{"id":1890,"date":"2025-11-15T20:59:18","date_gmt":"2025-11-15T17:59:18","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/caa-kayitlari-derinlemesine-neden-nasil-ve-ne-zaman-coklu%e2%80%91caya-gecmelisin\/"},"modified":"2025-11-15T20:59:18","modified_gmt":"2025-11-15T17:59:18","slug":"caa-kayitlari-derinlemesine-neden-nasil-ve-ne-zaman-coklu%e2%80%91caya-gecmelisin","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/caa-kayitlari-derinlemesine-neden-nasil-ve-ne-zaman-coklu%e2%80%91caya-gecmelisin\/","title":{"rendered":"CAA Kay\u0131tlar\u0131 Derinlemesine: Neden, Nas\u0131l ve Ne Zaman \u00c7oklu\u2011CA\u2019ya Ge\u00e7melisin?"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#Kucuk_Bir_CAA_Hikayesi_Sertifika_Neden_Birden_Durdu\"><span class=\"toc_number toc_depth_1\">1<\/span> K\u00fc\u00e7\u00fck Bir CAA Hik\u00e2yesi: \u201cSertifika Neden Birden Durdu?\u201d<\/a><\/li><li><a href=\"#CAA_Nedir_Neyi_Neden_Kontrol_Eder\"><span class=\"toc_number toc_depth_1\">2<\/span> CAA Nedir? Neyi, Neden Kontrol Eder?<\/a><\/li><li><a href=\"#issue_issuewild_ve_iodef_Kucuk_Farklar_Buyuk_Etkiler\"><span class=\"toc_number toc_depth_1\">3<\/span> issue, issuewild ve iodef: K\u00fc\u00e7\u00fck Farklar, B\u00fcy\u00fck Etkiler<\/a><\/li><li><a href=\"#Lets_Encrypt_ve_ZeroSSLi_Nasil_Yetkilendirirsin_Kucuk_Farklarin_Buyuk_Konforu\"><span class=\"toc_number toc_depth_1\">4<\/span> Let\u2019s Encrypt ve ZeroSSL\u2019i Nas\u0131l Yetkilendirirsin? K\u00fc\u00e7\u00fck Farklar\u0131n B\u00fcy\u00fck Konforu<\/a><\/li><li><a href=\"#CokluCA_Stratejisi_Tek_Kapiya_Guvenmek_Neden_Yorucu\"><span class=\"toc_number toc_depth_1\">5<\/span> \u00c7oklu\u2011CA Stratejisi: Tek Kap\u0131ya G\u00fcvenmek Neden Yorucu?<\/a><\/li><li><a href=\"#Operasyonel_Incelikler_TTL_Miras_CNAME_ve_Kucuk_Tuzaklar\"><span class=\"toc_number toc_depth_1\">6<\/span> Operasyonel \u0130ncelikler: TTL, Miras, CNAME ve K\u00fc\u00e7\u00fck Tuzaklar<\/a><\/li><li><a href=\"#CAA_ACME_ve_Otomasyonun_Dansi_Akisinizi_Nasil_Rahatlarsiniz\"><span class=\"toc_number toc_depth_1\">7<\/span> CAA, ACME ve Otomasyonun Dans\u0131: Ak\u0131\u015f\u0131n\u0131z\u0131 Nas\u0131l Rahatlars\u0131n\u0131z?<\/a><\/li><li><a href=\"#Gercek_Hayattan_Kisa_Senaryolar_Mesela_Soyle_Dusunun8230\"><span class=\"toc_number toc_depth_1\">8<\/span> Ger\u00e7ek Hayattan K\u0131sa Senaryolar: \u201cMesela \u015e\u00f6yle D\u00fc\u015f\u00fcn\u00fcn&#8230;\u201d<\/a><\/li><li><a href=\"#Sorun_Giderme_Neden_Reddedildi_dediginizde_Bakilacak_Noktalar\"><span class=\"toc_number toc_depth_1\">9<\/span> Sorun Giderme: \u201cNeden Reddedildi?\u201d dedi\u011finizde Bak\u0131lacak Noktalar<\/a><\/li><li><a href=\"#Kapanis_CAAyi_Bir_Kayit_Degil_Bir_Politika_Gibi_Tutmak\"><span class=\"toc_number toc_depth_1\">10<\/span> Kapan\u0131\u015f: CAA\u2019y\u0131 Bir Kay\u0131t De\u011fil, Bir Politika Gibi Tutmak<\/a><\/li><\/ul><\/div>\n<h2 id=\"section-1\"><span id=\"Kucuk_Bir_CAA_Hikayesi_Sertifika_Neden_Birden_Durdu\">K\u00fc\u00e7\u00fck Bir CAA Hik\u00e2yesi: \u201cSertifika Neden Birden Durdu?