Sertifika Yönetimi: SSL/TLS Yenileme Otomasyonu

Özet: SSL/TLS sertifikalarının modern ömrü 90-398 gün arasında; manuel yenilemeyle yönetilemeyecek bir hız. Otomatik yenileme (Let's Encrypt + ACME, certbot, acme.sh, cert-manager gibi araçlarla) artık temel hijyen — sertifikanın süresi dolduğunda site çöker, e-posta gönderimi durur, müşteri tarayıcısında "güvensiz" uyarısı çıkar. KOBİ ölçeğinde pratik kural: dış varlıklar için Let's Encrypt + otomasyon, kritik kurumsal varlıklar için ticari sertifika + envanter, iç sistemler için kendi CA'nız. Üçü birden olgun şekilde yönetildiğinde sertifika krizi yaşamazsınız.

Bir KOBİ'de cuma akşamı saat 17:30'da müşteri portalı çöker. Tarayıcılar "ERR_CERT_DATE_INVALID" hatası verir. Sebep: sertifika 17:00'de süresi doldu, kimse takip etmiyordu. Pazartesi sabaha kadar 60 saatlik ciddi etki: müşteri kaybı, müşteri hizmetleri yoğunluğu, e-posta entegrasyonları çöker, ödemeler işlenemez. Manuel sertifika takvim defteri artık güvenilebilir bir yöntem değil.

Bu yazıda KOBİ ölçeğinde SSL/TLS sertifikalarının yönetimi, otomatik yenileme stratejileri ve sertifika türleri arasındaki seçimi ele alıyoruz. Hedef kitlemiz IT sorumluları, sistem yöneticileri ve "her sertifika krizinden bir kez daha geçmek istemeyen" karar vericiler.

TLS Sertifikası Nedir, Neden Yenileme Sorunu?

TLS sertifikası, bir alan adının kimliğini doğrulayan ve şifreli iletişim sağlayan dijital belgedir. Tarayıcı bir HTTPS sayfasına bağlandığında sertifikayı kontrol eder.

Sertifika Ömürleri Kısalıyor

Tarihsel sertifika ömürleri:

• 2010'lar: 1095 gün (3 yıl)
• 2018: 825 gün
• 2020: 398 gün (Apple/Mozilla tarayıcı politikası)
• 2024+: 90 günlük standart yönü güçleniyor (Apple, Let's Encrypt zaten 90)

Sertifika ömrü kısaldıkça manuel yönetim imkânsız hale geliyor — otomasyon zorunluluk.

Süresi Dolmuş Sertifikanın Etkileri

Sistem	Etki
Web sitesi (HTTPS)	Tarayıcı "Bağlantınız özel değil" uyarısı, kullanıcı geri döner
API endpoint	Bağımlı uygulamalar bağlantı kuramaz
E-posta (SMTPS, IMAPS)	Mail trafiği durabilir
VPN	Kullanıcı bağlanamaz
MQTT/IoT	Cihazlar veri gönderemez
Aktif Directory hizmetleri	LDAPS, RDP NLA bozulur
Mobil uygulama (cert pinning)	Uygulama hiç bağlanamaz

Sertifika Otoriteleri ve Türleri

Let's Encrypt — Ücretsiz Otomatik

• ACME protokolü
• 90 gün ömür, otomatik yenileme tasarımı
• Wildcard destekler (DNS-01 challenge ile)
• KOBİ web siteleri için fiilen standart

Diğer Ücretsiz CA'lar

• ZeroSSL
• Buypass Go
• Google Trust Services (kısmi ücretsiz)

Ticari CA'lar

• DigiCert, Sectigo, GlobalSign, Entrust
• 1-2 yıl ömür (azalan trend)
• EV (Extended Validation) sertifika seçeneği
• Garanti, daha geniş tarayıcı eski versiyon desteği
• Kurumsal müşteri desteği

Sertifika Tipleri

Tip	Açıklama	Kullanım
DV (Domain Validated)	Sadece alan sahipliği doğrulanır	Standart web siteleri
OV (Organization Validated)	Şirket bilgileri doğrulanır	Kurumsal kimlik gösterilen siteler
EV (Extended Validation)	En sıkı doğrulama, eskiden adres çubuğunda yeşil isim	Banka, finans (görünür etkisi azaldı)
Wildcard	*.firma.com.tr — tüm alt alanları kapsar	Çoklu alt alan
SAN (Multi-domain)	Birden fazla domain tek sertifikada	Karma alan adı kullanımı

Otomatik Yenileme — Let's Encrypt + ACME

Let's Encrypt, ACME (Automated Certificate Management Environment) protokolüyle çalışır.

