{"id":2586,"date":"2025-11-28T23:49:11","date_gmt":"2025-11-28T20:49:11","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/ssl-tls-guvenlik-guncellemeleri-ne-zaman-nasil-ve-neyi-degistirmelisiniz\/"},"modified":"2025-11-28T23:49:11","modified_gmt":"2025-11-28T20:49:11","slug":"ssl-tls-guvenlik-guncellemeleri-ne-zaman-nasil-ve-neyi-degistirmelisiniz","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/ssl-tls-guvenlik-guncellemeleri-ne-zaman-nasil-ve-neyi-degistirmelisiniz\/","title":{"rendered":"SSL\/TLS G\u00fcvenlik G\u00fcncellemeleri: Ne Zaman, Nas\u0131l ve Neyi De\u011fi\u015ftirmelisiniz?"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#SSLTLS_guvenlik_guncellemeleri_neden_kritik\"><span class=\"toc_number toc_depth_1\">1<\/span> SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri neden kritik?<\/a><\/li><li><a href=\"#Protokol_surumleri_TLS_10dan_TLS_13e_gecisin_arka_plani\"><span class=\"toc_number toc_depth_1\">2<\/span> Protokol s\u00fcr\u00fcmleri: TLS 1.0\u2019dan TLS 1.3\u2019e ge\u00e7i\u015fin arka plan\u0131<\/a><ul><li><a href=\"#Eski_surumler_neden_guvenli_degil\"><span class=\"toc_number toc_depth_2\">2.1<\/span> Eski s\u00fcr\u00fcmler neden g\u00fcvenli de\u011fil?<\/a><\/li><li><a href=\"#Pratik_tavsiye_Asgari_surum_TLS_12_idealde_12_13\"><span class=\"toc_number toc_depth_2\">2.2<\/span> Pratik tavsiye: Asgari s\u00fcr\u00fcm TLS 1.2, idealde 1.2 + 1.3<\/a><\/li><li><a href=\"#HTTP2_ve_HTTP3_ile_uyumluluk\"><span class=\"toc_number toc_depth_2\">2.3<\/span> HTTP\/2 ve HTTP\/3 ile uyumluluk<\/a><\/li><\/ul><\/li><li><a href=\"#Sifre_takimlari_cipher_suites_ve_anahtar_turleri_Sadece_acikkapali_degil_nasil\"><span class=\"toc_number toc_depth_1\">3<\/span> \u015eifre tak\u0131mlar\u0131 (cipher suites) ve anahtar t\u00fcrleri: Sadece a\u00e7\u0131k\/kapal\u0131 de\u011fil, nas\u0131l?<\/a><ul><li><a href=\"#Oncelik_AEAD_ve_Forward_Secrecy\"><span class=\"toc_number toc_depth_2\">3.1<\/span> \u00d6ncelik: AEAD ve Forward Secrecy<\/a><\/li><li><a href=\"#RSA_mi_ECDSA_mi_Yoksa_ikisi_birden_mi\"><span class=\"toc_number toc_depth_2\">3.2<\/span> RSA m\u0131, ECDSA m\u0131? Yoksa ikisi birden mi?<\/a><\/li><li><a href=\"#Kapatmaniz_gereken_sifreler\"><span class=\"toc_number toc_depth_2\">3.3<\/span> Kapatman\u0131z gereken \u015fifreler<\/a><\/li><\/ul><\/li><li><a href=\"#Sertifika_tarafindaki_guncellemeler_Algoritma_sure_CA_ve_politika_degisiklikleri\"><span class=\"toc_number toc_depth_1\">4<\/span> Sertifika taraf\u0131ndaki g\u00fcncellemeler: Algoritma, s\u00fcre, CA ve politika de\u011fi\u015fiklikleri<\/a><ul><li><a href=\"#SHA-1den_SHA-256ya_1024_bitten_2048a\"><span class=\"toc_number toc_depth_2\">4.1<\/span> SHA-1\u2019den SHA-256\u2019ya, 1024 bit\u2019ten 2048+\u2019a<\/a><\/li><li><a href=\"#Sertifika_sureleri_kisaliyor_3_yildan_1_yila_oradan_90_gune\"><span class=\"toc_number toc_depth_2\">4.2<\/span> Sertifika s\u00fcreleri k\u0131sal\u0131yor: 3 y\u0131ldan 1 y\u0131la, oradan 90 g\u00fcne<\/a><\/li><li><a href=\"#CAA_kayitlari_OCSP_Stapling_ve_revokasyon_surecleri\"><span class=\"toc_number toc_depth_2\">4.3<\/span> CAA kay\u0131tlar\u0131, OCSP Stapling ve revokasyon s\u00fcre\u00e7leri<\/a><\/li><\/ul><\/li><li><a href=\"#Operasyonel_bakis_SSLTLS_guvenlik_guncellemelerini_surece_donusturmek\"><span class=\"toc_number toc_depth_1\">5<\/span> Operasyonel bak\u0131\u015f: SSL\/TLS g\u00fcvenlik g\u00fcncellemelerini s\u00fcrece d\u00f6n\u00fc\u015ft\u00fcrmek<\/a><ul><li><a href=\"#Yillik_degil_periyodik_ve_olculebilir_kontroller\"><span class=\"toc_number toc_depth_2\">5.1<\/span> Y\u0131ll\u0131k de\u011fil, periyodik ve \u00f6l\u00e7\u00fclebilir kontroller<\/a><\/li><li><a href=\"#Staging_Canli_yolculugu_Test_etmeden_TLS_guncellemesi_yapilmaz\"><span class=\"toc_number toc_depth_2\">5.2<\/span> Staging \u2192 Canl\u0131 yolculu\u011fu: Test etmeden TLS g\u00fcncellemesi yap\u0131lmaz<\/a><\/li><li><a href=\"#Konfigurasyon_yonetimi_Kopyala-yapistir_degil_versiyonlanmis_yapi\"><span class=\"toc_number toc_depth_2\">5.3<\/span> Konfig\u00fcrasyon y\u00f6netimi: Kopyala-yap\u0131\u015ft\u0131r de\u011fil, versiyonlanm\u0131\u015f yap\u0131<\/a><\/li><li><a href=\"#HTTP_guvenlik_basliklari_ile_birlikte_dusunun\"><span class=\"toc_number toc_depth_2\">5.4<\/span> HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131 ile birlikte d\u00fc\u015f\u00fcn\u00fcn<\/a><\/li><\/ul><\/li><li><a href=\"#Farkli_senaryolar_icin_SSLTLS_guvenlik_yol_haritasi\"><span