\u201d<\/span><\/h2>\n<p>Hi\u00e7 ba\u015f\u0131n\u0131za geldi mi? Gece 02:00, kahve bitmi\u015f, g\u00f6zler yar\u0131 a\u00e7\u0131k. ACME otomasyonunun sertifikay\u0131 yenilemesini bekliyorsunuz. Her \u015fey yolunda derken bir anda hata: <strong>CAA mismatch<\/strong>. O an anl\u0131yorsunuz ki DNS\u2019teki minicik bir kay\u0131t, b\u00fct\u00fcn ak\u0131\u015f\u0131 kilitlemi\u015f. Ben bu filmi izledim. Bir m\u00fc\u015fteri, subdomain\u2019lerde bir d\u00fczenleme yaparken fark\u0131nda olmadan <strong>CAA<\/strong> kayd\u0131n\u0131 \u00f6yle bir s\u0131k\u0131la\u015ft\u0131rm\u0131\u015f ki, Let\u2019s Encrypt\u2019in yerine sadece farkl\u0131 bir CA\u2019y\u0131 yetkilendirir hale gelmi\u015f. Sonu\u00e7: Otomasyon durmu\u015f, panik ba\u015flam\u0131\u015f.<\/p>\n<p>\u0130\u015fte o geceden sonra CAA\u2019n\u0131n sadece \u201cg\u00fcvenlik i\u00e7in iyi bir fikir\u201d olmad\u0131\u011f\u0131n\u0131, ayn\u0131 zamanda <strong>ya\u015fayan bir operasyon politikas\u0131<\/strong> oldu\u011funu daha net g\u00f6rd\u00fcm. Bu yaz\u0131da CAA kay\u0131tlar\u0131n\u0131, <strong>issue \/ issuewild<\/strong> ayr\u0131m\u0131n\u0131, <strong>iodef<\/strong> ile bildirimleri, ve Let\u2019s Encrypt ile ZeroSSL yetkilendirmesini ba\u015ftan sona, tatl\u0131 tatl\u0131 konu\u015faca\u011f\u0131z. Bir de i\u015fin kalbinde yatan konuya gelece\u011fiz: <strong>\u00e7oklu\u2011CA stratejisi<\/strong>. \u00c7\u00fcnk\u00fc tek bir sa\u011flay\u0131c\u0131ya yaslanmak; kesinti, oran limiti ya da b\u00f6lgesel bir aksakl\u0131kta en son isteyece\u011finiz \u015fey.<\/p>\n<p>Haz\u0131rsan\u0131z beraber ayar dosyalar\u0131n\u0131z\u0131 de\u011fil, \u00f6nce <strong>ak\u0131\u015f\u0131n\u0131z\u0131<\/strong> d\u00fczenleyelim. Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn: CAA, kap\u0131n\u0131zdaki g\u00fcvenlik g\u00f6revlisi. Kimi i\u00e7eri alaca\u011f\u0131n\u0131 siz s\u00f6yl\u00fcyorsunuz. Bazen tek isim s\u00f6ylersiniz, bazen de iki kap\u0131dan giri\u015f a\u00e7ars\u0131n\u0131z. \u0130\u015fte o iki kap\u0131n\u0131n do\u011fru zamanda, do\u011fru \u015fekilde a\u00e7\u0131k oldu\u011fundan emin olaca\u011f\u0131z.<\/p>\n<h2 id=\"section-2\"><span id=\"CAA_Nedir_Neyi_Neden_Kontrol_Eder\">CAA Nedir? Neyi, Neden Kontrol Eder?<\/span><\/h2>\n<p>CAA (Certification Authority Authorization), k\u0131saca \u201cBu alan ad\u0131na sertifika vermeye <strong>kimlerin<\/strong> yetkili oldu\u011funu DNS\u2019te ilan etti\u011finiz\u201d bir kay\u0131t. Sertifikan\u0131z\u0131 d\u00fczenlemek isteyen bir CA (\u00f6rne\u011fin Let\u2019s Encrypt), \u00f6nce DNS\u2019inize bakar: \u201cBeni yetkili k\u0131lm\u0131\u015flar m\u0131?\u201d Cevap evetse devam, de\u011filse ba\u015fvuruyu reddeder. B\u00f6ylece rastgele bir sa\u011flay\u0131c\u0131n\u0131n, sizin bilginiz d\u0131\u015f\u0131nda sertifika vermesinin \u00f6n\u00fcne ge\u00e7mi\u015f olursunuz.<\/p>\n<p>Buradaki g\u00fczel ayr\u0131nt\u0131 \u015fu: CAA <strong>miras<\/strong> al\u0131r. Yani <code>sub.example.com<\/code> i\u00e7in ayr\u0131 bir CAA yoksa, <code>example.com<\/code>\u2019daki kurallar ge\u00e7erlidir. Bu iyi bir \u015fey, \u00e7\u00fcnk\u00fc tek bir merkezden t\u00fcm alt alanlar\u0131n\u0131z\u0131 y\u00f6netebilirsiniz. Ama bir de ters y\u00fcz\u00fc var: \u00dcst alanda gere\u011finden kat\u0131 bir kural koyarsan\u0131z, beklemedi\u011finiz bir alt alan yenilemesinde duvara toslayabilirsiniz.<\/p>\n<p>Bazen \u015funu da duyar\u0131m: \u201cZaten DNSSEC kullan\u0131yorum, CAA \u015fart m\u0131?\u201d Birbirini tamaml\u0131yorlar. DNSSEC kay\u0131tlar\u0131n\u0131z\u0131n <strong>do\u011frulu\u011funu<\/strong> kan\u0131tlar, CAA ise kimin sertifika <strong>d\u00fczenleyebilece\u011fini<\/strong> s\u0131n\u0131rlar. Birlikte d\u00fc\u015f\u00fcn\u00fcn; ayr\u0131 ayr\u0131 de\u011fil.