Let’s Encrypt mi Ücretli SSL mi? Doğru Sertifika Stratejisi

SSL stratejisini rastgele seçmek neden riskli?

E-ticaret veya kurumsal bir web sitesi yönettiğinizde, SSL sertifikanız sadece tarayıcıdaki kilit simgesi değildir. Ödeme sayfalarınızın güveni, B2B portallarınıza giriş yapan müşterilerinizin verileri, KVKK/GDPR uyumu, hatta markanızın itibarı doğrudan bu küçük ama kritik karara bağlıdır: Let’s Encrypt mi, ücretli SSL mi, yoksa ikisinin akıllı bir kombinasyonu mu?

DCHost olarak sahada en çok gördüğümüz sorunlardan biri, SSL konusunun iki uçtan birine savrulması: Ya “nasıl olsa şifreli, Let’s Encrypt yeter” deniyor ya da “her yere en pahalı sertifikayı alalım” yaklaşımıyla gereksiz maliyetlere giriliyor. Bu yazıda amacımız, özellikle e-ticaret ve kurumsal siteler için net bir çerçeve çizmek: Hangi senaryoda Let’s Encrypt idealdir, hangi durumda ücretli DV/OV/EV sertifikaya geçmeniz gerekir, hangi yapılarda hibrit (karma) mimari kurmak daha mantıklıdır.

Aşağıda, tarayıcı güven göstergeleri, PCI DSS gereklilikleri, dönüşüm oranları, otomasyon imkânları ve operasyonel riskler üzerinden ilerleyerek uygulanabilir bir SSL stratejisi çıkaracağız. Yazının sonunda ise DCHost altyapısı üzerinde gerçekçi örnek mimariler ve adım adım yol haritası bulacaksınız.

Let’s Encrypt temelleri: Ne sağlar, neyi sağlamaz?

Let’s Encrypt, ücretsiz SSL sertifikası denildiğinde akla gelen ilk isim. Çoğu modern hosting ve kontrol paneliyle entegre, otomatik çalışan bu altyapı, doğru kullanıldığında hem güvenli hem de operasyonel maliyeti düşük bir çözüm sunar.

Let’s Encrypt nasıl çalışır?

Let’s Encrypt, ACME (Automatic Certificate Management Environment) protokolü ile çalışan, tamamen otomatikleştirilebilir bir sertifika otoritesidir. Alan adınızın kontrolünü kanıtlamak için HTTP-01 veya DNS-01 challenge yöntemleri kullanılır, doğrulama başarılı olunca sertifika sunucunuza otomatik olarak kurulur ve düzenli aralıklarla yenilenir.

cPanel veya DirectAdmin gibi panellerde bu süreç, genellikle birkaç tıklama ile başlar ve sonrası otomatik devam eder. Bu süreci teknik adımlarıyla görmek isterseniz, Let’s Encrypt ile ücretsiz SSL kurulumu ve otomatik yenileme adımlarını anlattığımız rehbere göz atabilirsiniz.

Let’s Encrypt’in güçlü yönleri

• Ücretsiz: Sertifikanın kendisi için lisans bedeli ödemezsiniz.
• Modern kriptografi: TLS 1.2/1.3, güçlü şifre takımları ve tarayıcı uyumluluğu açısından günceldir.
• Otomasyon: ACME istemcileri ile kurulum ve yenileme süreçleri tamamen otomatikleştirilebilir.
• Hızlı temin: Doğrulama birkaç saniye/dakika içinde tamamlanır, bekleme süresi yoktur.
• Geniş ekosistem: Birçok panel, CDN ve sunucu yazılımı Let’s Encrypt desteğini yerleşik olarak sunar.

Let’s Encrypt’in sınırlamaları

• Sadece DV (Domain Validation): Let’s Encrypt yalnızca alan adı doğrulaması yapar. Şirket bilgisi, ticaret unvanı, adres gibi kurumsal veriler sertifikaya işlenmez.
• Kısa geçerlilik süresi: Sertifikalar 90 günlüktür. Otomasyon yoksa manuel yenileme unutulursa site “güvenli değil” uyarısına düşer.
• Sigorta/garanti yok: Kurumsal ücretli sertifikalarda gördüğünüz türden finansal garanti veya genişletilmiş sorumluluk beyanları bulunmaz.
• İleri seviye kurumsal özellikler yok: EV sertifika, detaylı şirket doğrulaması, özel sözleşmeli SLA, kurumsal desteğe dayalı süreçler Let’s Encrypt kapsamının dışında kalır.