class=\"toc_number toc_depth_1\">6<\/span> Farkl\u0131 senaryolar i\u00e7in SSL\/TLS g\u00fcvenlik yol haritas\u0131<\/a><ul><li><a href=\"#E-ticaret_siteleri_ve_PCI_DSS_gereksinimleri\"><span class=\"toc_number toc_depth_2\">6.1<\/span> E-ticaret siteleri ve PCI DSS gereksinimleri<\/a><\/li><li><a href=\"#SaaS_uygulamalari_ve_cok_kiracili_mimariler\"><span class=\"toc_number toc_depth_2\">6.2<\/span> SaaS uygulamalar\u0131 ve \u00e7ok kirac\u0131l\u0131 mimariler<\/a><\/li><li><a href=\"#E-posta_altyapilari_MTA-STS_TLS-RPT_ve_DANE_ile_ek_guvenlik\"><span class=\"toc_number toc_depth_2\">6.3<\/span> E-posta altyap\u0131lar\u0131: MTA-STS, TLS-RPT ve DANE ile ek g\u00fcvenlik<\/a><\/li><li><a href=\"#APIler_ve_makine-makine_trafigi\"><span class=\"toc_number toc_depth_2\">6.4<\/span> API\u2019ler ve makine-makine trafi\u011fi<\/a><\/li><\/ul><\/li><li><a href=\"#Ozet_Saglam_bir_SSLTLS_guvenlik_guncelleme_plani_nasil_gorunur\"><span class=\"toc_number toc_depth_1\">7<\/span> \u00d6zet: Sa\u011flam bir SSL\/TLS g\u00fcvenlik g\u00fcncelleme plan\u0131 nas\u0131l g\u00f6r\u00fcn\u00fcr?<\/a><\/li><\/ul><\/div>\n<h2><span id=\"SSLTLS_guvenlik_guncellemeleri_neden_kritik\">SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri neden kritik?<\/span><\/h2>\n<p>Bir g\u00fcvenlik denetimi toplant\u0131s\u0131nda masaya oturdu\u011funuzu d\u00fc\u015f\u00fcn\u00fcn: Pazarlama ekibi taray\u0131c\u0131daki &#8220;G\u00fcvenli de\u011fil&#8221; uyar\u0131lar\u0131ndan \u015fik\u00e2yet ediyor, yaz\u0131l\u0131m ekibi uyumluluk i\u00e7in hangi TLS s\u00fcr\u00fcmlerini kapatmas\u0131 gerekti\u011fini soruyor, finans taraf\u0131 ise PCI DSS gibi reg\u00fclasyonlar\u0131n bask\u0131s\u0131n\u0131 hat\u0131rlat\u0131yor. Konu d\u00f6n\u00fcp dola\u015f\u0131p ayn\u0131 yere geliyor: <strong>SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri<\/strong> d\u00fczg\u00fcn y\u00f6netilmiyorsa, hem g\u00fcvenlik hem de i\u015f taraf\u0131 risk alt\u0131nda.<\/p>\n<p>SSL\/TLS, istemci (taray\u0131c\u0131, mobil uygulama, API istemcisi) ile sunucu aras\u0131ndaki trafi\u011fi \u015fifreleyen katman. Fakat bu mekanizma <strong>statik<\/strong> bir yap\u0131 de\u011fil; y\u0131llar i\u00e7inde yeni protokol s\u00fcr\u00fcmleri, \u015fifre algoritmalar\u0131 ve sertifika kurallar\u0131 devreye giriyor, eskileri ise kullan\u0131mdan kalk\u0131yor. Bu nedenle &#8220;Bir kere kurduk, bitti&#8221; yakla\u015f\u0131m\u0131, g\u00fcn\u00fcm\u00fczde ciddi bir sald\u0131r\u0131 y\u00fczeyi olu\u015fturuyor.<\/p>\n<p>DCHost taraf\u0131nda g\u00f6rd\u00fc\u011f\u00fcm\u00fcz en yayg\u0131n problemlerden biri, i\u015fletmelerin SSL\/TLS taraf\u0131nda sadece <strong>sertifika s\u00fcresi doldu\u011funda<\/strong> harekete ge\u00e7mesidir. Oysa riskler \u00e7o\u011fu zaman sertifikan\u0131n kendisinden de\u011fil, <strong>protokol versiyonlar\u0131, \u015fifre tak\u0131mlar\u0131 ve yanl\u0131\u015f yap\u0131land\u0131r\u0131lm\u0131\u015f g\u00fcvenlik ba\u015fl\u0131klar\u0131ndan<\/strong> kaynaklan\u0131yor. Bu yaz\u0131da, sitenizi ve API\u2019lerinizi ger\u00e7ekten g\u00fcvenli tutmak i\u00e7in SSL\/TLS g\u00fcvenlik g\u00fcncellemelerini nas\u0131l planlaman\u0131z gerekti\u011fini, sahadaki ger\u00e7ek senaryolar \u00fczerinden anlataca\u011f\u0131m.<\/p>\n<h2><span id=\"Protokol_surumleri_TLS_10dan_TLS_13e_gecisin_arka_plani\">Protokol s\u00fcr\u00fcmleri: TLS 1.0\u2019dan TLS 1.3\u2019e ge\u00e7i\u015fin arka plan\u0131<\/span><\/h2>\n<p>\u00d6nce en temel katmandan ba\u015flayal\u0131m: Kulland\u0131\u011f\u0131n\u0131z TLS s\u00fcr\u00fcmleri. \u00c7o\u011fu sunucuda h\u00e2l\u00e2 TLS 1.0 ve 1.1\u2019in a\u00e7\u0131k oldu\u011funu, bazen de SSLv3 kal\u0131nt\u0131lar\u0131n\u0131 g\u00f6rebiliyoruz. &#8220;\u00c7al\u0131\u015f\u0131yor, ellemesek mi?&#8221; sorusunun cevab\u0131 art\u0131k \u00e7ok net: <strong>Hay\u0131r, ellemeden olmaz.<\/strong><\/p>\n<h3><span id=\"Eski_surumler_neden_guvenli_degil\">Eski s\u00fcr\u00fcmler neden g\u00fcvenli de\u011fil?<\/span><\/h3>\n<p>SSLv3, TLS 1.0 ve TLS 1.1; POODLE, BEAST, Lucky13 gibi bir\u00e7ok bilinen zafiyete kar\u015f\u0131 savunmas\u0131z. Ayr\u0131ca bu protokoller modern \u015fifreleme standartlar\u0131n\u0131 (\u00f6rne\u011fin AEAD tabanl\u0131 GCM modlar\u0131, ChaCha20-Poly1305 gibi) d\u00fczg\u00fcn \u015fekilde desteklemiyor. Taray\u0131c\u0131 \u00fcreticileri ve uyumluluk standartlar\u0131 bu y\u00fczden y\u0131llard\u0131r ayn\u0131 mesaj\u0131 veriyor: <strong>Bu s\u00fcr\u00fcmler kapat\u0131lmal\u0131.