<\/p>\n<h2 id=\"section-3\"><span id=\"issue_issuewild_ve_iodef_Kucuk_Farklar_Buyuk_Etkiler\">issue, issuewild ve iodef: K\u00fc\u00e7\u00fck Farklar, B\u00fcy\u00fck Etkiler<\/span><\/h2>\n<p>CAA\u2019n\u0131n \u00fc\u00e7 tatl\u0131 anahtar kelimesi var: <strong>issue<\/strong>, <strong>issuewild<\/strong> ve <strong>iodef<\/strong>. Her biri ayn\u0131 c\u00fcmlenin farkl\u0131 tonlar\u0131 gibi davran\u0131r.<\/p>\n<p><strong>issue<\/strong>, alan ad\u0131n\u0131z i\u00e7in genel sertifika yetkisi verir. \u201cBu alan i\u00e7in sertifika isteyen olursa, \u015fu CA\u2019lar verebilir\u201d dersiniz. Mesela: <code>example.com CAA 0 issue \"letsencrypt.org\"<\/code> dedi\u011finizde, Let\u2019s Encrypt\u2019i ye\u015fil listeye alm\u0131\u015f olursunuz. Birden fazla sa\u011flay\u0131c\u0131y\u0131 yan yana yazabilirsiniz; her sat\u0131r ayr\u0131 bir izin gibi d\u00fc\u015f\u00fcn\u00fcn.<\/p>\n<p><strong>issuewild<\/strong> ise joker karakterli (wildcard) sertifikalar\u0131 hedefler. <code>*.example.com<\/code> gibi y\u0131ld\u0131zl\u0131 bir sertifika d\u00fczenlenmek istendi\u011finde, CA bu kez <strong>issuewild<\/strong> kurallar\u0131n\u0131 kontrol eder. \u015e\u00f6yle bir kural, \u201cwildcard sadece ZeroSSL versin\u201d diye f\u0131s\u0131ldar: <code>example.com CAA 0 issuewild \"zerossl.com\"<\/code>. E\u011fer wildcard\u2019\u0131 s\u0131k\u0131 tutmak, ama tekil alt alanlar\u0131 daha serbest b\u0131rakmak istiyorsan\u0131z, bu ayr\u0131m \u00e7ok i\u015finize yarar.<\/p>\n<p>Gelelim <strong>iodef<\/strong>\u2019e. Bu da bir t\u00fcr haberle\u015fme kanal\u0131. CA diyor ki: \u201cBen bir \u015fey fark edersem, kime haber vereyim?\u201d Siz de <code>mailto:<\/code> ya da <code>https:<\/code> ile bir adres veriyorsunuz. \u00d6rne\u011fin: <code>example.com CAA 0 iodef \"mailto:cert-notify@example.com\"<\/code> ya da <code>example.com CAA 0 iodef \"https:\/\/certs.example.com\/notify\"<\/code>. Bir g\u00fcn beklemedi\u011finiz bir deneme olursa, size e\u2011posta ya da webhook ile \u201cKap\u0131da bir hareket var\u201d diye haber gelir. Sessiz sakin bir a\u011f g\u00fcn\u00fc i\u00e7in paha bi\u00e7ilemez.<\/p>\n<p>Ufak ama kritik bir not: CAA sat\u0131rlar\u0131nda <strong>parametreler<\/strong> de kullan\u0131labiliyor. Baz\u0131 CA\u2019lar, belirli do\u011frulama y\u00f6ntemlerini (\u201c<code>validationmethods=http-01,dns-01<\/code>\u201d) ya da belirli bir hesab\u0131 (\u201c<code>accounturi=...<\/code>\u201d) \u015fart ko\u015fman\u0131za izin veriyor. Bu, \u00f6zellikle <strong>\u00e7ok kirac\u0131l\u0131<\/strong> yap\u0131larda veya birden fazla ekip ayn\u0131 alan\u0131 y\u00f6netirken hayat kurtar\u0131r. Yetkiliyi de\u011fil, <strong>nas\u0131l<\/strong> ve <strong>hangi hesapla<\/strong> yetkili oldu\u011funu tarif edersiniz.<\/p>\n<h2 id=\"section-4\"><span id=\"Lets_Encrypt_ve_ZeroSSLi_Nasil_Yetkilendirirsin_Kucuk_Farklarin_Buyuk_Konforu\">Let\u2019s Encrypt ve ZeroSSL\u2019i Nas\u0131l Yetkilendirirsin? K\u00fc\u00e7\u00fck Farklar\u0131n B\u00fcy\u00fck Konforu<\/span><\/h2>\n<p>\u0130\u015f prati\u011fe geliyor. Let\u2019s Encrypt i\u00e7in genellikle <code>issue \"letsencrypt.org\"<\/code> sat\u0131r\u0131 yeterli olur. Wildcard kullanacaksan\u0131z <code>issuewild<\/code> ile de ayr\u0131 bir sat\u0131r ekleyebilirsiniz. ZeroSSL taraf\u0131nda ise ben \u00e7o\u011fu kurulumda <code>issue \"zerossl.com\"<\/code> g\u00f6rd\u00fcm ve sa\u011fl\u0131kl\u0131 \u00e7al\u0131\u015ft\u0131. Baz\u0131 altyap\u0131larda <code>sectigo.com<\/code> etiketi de kabul edilebilir; \u00e7\u00fcnk\u00fc i\u015fin arka taraf\u0131nda ili\u015fkiler var. Ama net ve sade kalmak i\u00e7in <strong>zerossl.com<\/strong> yazma al\u0131\u015fkanl\u0131\u011f\u0131 pratikte i\u015f g\u00f6r\u00fcyor.