Tipik Kurulum Akışı

1. Sunucuda ACME istemcisi (certbot, acme.sh, lego)
2. Domain sahipliği doğrulama (HTTP-01 veya DNS-01 challenge)
3. Sertifika alınır
4. Web sunucusu (Nginx, Apache) yeniden yüklenir
5. Cron veya systemd timer ile her 60 günde bir tekrar

HTTP-01 vs DNS-01 Challenge

Yöntem	Nasıl Çalışır	Avantaj	Dezavantaj
HTTP-01	/.well-known/acme-challenge/ dosyası	Basit, port 80 yeterli	Wildcard yapamaz, port 80 gerekir
DNS-01	_acme-challenge TXT kaydı	Wildcard destekler, port gerekmez	DNS API gerekir
TLS-ALPN-01	TLS handshake içinde	Port 443 yeterli	Bazı CDN'lerle uyumsuz

KOBİ için: tek alan ise HTTP-01, wildcard veya çoklu alan ise DNS-01.

Popüler ACME İstemcileri

• certbot (Python) — Resmi, EFF tarafından, en yaygın
• acme.sh (shell) — Hafif, bağımlılıksız, en geniş DNS provider desteği
• lego (Go) — Tek binary, çoklu DNS provider
• Caddy — Web sunucusu olarak otomatik HTTPS sağlar (sertifika işlemleri gizli)
• Traefik — Modern reverse proxy + otomatik TLS
• nginx-proxy-manager — UI ile yönetim, KOBİ için kolay

Caddy — Ofis İçin "Sıfır Konfig" HTTPS

Caddy modern bir web sunucusudur, sertifika alımı/yenilemesi tamamen otomatiktir. Yapılandırma dosyasında alan adını yazın, Caddy gerisini halleder. KOBİ ölçeğinde küçük web servisleri için ideal.

Sertifika Envanteri — Kim Hangi Sertifikaya Sahip?

Otomasyon kurmak yetmez; nelerin var olduğunu bilmek de gerekir.

Tipik KOBİ Sertifika Envanteri

Sistem	Domain/IP	Tip	Sağlayıcı	Bitiş
Web sitesi	firma.com.tr	DV wildcard	Let's Encrypt	Otomatik
API	api.firma.com.tr	DV	Let's Encrypt	Otomatik
Müşteri portalı	musteri.firma.com.tr	OV	DigiCert	2026-12
VPN	vpn.firma.com.tr	DV	Let's Encrypt	Otomatik
Mail server	mail.firma.com.tr	DV	Let's Encrypt	Otomatik
İç AD CA	*.local.firma	Self-signed	Kendi CA	5 yıl

Envanter Yönetim Araçları

• Açık kaynak: Cert-manager (Kubernetes), DTracker, Posh-ACME (PowerShell)
• Ticari: Venafi, Keyfactor, Sectigo Certificate Manager
• Bulut: Azure Key Vault, AWS Certificate Manager, GCP Certificate Manager

KOBİ için Excel veya Notion sayfası bile başlangıç için yeterli — önemli olan bir liste tutuyor olmak.

Sertifika Şeffaflık (CT) Logları ile Görünürlük

Tüm yayınlanan TLS sertifikaları Certificate Transparency loglarına yazılır — kamuya açık.

Faydaları

• Kuruma ait verilen sertifikaları izleyebilirsiniz
• Birinin sahte sertifika alma denemesini fark edersiniz
• Unutulmuş alt alanları keşfedersiniz (önceki ASM yazısıyla bağlantılı)

Araçlar

• crt.sh — kamuya açık arayüz
• censys.io — gelişmiş arama
• Google Cert Search
• CertSpotter (otomatik uyarı servisi)

Otomatik Uyarı

CertSpotter veya Sectigo CT Monitor gibi servisler, kuruma ait domain'lere yeni sertifika verildiğinde otomatik uyarı gönderir. Sahte sertifika tespiti ve unutulmuş alt alan keşfi için pratik.

