaması

https://yourdomain.com adresini ziyaret edin. Kilit simgesi, geçerli ve güvenilir bir sertifikayı doğrular. Kilide tıklayın ve sertifika ayrıntılarını inceleyin: Ortak Ad veya Konu Alternatif Adı‘nın alan adınızla eşleştiğini doğrulayın ve son kullanma tarihini kontrol edin.

SSL Labs Sunucu Testi

SSL Labs’a gidin ve alan adınızı girin. Rapor, TLS yapılandırmanızı F’den A+’ya kadar notlandırır ve belirli sorunları işaretler: zayıf şifre paketleri, eksik zincir sertifikaları, HSTS yokluğu ve protokol desteği. A+ notu için uzun max-age ile HSTS ve TLS 1.0 veya 1.1 desteğinin olmaması gerekir.

OpenSSL ile Komut Satırı Doğrulaması

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com

Bu komut, tam sertifika zincirini, müzakere edilen şifre paketini ve TLS sürümünü çıktılar. Çıktının sonunda Verify return code: 0 (ok) ifadesini arayın. Sıfır dışındaki herhangi bir dönüş kodu, zincir veya güven sorununa işaret eder.

Sertifika son kullanma tarihini doğrudan kontrol etmek için:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Karışık İçerik Kontrolü

HTTPS’yi etkinleştirdikten sonra, karışık içerik en yaygın kalan sorundur. Bir HTTPS sayfasının kaynakları (resimler, betikler, stil sayfaları, iframe’ler) HTTP üzerinden yüklemesi durumunda ortaya çıkar. Karışık içerik, modern tarayıcılarda aktif kaynakları (betikler, iframe’ler) tamamen engeller ve pasif kaynaklar (resimler) için konsol uyarıları oluşturur.

Karışık içeriği düzeltmek için:

1. CMS veya HTML’inizdeki tüm sabit kodlanmış http:// URL’lerini https:// veya protokol göreli // olarak güncelleyin.
2. Geçici bir genel çözüm olarak upgrade-insecure-requests içeren bir İçerik Güvenliği Politikası başlığı ekleyin:

add_header Content-Security-Policy "upgrade-insecure-requests" always;

1. Belirli sorunlu kaynakları tespit etmek için tarayıcı DevTools’u (F12 > Konsol) kullanın.

Sertifika Yenileme ve Yaşam Döngüsü Yönetimi

Manuel olarak yönetilen ticari sertifikalar için, son kullanma tarihinden 30 gün önce bir takvim hatırlatıcısı ayarlayın. Süresi dolmuş bir sertifika, sertifika olmamasından daha kötüdür — tarayıcılar, kullanıcıların kolayca atlayamayacağı tam sayfa engelleme hatası görüntüler.

Bir Dedicated Server üzerinde birden fazla alan adı veya yüksek trafikli bir uygulama çalıştırıyorsanız, alt alan adlarındaki yenileme yükünü azaltmak için cert-manager (Kubernetes), Vault PKI veya wildcard sertifika gibi merkezi bir sertifika yönetimi çözümü uygulamayı düşünün.

Karar Matrisi: Hangi Kurulum Yöntemini Kullanmalısınız

Teknik Temel Çıkarımlar Kontrol Listesi

• Herhangi bir sertifika kurmadan önce güvenlik duvarınızda 443 portunun açık olduğunu doğrulayın.
• Kurulumdan önce her zaman özel anahtarın sertifikayla eşleştiğini doğrulayın: openssl x509 -noout -modulus -in certificate.crt | md5sum ve openssl rsa -noout -modulus -in private.key | md5sum aynı hash değerlerini üretmelidir.
• Tam ara zinciri (ca_bundle.crt) dahil edin — bunu atlamak, masaüstü Chrome kilit simgesi gösterse bile mobil tarayıcılarda güven hatalarına neden olur.
• Özel anahtar dosyasına chmod 600 izni ayarlayın; hiçbir zaman web’den erişilebilir bir dizinde bırakmayın.
• Web sunucusu yapılandırmanızda TLS 1.0 ve TLS 1.1’i devre dışı bırakın — bu protokoller kullanımdan kaldırılmış ve istismar edilebilir durumdadır.
• Tüm alt alan adlarının da HTTPS sunduğunu doğruladıktan sonra includeSubDomains ile HSTS’yi etkinleştirin.
• Yenileme sürecinin çalıştığını doğrulamak için ilk Certbot kurulumundan sonra certbot renew --dry-run çalıştırın.
• Her kurulum veya yapılandırma değişikliğinden sonra SSL Labs ile test edin.
• HTTPS’ye geçtikten hemen sonra karışık içerik denetimi yapın — bu, işlevselliği sessizce bozar.
• Let’s Encrypt wildcard sertifikaları için HTTP-01 değil, DNS-01 doğrulamasını kullanın.

Sıkça Sorulan Sorular

SSL sertifikası ile TLS sertifikası arasındaki fark nedir?

SSL (Secure Sockets Layer), 1999’da kullanımdan kaldırılan eski protokoldür. Halefi olan TLS (Transport Layer Security), tüm modern HTTPS bağlantılarının gerçekte kullandığı protokoldür. “SSL sertifikası” terimi sektörde kısaltma olarak kullanılmaya devam etmektedir, ancak bugün verilen her sertifika TLS 1.2 veya TLS 1.3 üzerinde çalışır.

SSL sertifikam Chrome’da güvenilir görünüyor ancak Android cihazlarda görünmüyor, neden?

Bu neredeyse her zaman eksik bir ara sertifika zincirinden kaynaklanır. Masaüstü Chrome, sunucuda zincir bulunmasa bile onu yeniden oluşturabilen agresif bir sertifika getirme mekanizmasına (AIA fetching) sahiptir. Android’in sistem deposu bunu yapmaz. Sunucu yapılandırmanıza her zaman ca_bundle.crt zincir dosyasını dahil edin.

Henüz web sitesi olmayan bir alan adına SSL sertifikası kurabilir miyim?

Evet, ancak yalnızca alan adının DNS A kaydı sunucunun IP adresine çözümleniyorsa. CA’nın alan adı doğrulamasını tamamlamak için sunucuya erişebilmesi gerekir. DNS henüz yayılmamışsa, doğrulama başarısız olur.

Ticari bir SSL sertifikasını kesinti olmadan nasıl yenileyebilirim?

Sunucuda yeni bir CSR oluşturun, CA’nıza gönderin, yeni sertifika paketini alın, sunucudaki sertifika dosyalarını değiştirin ve web sunucusunu yeniden yükleyin (systemctl reload apache2 veya systemctl reload nginx). Yeniden yükleme, tam yeniden başlatmanın aksine mevcut bağlantıları kesmeden yeni sertifikayı uygular.

SSL sertifikası kurmak otomatik olarak HTTP’yi HTTPS’ye yönlendirir mi?

Hayır. Sertifika kurmak yalnızca HTTPS’yi etkinleştirir. HTTP’den HTTPS’ye yönlendirme, sanal ana bilgisayar veya sunucu bloğunda ayrıca yapılandırılmalıdır. Certbot’un --apache ve --nginx eklentileri, kurulum sırasında bu yönlendirmeyi otomatik olarak yapılandırmayı teklif eder. Manuel kurulumlar için, 80 portundaki sunucu bloğuna açık bir Redirect permanent (Apache) veya return 301 (Nginx) direktifi ekleyin.