<\/p>\n<p>\u00d6rnek bir kurulum zihninizde dursun: Genel sertifikalar\u0131 Let\u2019s Encrypt, wildcard\u2019lar\u0131 ZeroSSL versin isteyin. O zaman iki sat\u0131r\u0131n\u0131z olur. Biri <code>example.com CAA 0 issue \"letsencrypt.org\"<\/code>, di\u011feri <code>example.com CAA 0 issuewild \"zerossl.com\"<\/code>. B\u00f6ylece otomasyonunuz, wildcard\u2019\u0131 yenilerken \u201cBen ZeroSSL\u2019e gideyim\u201d der; tekil alt alanlarda ise Let\u2019s Encrypt ile devam eder.<\/p>\n<p>Bir t\u0131k daha ileri seviyede, belirli do\u011frulama y\u00f6ntemlerini \u015fart ko\u015fabilirsiniz. Diyelim ki HTTP\u201101 yerine sadece <strong>DNS\u201101<\/strong> ile do\u011frulama yap\u0131lmas\u0131n\u0131 istiyorsunuz. Baz\u0131 CA\u2019lar bu parametreyi CAA i\u00e7inde anlayabiliyor: <code>example.com CAA 0 issue \"letsencrypt.org; validationmethods=dns-01\"<\/code>. Bu sat\u0131r, \u201cBenim kap\u0131mdan i\u00e7eri sadece DNS do\u011frulamas\u0131n\u0131 yapan girsin\u201d demek gibi bir \u015fey. Kurallar net olunca, otomatikle\u015ftirilmi\u015f i\u015flemler daha d\u00fczenli ak\u0131yor.<\/p>\n<p>Garip hatalarla kar\u015f\u0131la\u015f\u0131rsan\u0131z, \u00f6nce CA\u2019lar\u0131n kendi dok\u00fcmantasyonuna bakmak iyi fikir. Let\u2019s Encrypt taraf\u0131nda <a href=\"https:\/\/letsencrypt.org\/docs\/caa\/\" rel=\"nofollow noopener\" target=\"_blank\">Let\u2019s Encrypt CAA rehberi<\/a> net ve k\u0131sa. ZeroSSL i\u00e7inse genel yol haritas\u0131n\u0131, onlar\u0131n <a href=\"https:\/\/zerossl.com\/blog\/ssl-certificate-caa-dns-records\/\" rel=\"nofollow noopener\" target=\"_blank\">CAA kay\u0131tlar\u0131n\u0131 anlatan yaz\u0131s\u0131ndan<\/a> takip etmek kolay oluyor. Bir de DNS panelinizin CAA alan\u0131na nas\u0131l yakla\u015ft\u0131\u011f\u0131n\u0131 g\u00f6rmek i\u00e7in kulland\u0131\u011f\u0131n\u0131z sa\u011flay\u0131c\u0131n\u0131n dok\u00fcmanlar\u0131na g\u00f6z at\u0131n; \u00f6rne\u011fin Cloudflare\u2019\u0131n <a href=\"https:\/\/developers.cloudflare.com\/dns\/manage-dns-records\/reference\/caa\/\" rel=\"nofollow noopener\" target=\"_blank\">CAA referans\u0131<\/a> ara y\u00fczle birebir uyumlu a\u00e7\u0131kl\u0131yor.<\/p>\n<h2 id=\"section-5\"><span id=\"CokluCA_Stratejisi_Tek_Kapiya_Guvenmek_Neden_Yorucu\">\u00c7oklu\u2011CA Stratejisi: Tek Kap\u0131ya G\u00fcvenmek Neden Yorucu?<\/span><\/h2>\n<p>\u015e\u00f6yle d\u00fc\u015f\u00fcn\u00fcn: Tatl\u0131 bir e\u2011ticaret siteniz var, kampanya d\u00f6nemi. Trafik artm\u0131\u015f, herkes \u00f6deme sayfas\u0131nda. Tam o s\u0131rada tek bir CA\u2019n\u0131n oran limitine tak\u0131ld\u0131n\u0131z veya k\u0131sa s\u00fcreli b\u00f6lgesel bir sorunu oldu. Otomasyon yenileyemedi. \u0130\u015fte burada <strong>\u00e7oklu\u2011CA<\/strong> stratejisi fark yarat\u0131yor. CAA\u2019da hem Let\u2019s Encrypt\u2019i hem de ZeroSSL\u2019i yetkili k\u0131ld\u0131\u011f\u0131n\u0131zda, otomasyonunuz ikinci kap\u0131dan i\u00e7eri usulca girip sertifika i\u015fini tamamlayabiliyor.