SSL Sertifikası Nedir?
SSL (Secure Sockets Layer) sertifikası, web sunucunuz ile ziyaretçinizin tarayıcısi arasındaki tum veri transferini şifreleyen bir güvenlik protokoludur. Sitenizin URL'si "http" yerine "https" ile başladiginda SSL aktif demektir. Tarayıcıdaki kilit ikonu da bunu gösterir.
Teknik olarak bugün kullanilan teknoloji TLS (Transport Layer Security) olarak adlandirilir. SSL'in daha gelismis versiyonudur. Ama sektorde herkes hala "SSL sertifikası" diyor, biz de oyle diyelim.
Peki tam olarak ne şifreliyor? Kullanıcılarınizin girdigi şifreler, kredi karti bilgileri, iletisim formu verileri, hatta sayfa içerikleri bile şifrelenir. Araya giren biri (man-in-the-middle saldirisi) bu verileri okuyamaz.
HTTP vs HTTPS: Aradaki Fark
HTTP (HyperText Transfer Protocol) verileri duz metin olarak gonderir. Yani bir kafedeki Wi-Fi aginda birisi trafigi dinlerse, gonderdiginiz form verilerini, şifreleri olduğu gibi görebilir. HTTPS ise ayni protokolun SSL/TLS ile şifrelenmis halidir.
| Özellik | HTTP | HTTPS |
|---|---|---|
| Veri Şifreleme | Yok - duz metin | 256-bit şifreleme |
| Tarayıcı Görünümu | "Güvenli Değil" uyarisi | Kilit ikonu |
| SEO Etkisi | Dezavantaj | Sıralama sinyali |
| Port | 80 | 443 |
| Hiz | Biraz daha hızlı | HTTP/2 ile daha hızlı |
| KVKK Uyumluluk | Uyumsuz | Zorunlu |
| E-Ticaret Uygunlugu | Kullanilamaz | Zorunlu |
Chrome, Firefox ve Safari 2018'den bu yana HTTP siteleri "Güvenli Değil" olarak isaretliyor. Bir ziyaretçi sitenize girdiginde tarayıcıda kırmızı uyari gorurse, %85 olasilikla hemen çıkar. Bu hem trafik hem de itibar kaybıdir.
SSL Türleri: DV, OV, EV
SSL sertifikalari doğrulama seviyesine göre uce ayrilir. Her biri farkli güvenlik ve güven duzeyi sunar. Hangisini secmeniz gerektigini işletme tipinize göre belirleyin.
| Tur | Doğrulama | Sure | Fiyat | Kim İçin |
|---|---|---|---|---|
| DV (Domain Validation) | Sadece domain sahipligi | Dakikalar | Ücretsiz - 500 TL/yil | Blog, portfolyo, kucuk siteler |
| OV (Organization Validation) | Şirket bilgileri doğrulanir | 1-3 gun | 1.000 - 5.000 TL/yil | Kurumsal siteler, KOBi'ler |
| EV (Extended Validation) | Detayli şirket doğrulamasi | 1-2 hafta | 5.000 - 25.000 TL/yil | Bankalar, e-ticaret devleri |
DV sertifikası teknik olarak ayni şifreleme gucunu sunar. Aradaki fark sadece doğrulama seviyesindedir. Bir blog veya kurumsal tanitim sitesi için DV fazlasiyla yeterli.
Wildcard ve Multi-Domain SSL
Wildcard SSL, ana domain ve tum alt domainlerinizi tek sertifikayla korur (ornegin *.alfadizayn.com). Multi-Domain (SAN) SSL ise birden fazla farkli domaini tek sertifikada birlestirir. Birden fazla siteniz varsa bu secenekler maliyet tasarrufu sağlar.
Ücretsiz SSL: Let's Encrypt Yeterli mi?
Let's Encrypt, kar amaci gutmeyen bir kurulusun sundugu ucretsiz DV SSL sertifikasidir. Dunyada 300 milyonun üzerinde aktif sertifikasıyla en yaygin SSL sağlayıcısidir. Ve evet, çoğu web sitesi için fazlasiyla yeterlidir.
Let's Encrypt'in şifreleme gucu, yıllık binlerce lira odediginiz ticari sertifikalarla aynidir. 256-bit şifreleme, 2048-bit RSA anahtar - teknik olarak hicbir fark yok.
Let's Encrypt'in tek dezavantaji: sertifika süresi 90 gundur ve otomatik yenileme ayarlamaniz gerekir. Çoğu hosting sağlayıcısi (Hostinger, Turhost, Google Domains) bunu otomatik yapiyor. cPanel'de "AutoSSL" özelligi aktifse hicbir sey yapmanıza gerek yok.
Let's Encrypt Ne Zaman Yetmez?
- Online ödeme aliyorsaniz ve PCI DSS uyumlulugu gerekiyorsa (OV veya EV tercih edin)
- Şirket kimliginizi tarayıcıda göstermek istiyorsaniz (EV gerekir)
- Garanti ve teknik destek istiyorsaniz (ticari sertifikalarda 10.000-1.750.000 USD garanti var)
SSL Sertifikası Nasıl Kurulur?