Özetle: Let’s Encrypt, güvenlik seviyesi (şifreleme gücü) açısından tamamen yeterli olsa da, kurumsal doğrulama ve yasal/itibari katman sunmaz.

Ücretli SSL sertifikaları: DV, OV, EV ve gelişmiş senaryolar

Ücretli SSL tarafında temel olarak üç doğrulama seviyesi bulunur: DV (Domain Validation), OV (Organization Validation) ve EV (Extended Validation). Birçok projede asıl fark, tarayıcıdaki kilit simgesinden çok doğrulama süreçleri, ek güven sinyalleri ve kurumsal beklentiler üzerinden ortaya çıkar.

Bu seviyelerin teknik ve hukuki farklarını detaylı anlattığımız DV, OV ve EV SSL sertifikaları arasındaki farkları derinlemesine ele aldığımız rehberi ayrıca inceleyebilirsiniz. Burada özet olarak, strateji kararını etkileyecek noktaları vurgulayalım.

DV, OV, EV farklarını strateji açısından okumak

• DV SSL: Teknik olarak Let’s Encrypt ile eşdeğer güvenlik seviyesine sahiptir. Ücretli DV almanızın sebebi genelde özel destek, farklı marka tercihi, wildcard veya SAN kombinasyonları gibi operasyonel/stratejik nedenler olur.
• OV SSL: Sertifikada şirket adı yer alır, sertifika otoritesi ticaret siciliniz, adresiniz gibi bilgileri doğrular. B2B ve kurumsal sitelerde en mantıklı seviye çoğu zaman burasıdır.
• EV SSL: En detaylı doğrulama süreçleri, gelişmiş dokümantasyon ve bazı durumlarda ek yasal güvence sağlar. Tarayıcıdaki “yeşil bar” artık eskisi kadar belirgin görünmese de, kurumsal ihaleler, regüle sektörler, bankacılık/finans gibi alanlarda hâlâ tercih edilir.

Wildcard, SAN ve çok alan adlı yapılar

• Wildcard (*.alanadiniz.com): Aynı ana domainin tüm alt alanlarında (www, app, panel, api vb.) tek sertifika ile koruma sağlar.
• SAN / Multi-domain: Tek sertifikada birden fazla farklı alan adını (example.com, example.net, marka2.com gibi) korumanıza imkân tanır.

Bu iki modelin artı ve eksilerini, e-ticaret ve çok alan adlı yapılar özelinde Wildcard SSL mi SAN (Multi-Domain) sertifika mı rehberimizde ayrıntılı olarak karşılaştırdık. Let’s Encrypt ile de wildcard ve çok alan adlı kurulumlar mümkün olsa da, burada ACME + DNS-01 otomasyonu ve rate limit gibi ek parametreleri de hesaba katmak gerekir.

E-ticaret siteleri için: Let’s Encrypt yeter mi, ne zaman ücretli SSL’e geçmeli?

E-ticaret tarafında asıl kritik soru, “Let’s Encrypt güvenli mi?” değil, “iş modeliniz, regülasyonlar ve dönüşüm oranları açısından hangi strateji mantıklı?” sorusudur. Şifreleme gücü bakımından Let’s Encrypt ile ücretli bir DV/OV/EV sertifikanın farkı yoktur; fark doğrulama, algı ve uyum tarafında oluşur.

Ödeme altyapısı: PCI DSS ve sorumluluk sınırları

Önce şu ayrımı netleştirelim:

• Ödemeleri tamamen dış bir sağlayıcının sayfasına yönlendiriyorsanız (3D Secure ile bankanın sayfasına gidiş, harici ödeme sayfası, embedded iFrame olmadan redirect vb.), PCI DSS yükünüz daha sınırlıdır. Bu durumda kendi sitenizin SSL’i çoğunlukla oturum güvenliği, form verileri ve SEO bağlamında önem kazanır.
• Kart bilgilerini kendi siteniz üzerinde topluyor ve doğrudan gateway API’sine iletiyorsanız, PCI DSS gereklilikleri çok daha sıkı hale gelir. Bu senaryo için PCI DSS uyumlu e-ticaret hosting rehberimizde detaylı bir çerçeve çizdik.

Her iki senaryoda da Let’s Encrypt teknik olarak güvenli TLS sağlar; ancak PCI denetçileri, regülatörler veya büyük iş ortakları, çoğu zaman OV/EV seviyesinde ücretli sertifika, dokümante edilmiş süreçler ve belirli CA markaları görmek ister.