<\/p>\n<p>Benim pratikte sevdi\u011fim yakla\u015f\u0131m \u015fu: CAA\u2019da iki sa\u011flay\u0131c\u0131y\u0131 da a\u00e7\u0131k tut, otomasyonunda da <strong>fallback<\/strong> s\u0131ran\u0131 belirle. Yani \u00f6nce Let\u2019s Encrypt\u2019le dene; olmad\u0131ysa ZeroSSL\u2019e otomatik ge\u00e7. B\u00f6ylece g\u00fcnl\u00fck ak\u0131\u015fta gereksiz ge\u00e7i\u015f yapmadan, gerekti\u011finde yedek plan devreye girer. Bu ak\u0131\u015f\u0131 kurarken <a href=\"https:\/\/www.dchost.com\/blog\/acme-otomasyonunda-yedekli-ca-nasil-kurulur-acme-sh-ile-lets-encrypt-%e2%86%92-zerossl-fallback-oran-limitlerine-karsi-guvenli-olcekleme\/\">ACME otomasyonunda yedekli CA stratejisini ad\u0131m ad\u0131m anlatan \u015fu rehber<\/a> pratikte \u00e7ok i\u015fe yar\u0131yor; CAA taraf\u0131 ise bunun DNS\u2019teki izin perdesi gibi.<\/p>\n<p>Wildcard\u2019\u0131 neden bazen farkl\u0131 bir sa\u011flay\u0131c\u0131ya veriyoruz derseniz, sebebi \u00e7ok insani: \u201cDaha az s\u00fcrpriz.\u201d Wildcard\u2019lar genelde <strong>DNS\u201101<\/strong> do\u011frulamas\u0131 gerektiriyor. Baz\u0131 CA\u2019lar bu ak\u0131\u015fta daha stabil davran\u0131yor ya da ek ko\u015fullar istiyor. O y\u00fczden wildcard\u2019\u0131 tek bir CA\u2019da standardize etmek, tekil alt alanlar\u0131 ise di\u011fer CA\u2019ya b\u0131rakmak s\u0131k g\u00f6rd\u00fc\u011f\u00fcm bir model. B\u00f6yle yapt\u0131\u011f\u0131n\u0131zda CAA sat\u0131rlar\u0131 <strong>stratejiyi<\/strong> g\u00f6r\u00fcn\u00fcr k\u0131l\u0131yor.<\/p>\n<p>\u0130\u015fin g\u00fcvenlik tonu da \u00f6nemli. CAA\u2019ya \u201c<code>accounturi=...<\/code>\u201d koyarak, belli bir ACME hesab\u0131yla s\u0131n\u0131rland\u0131rma yaparsan\u0131z, \u201cyetkili CA tamam, ama sadece <strong>benim hesab\u0131m<\/strong> \u00fczerinden\u201d demi\u015f olursunuz. Ekip say\u0131s\u0131 art\u0131nca bu ince ayar, gece yar\u0131s\u0131 s\u00fcrprizlerini ciddi bi\u00e7imde azalt\u0131yor.<\/p>\n<h2 id=\"section-6\"><span id=\"Operasyonel_Incelikler_TTL_Miras_CNAME_ve_Kucuk_Tuzaklar\">Operasyonel \u0130ncelikler: TTL, Miras, CNAME ve K\u00fc\u00e7\u00fck Tuzaklar<\/span><\/h2>\n<p>CAA\u2019y\u0131 kurdunuz diyelim. \u0130lk g\u00fcnlerde <strong>TTL<\/strong> de\u011ferini \u00e7ok \u015fi\u015firmeyin. Deneme\u2011yan\u0131lma yaparken k\u0131sa TTL, \u201chata yapt\u0131m, d\u00fczelttim, etkisini \u00e7abuk g\u00f6reyim\u201d demek. Oturdu\u011funda uzatabilirsiniz. \u00d6zellikle \u00fcretim \u00f6ncesi ge\u00e7i\u015flerde beni en \u00e7ok rahatlatan \u015fey, kontroll\u00fc ve k\u0131sa TTL oldu.<\/p>\n<p>Miras meselesini unutmay\u0131n: <code>shop.example.com<\/code> i\u00e7in ayr\u0131 CAA eklemediyseniz, <code>example.com<\/code>\u2019daki kurallar ge\u00e7erlidir. Bazen ekipler alt alan \u00f6zelinde farkl\u0131 bir politika ister, ama ana alan o kadar kat\u0131d\u0131r ki alt alan\u0131n ihtiyac\u0131na yer kalmaz. O zaman alt alanda <strong>daha serbest<\/strong> bir CAA tan\u0131m\u0131 yap\u0131p, ana alan\u0131n kat\u0131l\u0131\u011f\u0131n\u0131 o dallanman\u0131n \u00fcst\u00fcne ta\u015f\u0131mamak gerekir.<\/p>\n<p><strong>CNAME zinciri<\/strong> olan alanlarda da bazen kafa kar\u0131\u015ft\u0131r\u0131c\u0131 davran\u0131\u015flar g\u00f6r\u00fcl\u00fcr. Sertifika isteyen CA, ba\u015fvuru yap\u0131lan adrese, gerekti\u011finde CNAME\u2019in hedefledi\u011fi isme ve nihayetinde \u00fcst alanlara bakarak CAA karar\u0131n\u0131 verir. Bu y\u00fczden zincirdeki her halkada beklenmedik bir CAA\u2019nin <strong>veto<\/strong> etkisi olabilece\u011fini akl\u0131n\u0131zda tutun. \u00d6zellikle harici bir hizmete y\u00f6nlendirdi\u011finiz alt alanlarda, hedef alan\u0131n CAA politikas\u0131n\u0131n sizinkini g\u00f6lgelemedi\u011finden emin olun.