SSL kurulumu hosting sağlayıcıniza göre degisir. İşte en yaygin 3 yöntem:
Yöntem 1: cPanel üzerinden (En Kolay)
- cPanel'e giriş yapın
- "SSL/TLS" veya "AutoSSL" bölümunu acin
- "Run AutoSSL" butonuna tıklayin
- Birkaç dakika içinde Let's Encrypt sertifikası kurulur
- Sitenize https:// ile erisin ve test edin
Yöntem 2: Hosting Panelinden (Hostinger, Turhost vb.)
- Hosting panelinize giriş yapın
- "Güvenlik" veya "SSL" bölümune gidin
- "Ücretsiz SSL Kur" secenegini tıklayin
- Domaininizi secin ve onaylayin
- Kurulum otomatik tamamlanir
Yöntem 3: Manuel Kurulum (Certbot ile)
VPS veya dedicated sunucu kullaniyorsaniz, terminal üzerinden Certbot araci ile Let's Encrypt kurabilirsiniz:
- Certbot'u kurun:
sudo apt install certbot python3-certbot-apache - Sertifika alin:
sudo certbot --apache -d example.com -d www.example.com - Otomatik yenilemeyi test edin:
sudo certbot renew --dry-run
Kurulum Sonrasi Zorunlu Adimlar
- HTTP'den HTTPS'ye 301 redirect ayarlayin (.htaccess ile)
- Veritabanindaki tum URL'leri https'ye güncelleyin
- Google Search Console'a HTTPS versiyonunu ekleyin
- Sitemap'i HTTPS URL'lerle güncelleyin
- Canonical etiketleri HTTPS olarak ayarlayin
SSL'nin SEO'ya Etkisi
Google, 2014'ten bu yana HTTPS'yi bir sıralama sinyali olarak kullaniyor. Tek basina devasa bir etki yaratmaz ama diger faktorlerle birlikte kayda değer bir avantaj sağlar. Özellikle iki site esit koşullardaysa, HTTPS kullanan one çıkar.
SSL'nin dolayli SEO etkileri daha da önemli:
- Dusuk hemen çıkma oranı: "Güvenli Değil" uyarisi gören kullanıcıların %85'i hemen çıkar. SSL bu kaybı onler.
- HTTP/2 destegi: HTTPS, HTTP/2 protokolunu kullanmak için on koşuldur. HTTP/2 sayfa yüklemesini %30-50 hizlandirir.
- Referral veri koruması: HTTPS'den HTTP'ye geçişte referral verisi kaybolur. Analytics verileriniz daha doğru olur.
Mixed Content Hatasi ve Çözümu
Mixed content hatasi, HTTPS sayfanizda HTTP üzerinden yüklenen kaynaklar (görseller, CSS, JavaScript) olduğunda oluşur. Tarayıcı bu kaynaklari engeller veya uyari gösterir. Sertifika kurdunuz ama site hala "Güvenli Değil" gösteriyorsa, büyük ihtimalle bu sorundur.
Tespiti
Chrome DevTools'da Console sekmesini acin. "Mixed Content" uyarilarini arayarak sorunlu kaynaklari bulun. Veya Why No Padlock gibi online araclari kullanın.
Çözümu
- Veritabanindaki tum
http://referanslarinihttps://ile değiştirin - Tema dosyalarındaki statik URL'leri güncelleyin
- Üçüncü parti kaynaklarin (font, script, iframe) HTTPS desteklediginden emin olun
- Protokol-relatif URL kullanın:
//example.com/dosya.js
Mixed content en çok görsel URL'lerinde ortaya çıkar. Veritabaninda toplu değişiklik için SQL kullanın:
UPDATE posts SET content = REPLACE(content, 'http://siteniz.com', 'https://siteniz.com')
SSL Sertifikam Süresi Dolunca Ne Olur?
SSL sertifikanızin süresi dolduğunuda tarayıcılar sitenize erişimi engeller ve tam ekran bir uyari gösterir: "Bu baglanti gizli değil" veya "NET::ERR_CERT_DATE_INVALID". Bu uyariyi gecmek için kullanıcının "Gelismis" butonuna tıklamasi gerekir ki bunu neredeyse kimse yapmaz.
Sertifika süresi dolduğunuda yasanacaklar:
- Trafik kaybı: Ziyaretçilerin %95'i siteye giremeye çekinir
- SEO düşüşu: Google süresi dolmus sertifikalari olumsuz değerlendirir
- E-posta sorunlari: SMTP üzerinden şifrelenmis e-posta gonderimi bozulabilir
- API kesintisi: Üçüncü parti entegrasyonlar (ödeme, kargo) çalışmaz
Önlem
Sertifika suresi bitmeden 30 gun once yenileyin. Duzenli web sitesi bakimi bu tur sorunlari onler. Let's Encrypt kullaniyorsaniz, Certbot'un otomatik yenileme cron job'inin çalıştigindan emin olun. Ticari sertifikalar için takvime hatirlatma ekleyin. Ayrica SSL Labs uzerinden sertifikanizin durumunu ve güvenlik puanini düzenli olarak kontrol edin.
Sonuc olarak, SSL sertifikası 2026'da tartismaya yer bırakmayan bir zorunluluk. Let's Encrypt ile ücretsiz kurup, sitenizi hem teknik hem hukuki acidan güvenli hale getirebilirsiniz. Kurulum 10 dakika, kazanimi kalıcı.
Onerilen Kaynaklar
- Let's Encrypt - Ucretsiz, otomatik ve acik SSL sertifika saglayicisi
- SSL Labs - SSL sertifikanizin guvenlik puanini ve yapilandirmasini test edin