<\/strong><\/p>\n<ul>\n<li>PCI DSS 3.2 ve sonras\u0131, kart verisi i\u015fleyen sistemlerde TLS 1.0\u2019\u0131 yasakl\u0131yor.<\/li>\n<li>Modern taray\u0131c\u0131lar SSLv3 ve \u00e7o\u011fu zaman TLS 1.0\/1.1 deste\u011fini zaten devre d\u0131\u015f\u0131 b\u0131rakm\u0131\u015f durumda.<\/li>\n<li>Bir\u00e7ok g\u00fcvenlik tarama arac\u0131, TLS 1.0\/1.1 a\u00e7\u0131k olan sunucular\u0131 do\u011frudan \u201czay\u0131f yap\u0131land\u0131rma\u201d olarak i\u015faretliyor.<\/li>\n<\/ul>\n<h3><span id=\"Pratik_tavsiye_Asgari_surum_TLS_12_idealde_12_13\">Pratik tavsiye: Asgari s\u00fcr\u00fcm TLS 1.2, idealde 1.2 + 1.3<\/span><\/h3>\n<p>G\u00fcncel bir web projesi i\u00e7in <strong>asgari seviyede TLS 1.2<\/strong> ve m\u00fcmk\u00fcnse <strong>TLS 1.3<\/strong> deste\u011fini \u00f6neriyoruz. TLS 1.3\u2019\u00fcn h\u0131z ve g\u00fcvenlik avantajlar\u0131n\u0131 daha \u00f6nce detayl\u0131 olarak <a href=\"https:\/\/www.dchost.com\/blog\/ssl-tls-1-3-standartlarinda-guncellemeler-ve-sunucu-tarafina-etkileri\/\">TLS 1.3 standartlar\u0131ndaki g\u00fcncellemeler ve sunucu taraf\u0131na etkileri<\/a> yaz\u0131m\u0131zda ele alm\u0131\u015ft\u0131k. \u00d6zetle:<\/p>\n<ul>\n<li><strong>TLS 1.3<\/strong> daha az el s\u0131k\u0131\u015fma (handshake) turu ile <strong>daha h\u0131zl\u0131 ba\u011flant\u0131 kurulumu<\/strong> sa\u011flar.<\/li>\n<li>Eski ve zay\u0131f \u015fifre tak\u0131mlar\u0131n\u0131 protokol seviyesinde tamamen d\u0131\u015far\u0131da b\u0131rak\u0131r.<\/li>\n<li>0-RTT gibi \u00f6zelliklerle baz\u0131 senaryolarda ek performans kazanc\u0131 sunar (do\u011fru yap\u0131land\u0131rma \u015fart\u0131yla).<\/li>\n<\/ul>\n<p>Yap\u0131land\u0131rma taraf\u0131nda genel strateji:<\/p>\n<ul>\n<li>SSLv3, TLS 1.0 ve TLS 1.1\u2019i tamamen kapat\u0131n.<\/li>\n<li>Varsay\u0131lan olarak TLS 1.2 ve 1.3\u2019\u00fc a\u00e7\u0131k tutun.<\/li>\n<li>\u00c7ok \u00f6zel, eski istemci (legacy) ba\u011f\u0131ml\u0131l\u0131\u011f\u0131n\u0131z varsa, bunu izole bir endpoint veya alt alan ad\u0131 ile s\u0131n\u0131rl\u0131 tutun.<\/li>\n<\/ul>\n<h3><span id=\"HTTP2_ve_HTTP3_ile_uyumluluk\">HTTP\/2 ve HTTP\/3 ile uyumluluk<\/span><\/h3>\n<p>HTTP\/2 ve HTTP\/3 (QUIC), modern taray\u0131c\u0131 performans\u0131 i\u00e7in kritik. Ancak bu protokoller, <strong>eski veya zay\u0131f TLS yap\u0131land\u0131rmalar\u0131yla<\/strong> iyi \u00e7al\u0131\u015fm\u0131yor, hatta \u00e7o\u011fu zaman hi\u00e7 \u00e7al\u0131\u015fm\u0131yor. \u00d6rne\u011fin HTTP\/2, belirli zay\u0131f \u015fifre tak\u0131mlar\u0131n\u0131 tamamen reddediyor. HTTP\/3 i\u00e7in de TLS 1.3 zorunlu.<\/p>\n<p>E\u011fer HTTP\/3\u2019\u00fc devreye almay\u0131 planl\u0131yorsan\u0131z, \u00f6ncesinde TLS taraf\u0131n\u0131 d\u00fczeltmek \u015fart. Bu konuda <a href=\"https:\/\/www.dchost.com\/blog\/http-3-protokolu-web-hosting-performansina-etkileri\/\">HTTP\/3 protokol\u00fcn\u00fcn web hosting performans\u0131na etkilerini<\/a> anlatt\u0131\u011f\u0131m\u0131z rehber, TLS ve protokol ili\u015fkisini anlamak i\u00e7in iyi bir tamamlay\u0131c\u0131 olacakt\u0131r.<\/p>\n<h2><span id=\"Sifre_takimlari_cipher_suites_ve_anahtar_turleri_Sadece_acikkapali_degil_nasil\">\u015eifre tak\u0131mlar\u0131 (cipher suites) ve anahtar t\u00fcrleri: Sadece a\u00e7\u0131k\/kapal\u0131 de\u011fil, nas\u0131l?<\/span><\/h2>\n<p>Protokol s\u00fcr\u00fcmlerini g\u00fcncelledikten sonra s\u0131rada <strong>\u015fifre tak\u0131mlar\u0131<\/strong> (cipher suites) var. Bir\u00e7ok sunucuda g\u00f6rd\u00fc\u011f\u00fcm\u00fcz tablo \u015f\u00f6yle:<\/p>\n<ul>\n<li>RC4, 3DES gibi eski algoritmalar h\u00e2l\u00e2 a\u00e7\u0131k.<\/li>\n<li>Forward secrecy (PFS) sa\u011flamayan \u015fifreler kullan\u0131lmaya devam ediyor.<\/li>\n<li>RSA tabanl\u0131 \u015fifreleme ile ECDHE\/ECDSA kar\u0131\u015f\u0131k, tutars\u0131z bir \u015fekilde listelenmi\u015f.<\/li>\n<\/ul>\n<p>Bunlar\u0131n hepsi tek ba\u015f\u0131na taray\u0131c\u0131y\u0131 \u00e7\u00f6kertmeyebilir, fakat sald\u0131r\u0131 y\u00fczeyinizi gereksiz yere geni\u015fletir ve g\u00fcvenlik taramalar\u0131nda puan\u0131n\u0131z\u0131 d\u00fc\u015f\u00fcr\u00fcr.<\/p>\n<h3><span id=\"Oncelik_AEAD_ve_Forward_Secrecy\">\u00d6ncelik: AEAD ve Forward Secrecy<\/span><\/h3>\n<p>Modern TLS yap\u0131land\u0131rmalar\u0131nda temel prensip:<\/p>\n<ul>\n<li><strong>AEAD tabanl\u0131<\/strong> \u015fifreler kullanmak (AES-GCM, ChaCha20-Poly1305 gibi).