<\/p>\n<p>\u015eu \u201c<strong>kritik bayrak<\/strong>\u201d meselesi de arada sorulur. CAA kayd\u0131ndaki bayrak alan\u0131 genellikle 0\u2019d\u0131r. Baz\u0131 ileri kullan\u0131mlarda \u201cbilinmeyen parametreyi g\u00f6r\u00fcrsen ba\u015fvuruyu reddet\u201d anlam\u0131na gelen kritik bir bayrak setlenebilir. Pratikte bu pek kullan\u0131lmaz; zira uyumsuz bir yorum, gereksiz reddedi\u015flere yol a\u00e7abilir. Ba\u015flang\u0131\u00e7 i\u00e7in sade kalmak, sonra ger\u00e7ekten ihtiyac\u0131n\u0131z do\u011farsa bu seviyeye inmek daha huzurlu.<\/p>\n<p>Son olarak, <strong>iodef<\/strong> adresinizi \u00e7al\u0131\u015f\u0131r tutun. Bir e\u2011posta veriyorsan\u0131z posta kutusunu izleyen bir ekip olsun, bir HTTP u\u00e7 noktas\u0131 veriyorsan\u0131z log\u2019lanan, alarmlanan, ula\u015f\u0131labilir bir yer olsun. Haber geliyor ama kimse g\u00f6rm\u00fcyorsa, gelmeyen haber kadar k\u00f6t\u00fc.<\/p>\n<h2 id=\"section-7\"><span id=\"CAA_ACME_ve_Otomasyonun_Dansi_Akisinizi_Nasil_Rahatlarsiniz\">CAA, ACME ve Otomasyonun Dans\u0131: Ak\u0131\u015f\u0131n\u0131z\u0131 Nas\u0131l Rahatlars\u0131n\u0131z?<\/span><\/h2>\n<p>Otomasyon d\u00fcnyas\u0131nda iki \u015fey huzur getiriyor: Net yetkiler ve iyi bir <strong>geri d\u00f6n\u00fc\u015f plan\u0131<\/strong>. CAA size net yetkileri veriyor, ACME istemciniz de geri d\u00f6n\u00fc\u015f\u00fc. \u00d6rne\u011fin \u00f6nce Let\u2019s Encrypt, ba\u015faramazsa ZeroSSL deneyecek bir ak\u0131\u015f kurdunuz. CAA taraf\u0131nda da her iki sa\u011flay\u0131c\u0131ya izin verdiniz. O zaman bir CA\u2019n\u0131n sessiz sedas\u0131z problem ya\u015fad\u0131\u011f\u0131 bir g\u00fcn, ak\u0131\u015f\u0131n\u0131z durmuyor; sadece di\u011fer kap\u0131dan devam ediyorsunuz.<\/p>\n<p>Burada ince bir rafine ayar var: <strong>issue<\/strong> ve <strong>issuewild<\/strong> ile politikay\u0131 katmanland\u0131rmak. Wildcard her zaman DNS\u201101 ile gidecekse, onun ak\u0131\u015f\u0131n\u0131 daha ayr\u0131 bir rayda tutmak, genel alan sertifikalar\u0131n\u0131 ise HTTP\u201101\u2019e b\u0131rakarak web sunucular\u0131yla daha yak\u0131n entegre etmek zaten do\u011fal bir b\u00f6l\u00fcnme yarat\u0131yor. CAA sat\u0131rlar\u0131 bu ayr\u0131m\u0131 g\u00f6r\u00fcn\u00fcr k\u0131l\u0131nca, ekipler aras\u0131nda yanl\u0131\u015f anla\u015f\u0131lma azal\u0131yor.<\/p>\n<p>Bir de \u00fcretim \u00f6ncesi <strong>dry\u2011run<\/strong> tad\u0131nda kontroller: Otomasyonun g\u00fcncellemeyi yapmas\u0131ndan \u00f6nce CAA\u2019y\u0131 haz\u0131rlay\u0131p k\u00fc\u00e7\u00fck bir alt alanda deneme yapmak, \u201cbekledi\u011fim CA\u2019ya gidiyor mu, bekledi\u011fim do\u011frulama y\u00f6ntemi tetikleniyor mu\u201d sorular\u0131na h\u0131zl\u0131 cevap verdiriyor. Sonra yayg\u0131nla\u015ft\u0131rmak daha kolay.<\/p>\n<h2 id=\"section-8\"><span id=\"Gercek_Hayattan_Kisa_Senaryolar_Mesela_Soyle_Dusunun8230\">Ger\u00e7ek Hayattan K\u0131sa Senaryolar: \u201cMesela \u015e\u00f6yle D\u00fc\u015f\u00fcn\u00fcn&#8230;\u201d<\/span><\/h2>\n<p>Senaryo 1: Geli\u015ftirme ortam\u0131nda wildcard laz\u0131m de\u011fil. O halde <code>dev.example.com<\/code> i\u00e7in sadece <strong>issue<\/strong> ile Let\u2019s Encrypt\u2019i yetkilendirin. Wildcard\u2019\u0131 ise ana alan i\u00e7in ZeroSSL\u2019e b\u0131rak\u0131n. B\u00f6ylece geli\u015ftirme taraf\u0131nda h\u0131zl\u0131 ve sade kal\u0131rken, \u00fcretimde daha kontroll\u00fc bir ray kurmu\u015f olursunuz.