Sertifika Pinning — Ekstra Güvenlik

Mobil uygulama veya kritik istemcilerde sertifika pinning kullanılır: uygulama yalnızca belirli sertifikaları kabul eder.

Avantaj

• MitM (Man-in-the-Middle) saldırılarına karşı dayanıklı
• Bir CA tehlikeye atılsa bile uygulama korunur

Dezavantaj

• Sertifika değiştiğinde tüm istemcilerde uyumsuzluk
• Yenileme zincirleme operasyon gerektirir
• Yanlış yönetilirse uygulamanız çalışmaz

KOBİ için: yalnızca yüksek güvenlik gerekiyorsa pinning. "Public key pinning (HPKP)" web tarayıcılarda büyük ölçüde terk edildi; mobil uygulamalarda hâlâ kullanılır.

İç CA — Kurum İçi Sertifikalar

Bazı senaryolar Let's Encrypt veya ticari CA'larla çözülemez:

• İç hostname'ler (*.local.firma)
• IP adresine sertifika
• Geliştirme/staging ortamları
• IoT cihazları, MQTT broker

Çözüm: kurum kendi CA'sını kurar.

Microsoft AD Certificate Services

Active Directory ortamında dahili CA çalıştırma. Domain'deki tüm cihazlar bu CA'yı otomatik güvenli kabul eder. Kurum içi sertifikalar 2-5 yıl ömürle verilir.

Açık Kaynak Yol — step-ca

Smallstep step-ca, modern bir özel CA çözümü. ACME desteği, ortak konfigürasyon, kolay kurulum. Kurum içi otomasyon için ideal.

Self-Signed Sertifika

En basit, ama her cihaza manuel güven eklemek gerekir. Geçici geliştirme/test için.

Yaygın Sertifika Hataları

KOBİ'de sıkça yapılan hatalar:

• Yenileme cron'u arızalı, fark edilmemiş — sertifika süresi dolar
• HTTPS 80'inden değil 443'inden alınıyor — port 443 kapatıldığı sürece HTTP-01 çalışmaz
• DNS provider API anahtarı eski/iptal — DNS-01 wildcard yenilenmez
• Birden fazla yerde aynı sertifika manuel kopyalanıyor — bir yerde yenilenirken diğerinde kalır
• OCSP stapling yapılandırılmamış — performans kaybı, gizlilik sızıntısı
• TLS 1.0/1.1 hâlâ açık — eski güvenlik
• Zayıf cipher suite — eski algoritmalar aktif
• Subject Alternative Name (SAN) eksik — main domain çalışıyor ama www. çalışmıyor

Sertifika Sağlık Kontrolü

Düzenli olarak çalıştırılması gereken testler:

• SSL Labs Server Test (ssllabs.com) — A+ hedefi
• testssl.sh — komut satırı, detaylı
• Mozilla Observatory — web güvenlik genel
• Nmap NSE scripts — nmap --script ssl-enum-ciphers

Yıllık veya çeyrek dönemlik olarak tüm dış varlıklarda test çalıştırın.

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde sertifika yönetim destek alanlarımız:

• Mevcut sertifika envanteri çıkarma
• Let's Encrypt + otomasyon kurulumu (certbot, acme.sh, Caddy)
• Wildcard sertifika için DNS-01 yapılandırma
• Ticari sertifika seçimi ve yönetim
• Microsoft AD CS veya step-ca kurulumu
• CT log izleme entegrasyonu
• TLS sağlık denetimi (SSL Labs, testssl.sh)
• Yıllık sertifika hijyen raporu

Sıkça Sorulan Sorular

Sonuç

SSL/TLS sertifika yönetimi, "yıllık bir kez halledilen iş" konumundan çoktan çıktı. 90 günlük ömürler, Let's Encrypt'in yaygınlığı ve modern web altyapısının her yere TLS gerektiren yapısı, otomasyon hijyenini temel KOBİ disiplinlerinden biri haline getirdi. Doğru kurulduğunda sertifikalar arka planda kendi kendine yenilenir, sertifika krizleri biter, IT ekibi başka değerli işlere odaklanır.

Yamanlar Bilişim olarak ölçeğinize uygun sertifika otomasyonu, envanter yönetimi ve yıllık hijyen denetimi hizmetleri sunuyor; sertifikalarınızı "cuma akşamı sürpriziniz" olmaktan çıkarıp düzenli ve görünmez bir altyapı parçasına dönüştürüyoruz.