Dönüşüm oranları ve güven algısı

Modern tarayıcılarda EV sertifikaların yeşil barı eskisi kadar göz önünde değil; ancak yine de:

• Adres çubuğundaki detaylı sertifika bilgilerinde şirket adınızın görünmesi, özellikle B2B müşteriler ve yüksek tutarlı alışveriş yapan kullanıcılar için güven sinyali üretir.
• Bazı kurumsal müşteriler, sözleşmelerde OV veya EV sertifika kullanımını açıkça şart koşar.
• Ödeme sayfalarınız alt alan adı üzerinde ise (pay.alanadiniz.com gibi) bu alt alan için ayrı bir OV/EV sertifika tercih etmek, ana sitenizde Let’s Encrypt kullanırken kritik adımları daha yüksek güven seviyesine taşımak için mantıklı olabilir.

Pratik öneri: E-ticaret için karar matrisi

Genel bir çerçeve çizmek gerekirse:

• Küçük/orta ölçekli mağaza, dış ödeme sayfası kullanıyorsanız: Tüm siteyi Let’s Encrypt ile koruyabilirsiniz. Büyümeye başladığınızda, özellikle kurumsal anlaşmalar yaparken OV seviyesine çıkmayı değerlendirin.
• Kart bilgisi toplayan, yüksek hacimli e-ticaret: Ödeme ve hesap alanları için en az OV, tercihen EV sertifika; blog, yardım merkezi gibi daha az kritik bölümler için Let’s Encrypt veya ücretli DV kullanılabilir.
• Marketplace / çok satıcılı yapı: Kurumsal kimliği daha da güçlendirmek için ana alan adında OV/EV, satıcı panelleri ve API alt alanlarında Let’s Encrypt veya wildcard kombinasyonu tercih edilebilir.

Kurumsal ve B2B siteler için SSL ve güven mimarisi

Kurumsal yapılar çoğu zaman sadece bir web sitesinden ibaret değildir. Ana kurumsal siteye ek olarak; bayii portalları, intranet erişimleri, API uçları, doküman paylaşım alanları gibi pek çok bileşen devreye girer. Bu durumda mesele sadece “hangi sertifikayı alayım?” değil, tüm alan adları ve alt alanlar için tutarlı bir SSL mimarisi kurmak haline gelir.

Bu konuyu özellikle B2B perspektifinden detaylandırdığımız B2B kurumsal siteler için SSL ve güven mimarisi rehberini okumanızı öneririz. Burada ise yüksek seviyeden karar noktalarına odaklanalım.

Ana kurumsal site: Marka vitrini

• Kurumsal ana site (www.alanadiniz.com) için, özellikle halka açık bir marka iseniz, en azından OV sertifika stratejik bir yatırımdır.
• Basın bültenleri, yatırımcı ilişkileri, KVKK aydınlatma metinleri gibi kritik içeriklerin bulunduğu bir alanda, şirket adınızın sertifika üzerinde görünmesi güven algısını pekiştirir.
• Teknik olarak Let’s Encrypt yeterli olsa da, “kimlik doğrulama katmanı” için OV seçimi genellikle mantıklıdır.

Portallar, extranet ve self-servis paneller

• müşteri.alanadiniz.com, bayii.alanadiniz.com, panel.alanadiniz.com gibi alt alanlar çoğu zaman kişisel verilerin, finansal bilgilerin veya ticari sırların dolaştığı yerlerdir.
• Bu alanlarda Let’s Encrypt kullanmak teknik olarak güvenlidir; ancak sözleşmeleriniz, ISO 27001 / KVKK / GDPR gibi uyum çerçeveleri, genellikle daha kurumsal bir sertifika politikasını tercih etmenizi gerektirebilir.
• Burada yaklaşım çoğu zaman şu olur: kritik alt alanlar için ücretli OV/EV + daha az kritik veya dahili alt alanlar için Let’s Encrypt.

KVKK / GDPR ve veri yerelleştirme perspektifi

SSL seçiminiz doğrudan KVKK/GDPR uyumunun tek belirleyeni değildir; ancak erişim logları, sertifika yönetimi, anahtar saklama politikaları gibi başlıklarla iç içe geçer. Verinin hangi ülkede tutulduğu, hangi sertifika otoritesinin kullanıldığı, anahtarların kim tarafından yönetildiği gibi konular da önem kazanır.

Bu çerçeveyi daha geniş açıdan görmek için KVKK ve GDPR uyumlu hosting seçimi ve veri yerelleştirme stratejilerini anlattığımız rehbere göz atabilirsiniz. SSL tarafında özetle şunu söyleyebiliriz: Kurumsal regülasyonlarla çalışan yapılarda Let’s Encrypt’i tamamen dışlamak gereksiz, her yere en pahalı EV sertifikayı almak da gereksiz. Doğru olan; risk seviyesine göre katmanlı bir SSL politikası kurmaktır.