<\/li>\n<li><strong>Forward secrecy<\/strong> sa\u011flayan ECDHE tabanl\u0131 anahtar de\u011fi\u015fimini zorunlu k\u0131lmak.<\/li>\n<\/ul>\n<p>\u00d6rne\u011fin TLS 1.2 taraf\u0131nda \u015fu tarz \u015fifreler \u00f6nceliklendirilir:<\/p>\n<ul>\n<li>TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256<\/li>\n<li>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256<\/li>\n<li>TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256<\/li>\n<li>TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256<\/li>\n<\/ul>\n<p>TLS 1.3\u2019te ise \u015fifre tak\u0131mlar\u0131 protokol\u00fcn i\u00e7ine g\u00f6m\u00fcl\u00fc ve zaten zay\u0131f se\u00e7enekler listede yok. Bu da y\u00f6netimi bir nebze kolayla\u015ft\u0131r\u0131yor.<\/p>\n<h3><span id=\"RSA_mi_ECDSA_mi_Yoksa_ikisi_birden_mi\">RSA m\u0131, ECDSA m\u0131? Yoksa ikisi birden mi?<\/span><\/h3>\n<p>G\u00fcn\u00fcm\u00fczde taray\u0131c\u0131 ve i\u015fletim sistemi deste\u011fi d\u00fc\u015f\u00fcn\u00fcld\u00fc\u011f\u00fcnde, \u00e7o\u011fu senaryo i\u00e7in <strong>RSA 2048+<\/strong> h\u00e2l\u00e2 en yayg\u0131n ve uyumlu se\u00e7enek. Ancak performans ve modernlik taraf\u0131nda <strong>ECDSA sertifikalar<\/strong> ciddi avantaj sa\u011fl\u0131yor:<\/p>\n<ul>\n<li>Daha k\u00fc\u00e7\u00fck sertifika boyutu \u2192 Daha h\u0131zl\u0131 handshake.<\/li>\n<li>Daha d\u00fc\u015f\u00fck CPU y\u00fck\u00fc \u2192 \u00d6zellikle yo\u011fun trafikli sitelerde fark edilir performans kazanc\u0131.<\/li>\n<\/ul>\n<p>Peki se\u00e7im nas\u0131l yap\u0131lmal\u0131? Bir\u00e7ok projede en pratik yakla\u015f\u0131m, <a href=\"https:\/\/www.dchost.com\/blog\/nginx-apachede-ecdsa-rsa-ikili-ssl-uyumluluk-mu-hiz-mi-ikisini-birden-nasil-alirsin\/\">Nginx\/Apache\u2019de ECDSA + RSA ikili SSL kullanarak hem uyumluluk hem h\u0131z<\/a> elde etmektir. Yani sunucu, hem RSA hem ECDSA sertifika sunar; istemci hangisini destekliyorsa onu kullan\u0131r. B\u00f6ylece eski cihazlar\u0131 k\u0131rmadan modern tarafa da yat\u0131r\u0131m yapm\u0131\u015f olursunuz.<\/p>\n<h3><span id=\"Kapatmaniz_gereken_sifreler\">Kapatman\u0131z gereken \u015fifreler<\/span><\/h3>\n<p>Genel bir kontrol listesi olarak, a\u015fa\u011f\u0131daki \u015fifre ve algoritmalar\u0131 devre d\u0131\u015f\u0131 b\u0131rakman\u0131z gerekir:<\/p>\n<ul>\n<li>RC4 tabanl\u0131 t\u00fcm \u015fifreler<\/li>\n<li>3DES (Triple-DES) tabanl\u0131 \u015fifreler<\/li>\n<li>CBC modlu, \u00f6zellikle de SSLv3\/TLS 1.0 ile birlikte kullan\u0131lan \u015fifreler<\/li>\n<li>Anonim veya export-grade (EXPORT) anahtar de\u011fi\u015fimi i\u00e7eren \u015fifreler<\/li>\n<\/ul>\n<p>Bir\u00e7ok modern rehberde \u00f6nerilen, &#8220;<strong>yaln\u0131zca g\u00fc\u00e7l\u00fc \u015fifreleri a\u00e7\u0131k b\u0131rak, geri kalan\u0131n\u0131 tamamen kapat<\/strong>&#8221; yakla\u015f\u0131m\u0131d\u0131r. Kar\u0131\u015f\u0131k listeler yerine, ger\u00e7ekten ihtiyac\u0131n\u0131z olan birka\u00e7 g\u00fc\u00e7l\u00fc \u015fifre tak\u0131m\u0131na odaklanmak y\u00f6netimi kolayla\u015ft\u0131r\u0131r.<\/p>\n<h2><span id=\"Sertifika_tarafindaki_guncellemeler_Algoritma_sure_CA_ve_politika_degisiklikleri\">Sertifika taraf\u0131ndaki g\u00fcncellemeler: Algoritma, s\u00fcre, CA ve politika de\u011fi\u015fiklikleri<\/span><\/h2>\n<p>SSL\/TLS g\u00fcvenli\u011finin bir di\u011fer aya\u011f\u0131 da <strong>sertifikalar ve sertifika otoriteleri (CA)<\/strong>. Burada da son y\u0131llarda \u00f6nemli de\u011fi\u015fiklikler oldu ve olmaya devam ediyor.<\/p>\n<h3><span id=\"SHA-1den_SHA-256ya_1024_bitten_2048a\">SHA-1\u2019den SHA-256\u2019ya, 1024 bit\u2019ten 2048+\u2019a<\/span><\/h3>\n<p>Bir d\u00f6nem yayg\u0131n olan <strong>SHA-1 imzal\u0131<\/strong> ve <strong>1024 bit RSA<\/strong> anahtarl\u0131 sertifikalar art\u0131k modern taray\u0131c\u0131lar taraf\u0131ndan kabul edilmiyor veya uyar\u0131 ile g\u00f6steriliyor. G\u00fcncel durumda:<\/p>\n<ul>\n<li>\u0130mza algoritmas\u0131 olarak <strong>SHA-256 veya \u00fczeri<\/strong> kullan\u0131lmal\u0131.<\/li>\n<li>RSA anahtar uzunlu\u011fu en az <strong>2048 bit<\/strong> olmal\u0131 (kurumsal projelerde 3072 bit de s\u0131k\u00e7a tercih ediliyor).<\/li>\n<li>ECDSA i\u00e7in P-256 ve \u00fczeri e\u011friler standart h\u00e2le geldi.<\/li>\n<\/ul>\n<p>Bu noktada &#8220;Benim sertifikam yeni, otomatik zaten b\u00f6yle&#8221; diye d\u00fc\u015f\u00fcnmek kolay, ancak \u00f6zellikle <strong>\u00f6zel CA<\/strong> kullanan i\u00e7 a\u011f sistemlerinde (intranet, internal API vb.) h\u00e2l\u00e2 eski algoritmalarla imzalanm\u0131\u015f sertifikalar g\u00f6r\u00fcyoruz. Bu da i\u00e7 sistemlerin sald\u0131r\u0131lara daha a\u00e7\u0131k h\u00e2le gelmesine yol a\u00e7\u0131yor.