{"id":3280,"date":"2025-12-14T18:49:05","date_gmt":"2025-12-14T15:49:05","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/ssl-tls-guvenlik-guncellemeleri-net-ve-uygulanabilir-rehber\/"},"modified":"2025-12-14T18:49:05","modified_gmt":"2025-12-14T15:49:05","slug":"ssl-tls-guvenlik-guncellemeleri-net-ve-uygulanabilir-rehber","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/ssl-tls-guvenlik-guncellemeleri-net-ve-uygulanabilir-rehber\/","title":{"rendered":"SSL\/TLS G\u00fcvenlik G\u00fcncellemeleri: Net ve Uygulanabilir Rehber"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><p>Son birka\u00e7 y\u0131lda yapt\u0131\u011f\u0131m\u0131z hemen her g\u00fcvenlik denetiminde ayn\u0131 tabloyla kar\u015f\u0131la\u015f\u0131yoruz: Web sitesi HTTPS kullan\u0131yor, taray\u0131c\u0131 adres \u00e7ubu\u011funda kilit simgesi g\u00f6r\u00fcn\u00fcyor, ancak sunucu taraf\u0131nda <strong>eski TLS s\u00fcr\u00fcmleri<\/strong> a\u00e7\u0131k, zay\u0131f \u015fifre tak\u0131mlar\u0131 hala etkin ve sertifika zincirinde hatalar var. Yani k\u0131saca: \u201cG\u00fcvenli g\u00f6r\u00fcn\u00fcyor\u201d ama ger\u00e7ekte riskler ciddi. \u0130\u015fte <strong>SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri<\/strong> tam da bu noktada devreye giriyor.<\/p>\n<p>Taray\u0131c\u0131 \u00fcreticileri, \u00f6deme altyap\u0131lar\u0131, KVKK\/GDPR gibi reg\u00fclasyonlar ve g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 s\u00fcrekli olarak \u00e7\u0131tay\u0131 y\u00fckseltiyor. Buna kar\u015f\u0131l\u0131k, \u015firketlerin \u00f6nemli bir k\u0131sm\u0131 HTTPS taraf\u0131ndaki g\u00fcncellemeleri \u201cbir g\u00fcn bakar\u0131z\u201d klas\u00f6r\u00fcnde bekletiyor. Sonu\u00e7; taray\u0131c\u0131 uyar\u0131lar\u0131, d\u00fc\u015fen d\u00f6n\u00fc\u015f\u00fcm oranlar\u0131, uyumsuzluk raporlar\u0131 ve en k\u00f6t\u00fcs\u00fc, ger\u00e7ekten s\u00f6m\u00fcr\u00fclebilir a\u00e7\u0131klar.<\/p>\n<p>Bu yaz\u0131da DCHost ekibi olarak, sunucunuzu veya hosting hesab\u0131n\u0131z\u0131 nas\u0131l konumland\u0131r\u0131rsan\u0131z konumland\u0131r\u0131n (<a href=\"https:\/\/www.dchost.com\/tr\/web-hosting\">payla\u015f\u0131ml\u0131 hosting<\/a>, <a href=\"https:\/\/www.dchost.com\/tr\/vps\">VPS<\/a>, dedicated, colocation) <strong>SSL\/TLS taraf\u0131nda neleri g\u00fcncellemeniz gerekti\u011fini, hangi s\u0131rayla ilerlemenin mant\u0131kl\u0131 oldu\u011funu ve bunu pratikte nas\u0131l uygulayabilece\u011finizi<\/strong> net bir yol haritas\u0131yla anlataca\u011f\u0131z. Amac\u0131m\u0131z; teoride kalmayan, do\u011frudan sunucunuzdaki yap\u0131land\u0131rmaya \u00e7evirebilece\u011finiz, ger\u00e7ek\u00e7i bir rehber b\u0131rakmak.