Hibrit yaklaşım: Let’s Encrypt + ücretli SSL birlikte nasıl kullanılır?

Gerçek dünyada en sağlıklı strateji çoğu zaman bir “ya hep ya hiç” kararı değil, hibrit bir modeldir. Yani:

• Kritik alanlarda (kart bilgisi, kurumsal anlaşmalar, yüksek hacimli B2B portallar) OV/EV veya kurumsal DV/SAN sertifikalar,
• Daha az riskli veya dahili alanlarda Let’s Encrypt ile otomatik, ücretsiz ve esnek bir yapı.

Hangi bileşende hangi sertifika mantıklı?

• Ana kurumsal site: OV (çoğu senaryo için) veya EV (regüle sektörler/finans).
• E-ticaret ödeme ve hesap sayfaları: OV veya EV; blog, landing page gibi bölümler: Let’s Encrypt veya ücretli DV.
• API, microservisler, arka uç paneller: Genellikle Let’s Encrypt (DNS-01 ile wildcard) veya iç CA’lar; dışa açık kritik API’ler için OV tercih edilebilir.
• Staging, test, demo ortamları: Büyük oranda Let’s Encrypt; kurumsal VPN/SSO ile ek koruma.

Otomasyon ve izleme zorunlu hale geliyor

Hibrit bir mimaride en büyük risk, sertifika sürelerinin takibi ve yenileme otomasyonudur. Let’s Encrypt tarafında ACME istemcileriyle otomasyon sağlanırken, ücretli sertifikalarda da API tabanlı otomasyon ve panel entegrasyonları devreye alınabilir.

Bu konuda teknik detay arıyorsanız, SSL sertifika otomasyon araçları, ACME ve DNS-01 stratejilerini ele aldığımız rehberde panel entegrasyonlarından script tabanlı yönetime kadar birçok örnek bulabilirsiniz. Ayrıca, özellikle çok alan adlı yapılarda sertifika bitiş tarihlerini kaçırmamak için onlarca alan adı için SSL sertifika süre sonu izleme stratejileri yazımızdaki alarm ve izleme önerilerini uygulamak büyük fark yaratır.

DCHost üzerinde tipik senaryolar: Gerçekçi SSL stratejileri

DCHost olarak hem paylaşımlı hosting, hem VPS, hem dedicated hem de colocation altyapılarında müşterilerimizin SSL kurgularına doğrudan dokunuyoruz. Aşağıda sık karşılaştığımız üç senaryo üzerinden pratik SSL stratejilerini özetleyelim.

Senaryo 1: Yeni açılan WooCommerce mağazası

Durum: Yeni bir WooCommerce mağazası kuruyorsunuz, bütçeniz kısıtlı ama büyüme hedefiniz yüksek. Ödeme sayfasını şimdilik banka veya ödeme kuruluşunun sayfasına yönlendiriyorsunuz.

Strateji:

• Başlangıçta tüm site için Let’s Encrypt kullanın; SSL maliyetini sıfıra yakın tutun.
• Büyüme başladığında, özellikle kurumsal anlaşmalar yapıyorsanız, ana domain için OV sertifikaya geçin; blog/yardım gibi alt alanlarda Let’s Encrypt’i kullanmaya devam edin.
• İleride kart bilgisini doğrudan sitede toplama planınız varsa, bu adım öncesi SSL stratejinizi PCI DSS rehberlerine göre yeniden tasarlayın.

Senaryo 2: Holding yapısı ve çoklu kurumsal markalar

Durum: Birden fazla markası olan bir holding yapınız var. holding.com ana domaini altında farklı markalar, yatırımcı ilişkileri siteleri ve B2B portallar çalışıyor.

Strateji:

• holding.com ve ana vitrin siteleri için OV veya EV sertifikalar tercih edin; kurumsal kimliği en güçlü şekilde gösterin.
• Her markanın kendi alt alanları için wildcard OV veya kurumsal DV değerlendirin; dahili araçlar ve teknik alt alanlarda Let’s Encrypt ile otomasyonu koruyun.
• Sözleşmeye tabi portallar ve API’ler için, iş ortaklarınızın beklentilerine göre sertifika otoritesi ve seviye seçimlerini netleştirin.