<\/p>\n<h3><span id=\"Sertifika_sureleri_kisaliyor_3_yildan_1_yila_oradan_90_gune\">Sertifika s\u00fcreleri k\u0131sal\u0131yor: 3 y\u0131ldan 1 y\u0131la, oradan 90 g\u00fcne<\/span><\/h3>\n<p>Eskiden 3 y\u0131la kadar sertifika al\u0131nabiliyordu; bug\u00fcn taray\u0131c\u0131lar ve CA\/B Forum kurallar\u0131 gere\u011fi genel olarak <strong>398 g\u00fcn civar\u0131nda<\/strong> bir \u00fcst limit s\u00f6z konusu. Orta vadede hedeflenen ise <strong>90 g\u00fcn veya daha k\u0131sa s\u00fcreli sertifikalara ge\u00e7i\u015f<\/strong>. Bunun arkas\u0131ndaki sebep basit:<\/p>\n<ul>\n<li>\u00d6zel anahtar s\u0131zsa bile, k\u0131sa s\u00fcreli sertifikalarda hasar penceresi daral\u0131r.<\/li>\n<li>CA politikalar\u0131ndaki de\u011fi\u015fiklikler daha h\u0131zl\u0131 hayata ge\u00e7er.<\/li>\n<\/ul>\n<p>Bu tablo, manuel sertifika y\u00f6netiminin s\u00fcrd\u00fcr\u00fclemez h\u00e2le geldi\u011fini g\u00f6steriyor. Tam da bu y\u00fczden, DCHost olarak <strong>ACME tabanl\u0131 otomatik SSL y\u00f6netimi<\/strong> ve sertifika yenileme s\u00fcre\u00e7lerini altyap\u0131m\u0131zda merkez\u00ee olarak tasarl\u0131yoruz. Bu konunun organizasyonel taraf\u0131n\u0131, <a href=\"https:\/\/www.dchost.com\/blog\/ssl-sertifika-guvenlik-guncellemeleri-neden-hep-son-dakikaya-kaliyor-ne-zaman-nasil-guncellemeli\/\">SSL sertifika g\u00fcvenlik g\u00fcncellemelerinin neden hep son dakikaya kald\u0131\u011f\u0131n\u0131 ve nas\u0131l planlanmas\u0131 gerekti\u011fini<\/a> anlatt\u0131\u011f\u0131m\u0131z yaz\u0131da detayland\u0131rd\u0131k.<\/p>\n<h3><span id=\"CAA_kayitlari_OCSP_Stapling_ve_revokasyon_surecleri\">CAA kay\u0131tlar\u0131, OCSP Stapling ve revokasyon s\u00fcre\u00e7leri<\/span><\/h3>\n<p>Sertifika taraf\u0131ndaki daha &#8220;ince&#8221; g\u00fcvenlik g\u00fcncellemeleri ise genelde g\u00f6zden ka\u00e7\u0131yor:<\/p>\n<ul>\n<li><strong>CAA kay\u0131tlar\u0131<\/strong> ile hangi CA\u2019lar\u0131n alan ad\u0131n\u0131z i\u00e7in sertifika \u00fcretebilece\u011fini s\u0131n\u0131rlamal\u0131s\u0131n\u0131z. B\u00f6ylece yetkisiz CA\u2019lerden sertifika al\u0131nmas\u0131 riskini azalt\u0131rs\u0131n\u0131z.<\/li>\n<li><strong>OCSP Stapling<\/strong> etkinle\u015ftirerek, istemcinin sertifika iptal (revocation) durumunu daha h\u0131zl\u0131 ve gizlili\u011fi bozmadan kontrol etmesini sa\u011flayabilirsiniz.<\/li>\n<li>\u00d6zel anahtar s\u0131z\u0131nt\u0131s\u0131 gibi durumlar i\u00e7in, sertifika iptal ve yeniden \u00e7\u0131karma s\u00fcrecini \u00f6nceden planlamak gerekir.<\/li>\n<\/ul>\n<p>OCSP Stapling ve HSTS gibi modern mekanizmalar\u0131 <strong>uygulama taraf\u0131nda nas\u0131l devreye alaca\u011f\u0131n\u0131z\u0131<\/strong>, <a href=\"https:\/\/www.dchost.com\/blog\/tls-1-3-ve-modern-sifrelerin-sicacik-mutfagi-nginx-apachede-ocsp-stapling-hsts-preload-ve-pfs-nasil-kurulur\/\">Nginx\/Apache\u2019de TLS 1.3, OCSP Stapling ve HSTS Preload kurulumu<\/a> rehberimizde ad\u0131m ad\u0131m anlatt\u0131k. Buradaki yap\u0131land\u0131rmalar\u0131, kendi ortam\u0131n\u0131za uyarlarken referans alabilirsiniz.<\/p>\n<h2><span id=\"Operasyonel_bakis_SSLTLS_guvenlik_guncellemelerini_surece_donusturmek\">Operasyonel bak\u0131\u015f: SSL\/TLS g\u00fcvenlik g\u00fcncellemelerini s\u00fcrece d\u00f6n\u00fc\u015ft\u00fcrmek<\/span><\/h2>\n<p>Teknik konular kadar \u00f6nemli olan di\u011fer boyut, <strong>g\u00fcncelleme s\u00fcrecini nas\u0131l y\u00f6netti\u011finiz<\/strong>. DCHost\u2019ta m\u00fc\u015fteri ortamlar\u0131na dokundu\u011fumuzda en s\u0131k g\u00f6rd\u00fc\u011f\u00fcm\u00fcz sorun, SSL\/TLS taraf\u0131n\u0131n net bir sorumluya ve periyodik bir kontrol listesine sahip olmamas\u0131.<\/p>\n<h3><span id=\"Yillik_degil_periyodik_ve_olculebilir_kontroller\">Y\u0131ll\u0131k de\u011fil, periyodik ve \u00f6l\u00e7\u00fclebilir kontroller<\/span><\/h3>\n<p>Eski yakla\u015f\u0131m \u015fuydu: &#8220;Sertifikalar senede bir yenilenir, biter.&#8221; G\u00fcn\u00fcm\u00fczde ise \u015funlar\u0131 yapman\u0131z gerekiyor:<\/p>\n<ul>\n<li><strong>3-6 ayda bir<\/strong> SSL\/TLS yap\u0131land\u0131rma taramas\u0131 (automated scan) \u00e7al\u0131\u015ft\u0131rmak.<\/li>\n<li>Hangi TLS s\u00fcr\u00fcmleri ve \u015fifre tak\u0131mlar\u0131 a\u00e7\u0131k, raporlamak.<\/li>\n<li>Taray\u0131c\u0131 ve k\u00fct\u00fcphane (OpenSSL, Node.js, Java) g\u00fcncellemelerini takip ederek geriden gelmemek.