<\/p>\n<div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#SSLTLS_Guvenlik_Guncellemeleri_Tam_Olarak_Neyi_Kapsar\"><span class=\"toc_number toc_depth_1\">1<\/span> SSL\/TLS G\u00fcvenlik G\u00fcncellemeleri Tam Olarak Neyi Kapsar?<\/a><\/li><li><a href=\"#Neden_Surekli_Guncelleme_Gerekli_Taraflarin_Beklentileri\"><span class=\"toc_number toc_depth_1\">2<\/span> Neden S\u00fcrekli G\u00fcncelleme Gerekli? Taraflar\u0131n Beklentileri<\/a><\/li><li><a href=\"#Hangi_TLS_ve_SSL_Surumleri_Artik_Guvenli_Degil\"><span class=\"toc_number toc_depth_1\">3<\/span> Hangi TLS ve SSL S\u00fcr\u00fcmleri Art\u0131k G\u00fcvenli De\u011fil?<\/a><ul><li><a href=\"#Pratik_adim_Hangi_surumler_acik_hizlica_kontrol_edin\"><span class=\"toc_number toc_depth_2\">3.1<\/span> Pratik ad\u0131m: Hangi s\u00fcr\u00fcmler a\u00e7\u0131k, h\u0131zl\u0131ca kontrol edin<\/a><\/li><\/ul><\/li><li><a href=\"#Sifre_Takimlari_Cipher_Suites_Guvenlik_ile_Uyumlulugu_Dengelemek\"><span class=\"toc_number toc_depth_1\">4<\/span> \u015eifre Tak\u0131mlar\u0131 (Cipher Suites): G\u00fcvenlik ile Uyumlulu\u011fu Dengelemek<\/a><ul><li><a href=\"#ECDSA_RSA_ikili_sertifika_stratejisi\"><span class=\"toc_number toc_depth_2\">4.1<\/span> ECDSA + RSA ikili sertifika stratejisi<\/a><\/li><\/ul><\/li><li><a href=\"#Sertifika_ve_Zincir_Guncellemeleri_Sadece_Sure_Takibi_Degil\"><span class=\"toc_number toc_depth_1\">5<\/span> Sertifika ve Zincir G\u00fcncellemeleri: Sadece S\u00fcre Takibi De\u011fil<\/a><ul><li><a href=\"#Otomasyon_olmadan_guncel_kalmak_zor\"><span class=\"toc_number toc_depth_2\">5.1<\/span> Otomasyon olmadan g\u00fcncel kalmak zor<\/a><\/li><\/ul><\/li><li><a href=\"#HTTP_Guvenlik_Basliklari_ve_TLS_Resmi_Tamamlayan_Katman\"><span class=\"toc_number toc_depth_1\">6<\/span> HTTP G\u00fcvenlik Ba\u015fl\u0131klar\u0131 ve TLS: Resmi Tamamlayan Katman<\/a><\/li><li><a href=\"#Farkli_Hosting_Tiplerinde_SSLTLS_Guncelleme_Stratejisi\"><span class=\"toc_number toc_depth_1\">7<\/span> Farkl\u0131 Hosting Tiplerinde SSL\/TLS G\u00fcncelleme Stratejisi<\/a><ul><li><a href=\"#Paylasimli_hosting_kullanicilari\"><span class=\"toc_number toc_depth_2\">7.1<\/span> Payla\u015f\u0131ml\u0131 hosting kullan\u0131c\u0131lar\u0131<\/a><\/li><li><a href=\"#VPS_ve_dedicated_sunucu_sahipleri\"><span class=\"toc_number toc_depth_2\">7.2<\/span> VPS ve dedicated sunucu sahipleri<\/a><\/li><li><a href=\"#Colocation_ve_karma_mimariler\"><span class=\"toc_number toc_depth_2\">7.3<\/span> Colocation ve karma mimariler<\/a><\/li><\/ul><\/li><li><a href=\"#Ornek_Senaryolar_Gercek_Hayatta_Ne_Zaman_Alarm_Zili_Calmali\"><span class=\"toc_number toc_depth_1\">8<\/span> \u00d6rnek Senaryolar: Ger\u00e7ek Hayatta Ne Zaman Alarm Zili \u00c7almal\u0131?