<\/p>\n<p>Senaryo 2: M\u00fc\u015fterilerin kendi alan adlar\u0131n\u0131 ba\u011flad\u0131\u011f\u0131 bir SaaS \u00fcr\u00fcn\u00fcn\u00fcz var. Her m\u00fc\u015fterinin DNS\u2019ine dokunamayaca\u011f\u0131n\u0131z i\u00e7in, ACME taraf\u0131nda DNS\u201101 yerine m\u00fc\u015fterinin sitesinde <strong>HTTP\u201101<\/strong> do\u011frulamas\u0131 yapmak istiyorsunuz. O zaman CAA\u2019da \u201c<code>validationmethods=http-01<\/code>\u201d parametresini destekleyen CA\u2019y\u0131 a\u00e7\u0131k\u00e7a yetkilendirmek, beklenmedik bir \u201cyanl\u0131\u015f y\u00f6ntemle denendi, reddedildi\u201d s\u00fcrprizini ortadan kald\u0131r\u0131r. Bu yakla\u015f\u0131m\u0131, \u00e7ok kirac\u0131l\u0131 SSL otomasyonunu konu\u015ftu\u011fumuz <strong>\u00e7ok kirac\u0131l\u0131 mimaride DNS\u201101 stratejileri<\/strong> tad\u0131nda d\u00fc\u015f\u00fcnmek isterseniz, perspektif sa\u011flamak i\u00e7in \u015furadaki anlat\u0131m\u0131 seviyorum: <a href=\"https:\/\/www.dchost.com\/blog\/saaste-ozel-alan-adlari-ve-otomatik-ssl-dns%e2%80%9101-ile-cok-kiracili-mimarini-nasil-tatli-tatli-olceklersin\/\">SaaS\u2019te \u00f6zel alan adlar\u0131 ve otomatik SSL ak\u0131\u015f\u0131<\/a>. (Not: Burada mimari lensine bak\u0131yoruz; CAA alan\u0131 ise ayn\u0131 dans\u0131n yetki k\u0131sm\u0131.)<\/p>\n<p>Senaryo 3: K\u00f6k alan\u0131n\u0131zda kat\u0131 kurallar var ama alt alanlardan biri harici bir sa\u011flay\u0131c\u0131ya y\u00f6nleniyor. O harici sa\u011flay\u0131c\u0131n\u0131n da kendi CAA politikalar\u0131 var. B\u00f6yle durumlarda alt alana \u00f6zel bir <strong>issue<\/strong> sat\u0131r\u0131 ekleyip, o servis i\u00e7in gerekli CA\u2019y\u0131 a\u00e7\u0131k\u00e7a yetkilendirmek k\u00f6\u015fedeki ta\u015flar\u0131 d\u00fczeltir. \u201c\u00dcstten miras gelsin, ama burada biraz e\u011filelim\u201d demek gibi.<\/p>\n<h2 id=\"section-9\"><span id=\"Sorun_Giderme_Neden_Reddedildi_dediginizde_Bakilacak_Noktalar\">Sorun Giderme: \u201cNeden Reddedildi?\u201d dedi\u011finizde Bak\u0131lacak Noktalar<\/span><\/h2>\n<p>\u0130lk kontrol her zaman <strong>do\u011fru isim<\/strong>. Yanl\u0131\u015f etiket, yanl\u0131\u015f t\u0131rnak, yanl\u0131\u015f alan ad\u0131, bazen en masum hatad\u0131r. Ard\u0131ndan <strong>miras<\/strong> zincirini ba\u015ftan sona okuyun: Ba\u015fvurulan FQDN, varsa CNAME hedefi, sonra bir \u00fcst alan ve derken k\u00f6\u011fe kadar gidip CAA var m\u0131 bak\u0131n. Bir yerde \u201cBen burada bir \u015fey yazm\u0131\u015f\u0131m ama unuttum\u201d \u00e7\u0131kar.<\/p>\n<p>E\u011fer wildcard ba\u015fvurusu yap\u0131yorsan\u0131z, <strong>issuewild<\/strong> yoksa veya yanl\u0131\u015f CA\u2019y\u0131 i\u015faret ediyorsa reddedilir. Wildcard\u2019\u0131n genelde DNS\u201101 istedi\u011fini, otomasyonunuzun DNS g\u00fcncelleme yetkisi olup olmad\u0131\u011f\u0131n\u0131 da yoklay\u0131n. Yanl\u0131\u015f bir do\u011frulama y\u00f6ntemi bazen \u201cCAA reddi\u201d gibi g\u00f6r\u00fcn\u00fcr.