<\/li>\n<\/ul>\n<p>Bu kontrolleri manuel yapmak yerine, CI\/CD s\u00fcrecinize entegre etmek en sa\u011fl\u0131kl\u0131s\u0131. \u00d6rne\u011fin staging ortam\u0131na yeni bir Nginx\/Apache yap\u0131land\u0131rmas\u0131 deploy edildi\u011finde, otomatik olarak TLS testleri \u00e7al\u0131\u015ft\u0131r\u0131labilir.<\/p>\n<h3><span id=\"Staging_Canli_yolculugu_Test_etmeden_TLS_guncellemesi_yapilmaz\">Staging \u2192 Canl\u0131 yolculu\u011fu: Test etmeden TLS g\u00fcncellemesi yap\u0131lmaz<\/span><\/h3>\n<p>SSL\/TLS g\u00fcncellemeleri bazen beklenmedik uyumluluk sorunlar\u0131na yol a\u00e7abilir. \u00d6zellikle:<\/p>\n<ul>\n<li>Eski Android cihazlar<\/li>\n<li>Eski masa\u00fcst\u00fc taray\u0131c\u0131lar<\/li>\n<li>Eski Java veya .NET k\u00fct\u00fcphaneleri kullanan entegrasyonlar<\/li>\n<\/ul>\n<p>Bu nedenle, TLS yap\u0131land\u0131rmas\u0131n\u0131 do\u011frudan canl\u0131ya ta\u015f\u0131mak yerine, <strong>staging ortam\u0131nda test etmek ve loglar\u0131 incelemek<\/strong> kritik. Zaten WordPress\/Laravel gibi uygulamalar i\u00e7in <a href=\"https:\/\/www.dchost.com\/blog\/gelistirme-staging-canli-yolculugu-wordpress-ve-laravelde-sifir-kesinti-dagitim-nasil-gercekten-olur\/\">geli\u015ftirme\u2013staging\u2013canl\u0131 yolculu\u011funu<\/a> do\u011fru kurdu\u011funuzda, TLS de\u011fi\u015fikliklerini de ayn\u0131 disiplin i\u00e7inde y\u00f6netebiliyorsunuz.<\/p>\n<h3><span id=\"Konfigurasyon_yonetimi_Kopyala-yapistir_degil_versiyonlanmis_yapi\">Konfig\u00fcrasyon y\u00f6netimi: Kopyala-yap\u0131\u015ft\u0131r de\u011fil, versiyonlanm\u0131\u015f yap\u0131<\/span><\/h3>\n<p>En tehlikeli senaryolardan biri, &#8220;Ge\u00e7en sene \u015fu sunucuda i\u015fe yaram\u0131\u015ft\u0131&#8221; diyerek eski bir Nginx\/Apache yap\u0131land\u0131rmas\u0131n\u0131 yeni sunucuya kopyalamak. B\u00f6ylece <strong>eski zay\u0131f \u015fifreler, kapatmay\u0131 unuttu\u011funuz TLS s\u00fcr\u00fcmleri<\/strong> y\u0131llarca yeni ortamlara ta\u015f\u0131nmaya devam ediyor.<\/p>\n<p>\u00d6nerdi\u011fimiz yakla\u015f\u0131m:<\/p>\n<ul>\n<li>T\u00fcm TLS yap\u0131land\u0131rmalar\u0131n\u0131 <strong>versiyon kontrol\u00fcne<\/strong> (Git vb.) al\u0131n.<\/li>\n<li>Her de\u011fi\u015fikli\u011fi code review s\u00fcrecine sokun; \u00f6zellikle \u015fifre tak\u0131m\u0131\/TLS s\u00fcr\u00fcm\u00fc a\u00e7ma\u2013kapama de\u011fi\u015fikliklerini kay\u0131t alt\u0131na al\u0131n.<\/li>\n<li>CI\/CD pipeline i\u00e7inde basit TLS testleri (minimum protokol, sertifika s\u00fcresi, hostname do\u011frulamas\u0131 vb.) ko\u015fturun.<\/li>\n<\/ul>\n<h3><span id=\"HTTP_guvenlik_basliklari_ile_birlikte_dusunun\">HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131 ile birlikte d\u00fc\u015f\u00fcn\u00fcn<\/span><\/h3>\n<p>Salt TLS g\u00fcncellemesi \u00e7o\u011fu zaman yetmez; <strong>HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131<\/strong> ile beraber ele almak gerekir. \u00d6rne\u011fin:<\/p>\n<ul>\n<li><strong>HSTS (Strict-Transport-Security)<\/strong> ile taray\u0131c\u0131lara sitenize her zaman HTTPS \u00fczerinden ba\u011flanmalar\u0131n\u0131 s\u00f6ylersiniz.<\/li>\n<li><strong>Content-Security-Policy (CSP)<\/strong> ile XSS gibi sald\u0131r\u0131lara kar\u015f\u0131 ek katman eklersiniz.<\/li>\n<li><strong>X-Frame-Options, X-Content-Type-Options, Referrer-Policy<\/strong> gibi ba\u015fl\u0131klarla sald\u0131r\u0131 y\u00fczeyini daralt\u0131rs\u0131n\u0131z.<\/li>\n<\/ul>\n<p>Bu ba\u015fl\u0131klar\u0131n ne i\u015fe yarad\u0131\u011f\u0131n\u0131 ve ne zaman, nas\u0131l uygulanmas\u0131 gerekti\u011fini <a href=\"https:\/\/www.dchost.com\/blog\/http-guvenlik-basliklari-rehberi-hsts-csp-ve-digerlerini-ne-zaman-nasil-uygulamalisin\/\">HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131 rehberi<\/a> yaz\u0131m\u0131zda ayr\u0131nt\u0131l\u0131 anlatt\u0131k. TLS g\u00fcvenlik g\u00fcncellemelerinizi planlarken, bu ba\u015fl\u0131klar\u0131 da ayn\u0131 oyun plan\u0131na d\u00e2hil etmek b\u00fct\u00fcnsel g\u00fcvenlik sa\u011flar.<\/p>\n<h2><span id=\"Farkli_senaryolar_icin_SSLTLS_guvenlik_yol_haritasi\">Farkl\u0131 senaryolar i\u00e7in SSL\/TLS g\u00fcvenlik yol haritas\u0131<\/span><\/h2>\n<p>Her projenin ihtiya\u00e7lar\u0131 farkl\u0131. Yine de DCHost taraf\u0131nda kar\u015f\u0131la\u015ft\u0131\u011f\u0131m\u0131z en yayg\u0131n senaryolar i\u00e7in birka\u00e7 pratik yol haritas\u0131 payla\u015fabiliriz.