<\/a><ul><li><a href=\"#Senaryo_1_E-ticaret_sitesinde_sepet_adiminda_terk_orani_artiyor\"><span class=\"toc_number toc_depth_2\">8.1<\/span> Senaryo 1: E-ticaret sitesinde sepet ad\u0131m\u0131nda terk oran\u0131 art\u0131yor<\/a><\/li><li><a href=\"#Senaryo_2_Ajansin_yonettigi_40_musterili_hosting_hesabinda_sertifika_krizi\"><span class=\"toc_number toc_depth_2\">8.2<\/span> Senaryo 2: Ajans\u0131n y\u00f6netti\u011fi 40+ m\u00fc\u015fterili hosting hesab\u0131nda sertifika krizi<\/a><\/li><li><a href=\"#Senaryo_3_SaaS_uygulamasinda_HTTP3_gecisi_ve_TLS_ayarlari\"><span class=\"toc_number toc_depth_2\">8.3<\/span> Senaryo 3: SaaS uygulamas\u0131nda HTTP\/3 ge\u00e7i\u015fi ve TLS ayarlar\u0131<\/a><\/li><\/ul><\/li><li><a href=\"#Adim_Adim_SSLTLS_Guvenlik_Guncelleme_Plani\"><span class=\"toc_number toc_depth_1\">9<\/span> Ad\u0131m Ad\u0131m SSL\/TLS G\u00fcvenlik G\u00fcncelleme Plan\u0131<\/a><ul><li><a href=\"#1_Envanter_cikarin\"><span class=\"toc_number toc_depth_2\">9.1<\/span> 1. Envanter \u00e7\u0131kar\u0131n<\/a><\/li><li><a href=\"#2_Mevcut_TLS_durumunu_test_edin\"><span class=\"toc_number toc_depth_2\">9.2<\/span> 2. Mevcut TLS durumunu test edin<\/a><\/li><li><a href=\"#3_Hedef_politika_belirleyin\"><span class=\"toc_number toc_depth_2\">9.3<\/span> 3. Hedef politika belirleyin<\/a><\/li><li><a href=\"#4_Gelistirme_veya_staging_ortaminda_deneme_yapin\"><span class=\"toc_number toc_depth_2\">9.4<\/span> 4. Geli\u015ftirme veya staging ortam\u0131nda deneme yap\u0131n<\/a><\/li><li><a href=\"#5_Canli_ortama_kademeli_gecis\"><span class=\"toc_number toc_depth_2\">9.5<\/span> 5. Canl\u0131 ortama kademeli ge\u00e7i\u015f<\/a><\/li><li><a href=\"#6_Izleme_alarm_ve_periyodik_denetim\"><span class=\"toc_number toc_depth_2\">9.6<\/span> 6. \u0130zleme, alarm ve periyodik denetim<\/a><\/li><\/ul><\/li><li><a href=\"#DCHost_Uzerinde_SSLTLS_Guvenlik_Guncellemelerini_Nasil_Ele_Aliyoruz\"><span class=\"toc_number toc_depth_1\">10<\/span> DCHost \u00dczerinde SSL\/TLS G\u00fcvenlik G\u00fcncellemelerini Nas\u0131l Ele Al\u0131yoruz?<\/a><\/li><li><a href=\"#Sonuc_SSLTLS_Guvenlik_Guncellemelerini_Ertelemenin_Bedeli\"><span class=\"toc_number toc_depth_1\">11<\/span> Sonu\u00e7: SSL\/TLS G\u00fcvenlik G\u00fcncellemelerini Ertelemenin Bedeli<\/a><\/li><\/ul><\/div>\n<h2><span id=\"SSLTLS_Guvenlik_Guncellemeleri_Tam_Olarak_Neyi_Kapsar\">SSL\/TLS G\u00fcvenlik G\u00fcncellemeleri Tam Olarak Neyi Kapsar?