<\/p>\n<p>Son olarak <strong>log<\/strong> okumay\u0131 sevin. ACME istemcisinin sundu\u011fu g\u00fcnl\u00fcklerde \u201cCA\u2019dan d\u00f6nen hata\u201d mesaj\u0131 sizi do\u011frudan CAA ipucuna g\u00f6t\u00fcr\u00fcr. Bir de iodef kullan\u0131yorsan\u0131z, oraya d\u00fc\u015fen bildirimler olay\u0131n saatini, hangi adrese bak\u0131ld\u0131\u011f\u0131n\u0131, hangi y\u00f6nergenin reddi tetikledi\u011fini s\u00f6yler. Bu k\u00fc\u00e7\u00fck mesajlar, b\u00fcy\u00fck sorular\u0131 k\u00fc\u00e7\u00fclt\u00fcr.<\/p>\n<h2 id=\"section-10\"><span id=\"Kapanis_CAAyi_Bir_Kayit_Degil_Bir_Politika_Gibi_Tutmak\">Kapan\u0131\u015f: CAA\u2019y\u0131 Bir Kay\u0131t De\u011fil, Bir Politika Gibi Tutmak<\/span><\/h2>\n<p>CAA\u2019y\u0131 ilk kez kurarken his, genelde \u201ck\u00fc\u00e7\u00fck ama \u00f6nemli bir kay\u0131t ekledim\u201d \u015feklinde oluyor. Sonra i\u015fler b\u00fcy\u00fcy\u00fcp ekipler \u00e7o\u011fal\u0131nca, asl\u0131nda bunun <strong>sertifika d\u00fczenleme politikan\u0131z<\/strong> oldu\u011funu fark ediyorsunuz. Kimi i\u00e7eri alaca\u011f\u0131n\u0131z, wildcard\u2019\u0131 kime b\u0131rakaca\u011f\u0131n\u0131z, hangi do\u011frulama y\u00f6ntemine izin verdi\u011finiz, beklenmedik denemelerde nas\u0131l haberdar oldu\u011funuz\u2026 Hepsi o k\u00fc\u00e7\u00fcc\u00fck sat\u0131rlarda. G\u00fczel taraf\u0131 \u015fu: Bir kez ak\u0131\u015f\u0131n\u0131z\u0131 d\u00fc\u015f\u00fcnerek yazd\u0131\u011f\u0131n\u0131zda, CAA size her g\u00fcn huzur veriyor.<\/p>\n<p>Pratik bir \u00f6zetle vedala\u015fay\u0131m. \u00d6nce neye ihtiyac\u0131n\u0131z oldu\u011funa karar verin: Genel sertifikalar bir CA\u2019dan, wildcard ba\u015fka bir CA\u2019dan gelebilir. CAA\u2019da <strong>issue<\/strong> ve <strong>issuewild<\/strong> ile bunu g\u00f6r\u00fcn\u00fcr yap\u0131n. <strong>iodef<\/strong> ile haberdar olun; e\u2011posta ya da https u\u00e7 noktan\u0131z\u0131 ger\u00e7ekten izleyin. \u00c7oklu\u2011CA\u2019ya kap\u0131 a\u00e7\u0131n ve otomasyonunuzda <strong>fallback<\/strong> kurgusunu kurun; tek kap\u0131ya g\u00fcvenmeyin. De\u011fi\u015fikliklerde k\u0131sa TTL ile ba\u015flay\u0131n, miras\u0131 ve CNAME zincirlerini iki kere kontrol edin. Hepsi bu. Umar\u0131m bu yaz\u0131, gece yar\u0131s\u0131 CAA s\u00fcrprizlerini sabah kahvesi kadar s\u0131radan ve huzurlu hale getirir. Bir dahaki yaz\u0131da g\u00f6r\u00fc\u015fmek \u00fczere.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 K\u00fc\u00e7\u00fck Bir CAA Hik\u00e2yesi: \u201cSertifika Neden Birden Durdu?\u201d2 CAA Nedir? Neyi, Neden Kontrol Eder?3 issue, issuewild ve iodef: K\u00fc\u00e7\u00fck Farklar, B\u00fcy\u00fck Etkiler4 Let\u2019s Encrypt ve ZeroSSL\u2019i Nas\u0131l Yetkilendirirsin? K\u00fc\u00e7\u00fck Farklar\u0131n B\u00fcy\u00fck Konforu5 \u00c7oklu\u2011CA Stratejisi: Tek Kap\u0131ya G\u00fcvenmek Neden Yorucu?6 Operasyonel \u0130ncelikler: TTL, Miras, CNAME ve K\u00fc\u00e7\u00fck Tuzaklar7 CAA, ACME ve Otomasyonun Dans\u0131: Ak\u0131\u015f\u0131n\u0131z\u0131 Nas\u0131l [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1891,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1890","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-teknoloji"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=1890"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1890\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/1891"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=1890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=1890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=1890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}