<\/p>\n<h3><span id=\"E-ticaret_siteleri_ve_PCI_DSS_gereksinimleri\">E-ticaret siteleri ve PCI DSS gereksinimleri<\/span><\/h3>\n<p>Kart \u00f6demesi alan, \u00f6zellikle de <strong>PCI DSS<\/strong> kapsam\u0131na giren e-ticaret projelerinde TLS konusu daha s\u0131k\u0131 kurallara tabidir:<\/p>\n<ul>\n<li>TLS 1.0 ve 1.1\u2019in tamamen kapat\u0131lmas\u0131 art\u0131k fiili bir gereklilik.<\/li>\n<li>Zay\u0131f \u015fifre tak\u0131mlar\u0131 (RC4, 3DES vb.) kesinlikle kapal\u0131 olmal\u0131.<\/li>\n<li>G\u00fc\u00e7l\u00fc anahtar uzunluklar\u0131 ve modern imza algoritmalar\u0131 (RSA 2048+, SHA-256+) kullan\u0131lmal\u0131.<\/li>\n<li>Periyodik olarak d\u0131\u015f g\u00fcvenlik taramalar\u0131 (ASV scan) yap\u0131lmal\u0131.<\/li>\n<\/ul>\n<p>PCI DSS taraf\u0131nda &#8220;ne kadar\u0131n\u0131 hosting\u2019e, ne kadar\u0131n\u0131 uygulamaya y\u00fcklemelisiniz?&#8221; sorusunu <a href=\"https:\/\/www.dchost.com\/blog\/e-ticarette-pci-dssi-dert-etmeden-nasil-uyumlu-kalirsin-hosting-tarafinda-gercekten-ne-yapmak-gerekir\/\">PCI DSS\u2019i dert etmeden uyumlu kalma rehberimizde<\/a> detayland\u0131rd\u0131k. SSL\/TLS g\u00fcncellemeleri, bu uyumlulu\u011fun temel s\u00fctunlar\u0131ndan biri.<\/p>\n<h3><span id=\"SaaS_uygulamalari_ve_cok_kiracili_mimariler\">SaaS uygulamalar\u0131 ve \u00e7ok kirac\u0131l\u0131 mimariler<\/span><\/h3>\n<p>\u00c7ok kirac\u0131l\u0131 (multi-tenant) SaaS projelerinde genelde iki zorluk g\u00f6r\u00fcyoruz:<\/p>\n<ul>\n<li>Her kirac\u0131 i\u00e7in ayr\u0131 alan adlar\u0131 (custom domain) y\u00f6netimi<\/li>\n<li>Bu alan adlar\u0131 i\u00e7in <strong>otomatik SSL \u00fcretme ve yenileme<\/strong> ihtiyac\u0131<\/li>\n<\/ul>\n<p>Burada TLS g\u00fcncellemeleri sadece tek bir sertifikay\u0131 de\u011fil, y\u00fczlerce hatta binlerce alan ad\u0131n\u0131 etkileyebiliyor. Bu y\u00fczden mutlaka <strong>ACME tabanl\u0131 otomasyon<\/strong>, DNS-01 do\u011frulama ve merkezi sertifika ya\u015fam d\u00f6ng\u00fcs\u00fc y\u00f6netimi kurmak gerekiyor. \u00c7ok kirac\u0131l\u0131 ortamlarda \u00f6zel alan adlar\u0131 ve otomatik SSL konusunu, <a href=\"https:\/\/www.dchost.com\/blog\/saaste-ozel-alan-adlari-ve-otomatik-ssl-dns%e2%80%9101-ile-cok-kiracili-mimarini-nasil-tatli-tatli-olceklersin\/\">SaaS\u2019te \u00f6zel alan adlar\u0131 ve otomatik SSL rehberimizde<\/a> operasyonel a\u00e7\u0131dan detayland\u0131rd\u0131k.<\/p>\n<h3><span id=\"E-posta_altyapilari_MTA-STS_TLS-RPT_ve_DANE_ile_ek_guvenlik\">E-posta altyap\u0131lar\u0131: MTA-STS, TLS-RPT ve DANE ile ek g\u00fcvenlik<\/span><\/h3>\n<p>SSL\/TLS g\u00fcncellemeleri sadece web taraf\u0131nda de\u011fil, <strong>SMTP (e-posta)<\/strong> taraf\u0131nda da kritik. Temel STARTTLS deste\u011fi art\u0131k yetmiyor; \u00f6zellikle:<\/p>\n<ul>\n<li><strong>MTA-STS<\/strong> ile, alan ad\u0131n\u0131z i\u00e7in e-posta trafi\u011finin mutlaka TLS ile iletilmesini zorunlu k\u0131labilirsiniz.<\/li>\n<li><strong>TLS-RPT<\/strong> ile, TLS ba\u011flant\u0131 hatalar\u0131 hakk\u0131nda rapor alarak sorunlar\u0131 h\u0131zl\u0131ca tespit edebilirsiniz.<\/li>\n<li><strong>DANE\/TLSA<\/strong> ile DNSSEC \u00fczerinden TLS sertifikalar\u0131n\u0131z\u0131 do\u011frulatarak ek g\u00fcvenlik katman\u0131 ekleyebilirsiniz.<\/li>\n<\/ul>\n<p>Bu mekanizmalar\u0131n pratik kurulumunu ve hangi senaryoda ne kadar fayda sa\u011flad\u0131\u011f\u0131n\u0131, <a href=\"https:\/\/www.dchost.com\/blog\/mta-sts-tls-rpt-ve-dane-tlsa-ile-smtp-guvenligi-teslim-edilebilirligi-ve-sifrelemeyi-nasil-guclendirirsin\/\">MTA-STS, TLS-RPT ve DANE\/TLSA ile SMTP g\u00fcvenli\u011fi<\/a> rehberimizde anlatt\u0131k. Web taraf\u0131ndaki TLS g\u00fcncellemeleriyle beraber, e-posta altyap\u0131n\u0131z\u0131 da benzer standartlara getirmenizi \u00f6neriyoruz.<\/p>\n<h3><span id=\"APIler_ve_makine-makine_trafigi\">API\u2019ler ve makine-makine trafi\u011fi<\/span><\/h3>\n<p>Mobil uygulamalar, mikroservisler ve harici entegrasyonlar genelde API \u00fczerinden haberle\u015fiyor. Burada iki ekstra noktaya dikkat etmek gerekir:<\/p>\n<ul>\n<li>Eski TLS k\u00fct\u00fcphanelerine sahip istemciler (eski Android SDK\u2019lar\u0131, eski Java s\u00fcr\u00fcmleri) TLS 1.2\/1.3 ile sorun ya\u015fayabilir. Bu nedenle de\u011fi\u015fikli\u011fi duyurmak ve ge\u00e7i\u015f s\u00fcresi tan\u0131mak \u00f6nemlidir.