<\/span><\/h2>\n<p>\u00d6nce terminolojiyi netle\u015ftirelim. \u201cSSL\/TLS g\u00fcvenlik g\u00fcncellemesi\u201d deyince asl\u0131nda birka\u00e7 farkl\u0131 katman\u0131 birlikte konu\u015fuyoruz:<\/p>\n<ul>\n<li><strong>Protokol seviyesinde g\u00fcncellemeler:<\/strong> SSLv3, TLS 1.0, TLS 1.1 gibi eski s\u00fcr\u00fcmlerin kapat\u0131lmas\u0131, TLS 1.2 ve 1.3\u2019\u00fcn do\u011fru konfig\u00fcre edilmesi.<\/li>\n<li><strong>\u015eifre tak\u0131mlar\u0131 (cipher suites):<\/strong> Eski, k\u0131r\u0131labilir veya zay\u0131f kabul edilen algoritmalar\u0131n devre d\u0131\u015f\u0131 b\u0131rak\u0131lmas\u0131; modern ECDHE + AES-GCM veya ChaCha20-Poly1305 gibi kombinasyonlar\u0131n tercih edilmesi.<\/li>\n<li><strong>Sertifika ve zincir g\u00fcncellemeleri:<\/strong> Sertifika s\u00fcresi, ara sertifikalar (intermediate CA), k\u00f6k sertifikalar, CAA kay\u0131tlar\u0131, OCSP\/CRL gibi bile\u015fenlerin g\u00fcncel tutulmas\u0131.<\/li>\n<li><strong>Taray\u0131c\u0131 ve standart uyumlulu\u011fu:<\/strong> HSTS, OCSP stapling, HTTP\/2\/HTTP\/3 ile uyum, SNI deste\u011fi ve modern taray\u0131c\u0131 beklentileri.<\/li>\n<li><strong>Uygulama ve yap\u0131land\u0131rma d\u00fczeyi:<\/strong> Nginx\/Apache, load balancer, WAF, CDN katmanlar\u0131n\u0131n hepsinde tutarl\u0131 bir TLS politikas\u0131 uygulamak.<\/li>\n<\/ul>\n<p>Bu katmanlar\u0131n her biri i\u00e7in detayl\u0131 bir protokol perspektifine ihtiyac\u0131n\u0131z varsa, <a href=\"https:\/\/www.dchost.com\/blog\/ssl-tls-protokol-guncellemeleri-modern-https-icin-net-yol-haritasi\/\">SSL\/TLS protokol g\u00fcncellemeleri rehberimizi<\/a> teknik arka plan i\u00e7in mutlaka \u00f6neririm. Bu yaz\u0131da ise daha \u00e7ok <strong>\u201cne zaman, neyi, nas\u0131l de\u011fi\u015ftirmelisiniz?\u201d<\/strong> taraf\u0131na odaklanaca\u011f\u0131z.<\/p>\n<h2><span id=\"Neden_Surekli_Guncelleme_Gerekli_Taraflarin_Beklentileri\">Neden S\u00fcrekli G\u00fcncelleme Gerekli? Taraflar\u0131n Beklentileri<\/span><\/h2>\n<p>SSL\/TLS taraf\u0131nda \u201cbir kere kur, y\u0131llarca dokunma\u201d d\u00f6nemi \u00e7oktan bitti. G\u00fcncelleme bask\u0131s\u0131n\u0131 yaratan birka\u00e7 ana akt\u00f6r var:<\/p>\n<ul>\n<li><strong>Taray\u0131c\u0131lar:<\/strong> Chrome, Firefox, Safari ve di\u011ferleri eski protokolleri ve \u015fifreleri birer birer terk ediyor. TLS 1.0\/1.1 zaten fiilen bitmi\u015f durumda; s\u0131rada zay\u0131f \u015fifrelerin kald\u0131r\u0131lmas\u0131 var.<\/li>\n<li><strong>\u00d6deme altyap\u0131lar\u0131 ve PCI DSS:<\/strong> Kartla \u00f6deme alan her siteden TLS 1.2\u2019nin minimum standart olmas\u0131, belirli \u015fifre tak\u0131mlar\u0131n\u0131n kapat\u0131lmas\u0131 bekleniyor.