Senaryo 3: SaaS platformu ve müşteri alan adları

Durum: Multi-tenant bir SaaS ürününüz var ve müşterileriniz kendi alan adlarıyla (customer-domain.com) hizmet almak istiyor. Burada ölçeklenebilir bir SSL stratejisi kurmak en kritik konulardan biri.

Strateji:

• Müşteri alan adları için Let’s Encrypt + DNS-01 tabanlı tam otomatik SSL altyapısı kurun.
• Kritik müşteriler OV/EV talep ederse, bu müşteriler için istisnai ücretli sertifika süreci ve fiyatlandırma modeli tanımlayın.
• Bu mimarinin detaylarını multi-tenant SaaS uygulamalarında müşteri alan adı yönetimi rehberimizde bulabilirsiniz.

DCHost tarafında, ister paylaşımlı hosting, ister yönetilen VPS/dedicated yapıları kullanın, bu senaryolar için hem otomatik Let’s Encrypt entegrasyonları hem de ücretli SSL ürünleri ile uçtan uca destek sağlayabiliyoruz.

Sık yapılan hatalar: Let’s Encrypt ve ücretli SSL’de nelere dikkat etmeli?

Kağıt üzerinde doğru stratejiyi seçmek kadar, sahada yapılan yaygın hatalardan kaçınmak da önemli. DCHost ekibi olarak sık karşılaştığımız problemlerden bazıları şöyle:

• Sadece CDN tarafında SSL kurup origin’i HTTP bırakmak: Özellikle “Flexible SSL” benzeri kurgularda, kullanıcı ile CDN arası şifrelenip CDN ile origin arası şifrelenmediğinde, veri merkezine olan trafik açıkta kalır. Mümkünse her zaman uçtan uca HTTPS kullanın.
• Mixed content sorunlarını görmezden gelmek: HTTP üzerinden yüklenen resim, JS veya CSS dosyaları, tarayıcıda “güvenli değil” uyarısına neden olur. Bu konuyu adım adım anlattığımız mixed content ve güvensiz içerik hatalarını düzeltme rehberine mutlaka bakın.
• Wildcard her derde deva sanmak: Yanlış planlanmış wildcard sertifikalar, gereksiz geniş yetkiler ve karmaşık anahtar yönetimi doğurabilir. Bazı yapılarda SAN veya çoklu tekil sertifikalar daha güvenlidir.
• Staging/test ortamlarını HTTP’de bırakmak: Gerçek kullanıcı verisi kopyalarını barındıran test ortamlarında HTTPS kullanmamak ciddi bir risk oluşturur.
• Sertifika bitiş tarihlerini izlememek: Otomasyon bozulduğunda kimse fark etmezse, siteniz bir sabah “güvenli değil” uyarısıyla uyanabilir. Merkezî izleme ve alarm her büyüklükte proje için şarttır.
• HTTPS geçişini plansız yapmak: 301 yönlendirmeler, HSTS, canonical ve sitemap ayarları yapılmadığında SEO kayıpları yaşanabilir. Bu süreci doğru yönetmek için HTTP’den HTTPS’ye geçiş rehberimizi referans alabilirsiniz.

Sonuç: Let’s Encrypt mi ücretli SSL mi? Asıl soru hangisi değil, nerede hangisi?

Artık tabloyu netleştirebiliriz: Let’s Encrypt mi, ücretli SSL mi? sorusunun tek bir evrensel cevabı yok. Doğru soru şu: “Altyapımın hangi parçasında hangi sertifika türü, hangi risk ve beklenti seviyesi için daha mantıklı?”

Küçük ve orta ölçekli projelerde Let’s Encrypt, doğru yapılandırma ve otomasyonla son derece güçlü ve güvenli bir çözümdür. E-ticaret, kurumsal ve B2B yapılarda ise, özellikle ödeme, kritik portallar, ihaleye konu web varlıkları ve regüle sektörler için OV/EV veya kurumsal DV/SAN sertifikalarla desteklenmiş, hibrit bir mimari çoğu zaman en akıllıca yoldur.

DCHost olarak; domain, paylaşımlı hosting, VPS, dedicated ve colocation altyapılarınızı planlarken, SSL tarafında da Let’s Encrypt otomasyonundan kurumsal sertifika yönetimine kadar uçtan uca destek verebiliyoruz. Projenizin ölçeğini, regülasyon gerekliliklerini ve büyüme hedeflerinizi birlikte değerlendirmek isterseniz, bizimle iletişime geçin; sizin için gerçekçi, sürdürülebilir ve maliyet/yarar dengesi doğru kurulmuş bir SSL stratejisi çıkaralım.