<\/li>\n<li>\u0130\u00e7 servisler aras\u0131nda <strong>mTLS (kar\u015f\u0131l\u0131kl\u0131 TLS)<\/strong> kullanarak sadece sertifikaya sahip servislerin ileti\u015fim kurmas\u0131na izin verebilirsiniz. Bu yakla\u015f\u0131m\u0131 <a href=\"https:\/\/www.dchost.com\/blog\/nginx-ve-caddyde-mtls-nasil-kurulur-mikroservislerde-sertifika-dogrulamanin-tatli-sirlari\/\">Nginx ve Caddy\u2019de mTLS kurulumu<\/a> yaz\u0131m\u0131zda ad\u0131m ad\u0131m ele ald\u0131k.<\/li>\n<\/ul>\n<h2><span id=\"Ozet_Saglam_bir_SSLTLS_guvenlik_guncelleme_plani_nasil_gorunur\">\u00d6zet: Sa\u011flam bir SSL\/TLS g\u00fcvenlik g\u00fcncelleme plan\u0131 nas\u0131l g\u00f6r\u00fcn\u00fcr?<\/span><\/h2>\n<p>Art\u0131k net bir tablo var: SSL\/TLS g\u00fcvenli\u011fi, sadece taray\u0131c\u0131n\u0131n sol taraf\u0131ndaki kilit simgesini yakmak de\u011fil; <strong>s\u00fcrekli bak\u0131m gerektiren bir altyap\u0131 bile\u015feni<\/strong>. Elinizde pratik bir kontrol listesi olmas\u0131 i\u00e7in ana maddeleri toparlayal\u0131m:<\/p>\n<ul>\n<li>SSLv3, TLS 1.0 ve TLS 1.1\u2019i kapat\u0131n; TLS 1.2 ve 1.3\u2019\u00fc standart h\u00e2le getirin.<\/li>\n<li>Sadece g\u00fc\u00e7l\u00fc, AEAD tabanl\u0131 ve forward secrecy sa\u011flayan \u015fifre tak\u0131mlar\u0131n\u0131 a\u00e7\u0131k b\u0131rak\u0131n.<\/li>\n<li>RSA 2048+ veya ECDSA (m\u00fcmk\u00fcnse ikili yap\u0131) ile modern anahtar ve imza algoritmalar\u0131n\u0131 tercih edin.<\/li>\n<li>Sertifika s\u00fcrelerini k\u0131sa tutun, otomatik yenileme (ACME) kurun ve CAA\/OCSP Stapling gibi modern mekanizmalar\u0131 etkinle\u015ftirin.<\/li>\n<li>Yap\u0131land\u0131rma de\u011fi\u015fikliklerini staging ortam\u0131nda test edin, versiyon kontrol\u00fc ve CI\/CD s\u00fcrecine entegre edin.<\/li>\n<li>HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131n\u0131 (HSTS, CSP vb.) TLS g\u00fcncellemeleriyle birlikte ele al\u0131n.<\/li>\n<li>\u00d6zel senaryolarda (e-ticaret, SaaS, SMTP, API) ilgili standart ve rehberlere uyum sa\u011flay\u0131n.<\/li>\n<\/ul>\n<p>DCHost olarak, ister <a href=\"https:\/\/www.dchost.com\/tr\/web-hosting\">payla\u015f\u0131ml\u0131 hosting<\/a>, ister <a href=\"https:\/\/www.dchost.com\/tr\/vps\">VPS<\/a> veya <a href=\"https:\/\/www.dchost.com\/tr\/fiziksel-sunucu\">dedicated sunucu<\/a>, ister colocation altyap\u0131n\u0131z olsun; SSL\/TLS taraf\u0131n\u0131 g\u00fcncel tutman\u0131n <strong>hem g\u00fcvenlik hem de i\u015f s\u00fcreklili\u011fi a\u00e7\u0131s\u0131ndan<\/strong> ne kadar kritik oldu\u011funu sahada her g\u00fcn g\u00f6r\u00fcyoruz. Mevcut projelerinizde TLS yap\u0131land\u0131rman\u0131zdan emin de\u011filseniz, \u00f6nce k\u00fc\u00e7\u00fck bir envanter \u00e7\u0131kar\u0131n: Hangi alan ad\u0131nda hangi sertifika var, hangi TLS s\u00fcr\u00fcmleri ve \u015fifreler a\u00e7\u0131k, hangi taray\u0131c\u0131 veya istemciler ba\u011flan\u0131yor?<\/p>\n<p>Bu tabloyu netle\u015ftirdikten sonra, burada anlatt\u0131\u011f\u0131m\u0131z ad\u0131mlar\u0131 uygulayarak <strong>kademeli bir iyile\u015ftirme plan\u0131<\/strong> haz\u0131rlayabilirsiniz. \u0130sterseniz DCHost \u00fczerindeki mevcut hosting, VPS veya dedicated sunucular\u0131n\u0131zda, TLS 1.3\u2019ten mTLS\u2019e, HSTS\u2019ten otomatik sertifika yenilemeye kadar t\u00fcm bu bile\u015fenleri birlikte g\u00f6zden ge\u00e7irip, projenize uygun bir g\u00fcvenlik yol haritas\u0131n\u0131 beraber tasarlayabiliriz.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri neden kritik?2 Protokol s\u00fcr\u00fcmleri: TLS 1.0\u2019dan TLS 1.3\u2019e ge\u00e7i\u015fin arka plan\u01312.1 Eski s\u00fcr\u00fcmler neden g\u00fcvenli de\u011fil?2.2 Pratik tavsiye: Asgari s\u00fcr\u00fcm TLS 1.2, idealde 1.2 + 1.32.3 HTTP\/2 ve HTTP\/3 ile uyumluluk3 \u015eifre tak\u0131mlar\u0131 (cipher suites) ve anahtar t\u00fcrleri: Sadece a\u00e7\u0131k\/kapal\u0131 de\u011fil, nas\u0131l?3.1 \u00d6ncelik: AEAD ve Forward Secrecy3.2 RSA m\u0131, ECDSA m\u0131? [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2587,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[32,24,33],"tags":[],"class_list":["post-2586","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-alan-adi","category-hosting","category-nasil-yapilir"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/2586","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=2586"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/2586\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/2587"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=2586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=2586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=2586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}