<\/li>\n<li><strong>G\u00fcvenlik test ara\u00e7lar\u0131 ve denetimler:<\/strong> Penetrasyon testleri, s\u0131zma testleri, g\u00fcvenlik denetimleri art\u0131k SSL Labs veya benzeri ara\u00e7lardan d\u00fc\u015f\u00fck notlar\u0131 do\u011frudan bulgu olarak raporluyor.<\/li>\n<li><strong>Arama motorlar\u0131 ve SEO:<\/strong> G\u00fcvensiz veya hatal\u0131 sertifika, kar\u0131\u015f\u0131k i\u00e7erik (mixed content) gibi sorunlar hem s\u0131ralama hem de kullan\u0131c\u0131 g\u00fcveni taraf\u0131nda do\u011frudan negatif sinyal.<\/li>\n<li><strong>Reg\u00fclasyonlar (KVKK, GDPR vb.):<\/strong> Veri aktar\u0131m\u0131 s\u0131ras\u0131nda \u201cg\u00fcncel g\u00fcvenlik \u00f6nlemleri\u201d al\u0131nmas\u0131, do\u011frudan hukuki bir y\u00fck\u00fcml\u00fcl\u00fck.<\/li>\n<\/ul>\n<p>Bu tabloda geciken her g\u00fcncelleme; hem teknik borcu b\u00fcy\u00fct\u00fcyor hem de ileride yapaca\u011f\u0131n\u0131z versiyon y\u00fckseltmelerini daha sanc\u0131l\u0131 hale getiriyor. \u00d6zellikle \u00e7oklu site bar\u0131nd\u0131ran ajanslar, SaaS sa\u011flay\u0131c\u0131lar\u0131 ve e-ticaret i\u015fletmeleri i\u00e7in bu bor\u00e7, bir noktadan sonra zincirleme etki yarat\u0131yor.<\/p>\n<h2><span id=\"Hangi_TLS_ve_SSL_Surumleri_Artik_Guvenli_Degil\">Hangi TLS ve SSL S\u00fcr\u00fcmleri Art\u0131k G\u00fcvenli De\u011fil?<\/span><\/h2>\n<p>Protokol seviyesinde resim olduk\u00e7a net:<\/p>\n<ul>\n<li><strong>SSLv2 ve SSLv3:<\/strong> Tarihsel \u00f6neme sahip ama bug\u00fcn <strong>kesinlikle kapal\u0131<\/strong> olmas\u0131 gereken s\u00fcr\u00fcmler. POODLE gibi sald\u0131r\u0131lara kar\u015f\u0131 savunmas\u0131z.<\/li>\n<li><strong>TLS 1.0 ve TLS 1.1:<\/strong> Modern standartlar taraf\u0131ndan terk edildi. PCI DSS ve ana taray\u0131c\u0131lar taraf\u0131ndan art\u0131k kabul edilmiyor. Ola\u011fan\u00fcst\u00fc eski istemciler i\u00e7in dahi a\u00e7man\u0131z\u0131 \u00f6nermiyoruz.<\/li>\n<li><strong>TLS 1.2:<\/strong> Hala ana i\u015f g\u00fcc\u00fc; do\u011fru \u015fifre tak\u0131mlar\u0131yla birlikte kullan\u0131ld\u0131\u011f\u0131nda g\u00fcvenli.<\/li>\n<li><strong>TLS 1.3:<\/strong> Daha sade, daha h\u0131zl\u0131 ve tasar\u0131m itibar\u0131yla pek \u00e7ok sald\u0131r\u0131 vekt\u00f6r\u00fcn\u00fc ba\u015ftan kapatan modern s\u00fcr\u00fcm. Yeni kurulumlarda <strong>mutlaka etkin<\/strong> olmal\u0131.<\/li>\n<\/ul>\n<p>DCHost altyap\u0131s\u0131nda yeni da\u011f\u0131t\u0131lan payla\u015f\u0131ml\u0131 hosting, VPS ve <a href=\"https:\/\/www.dchost.com\/tr\/fiziksel-sunucu\">dedicated sunucu<\/a>larda <strong>TLS 1.2 + TLS 1.3<\/strong> kombinasyonu art\u0131k varsay\u0131lan politika. \u00d6zellikle TLS 1.0\/1.1 i\u00e7in, \u201ceski bir kurumsal uygulama istiyor\u201d gibi \u00e7ok \u00f6zel bir zorunluluk yoksa, bu s\u00fcr\u00fcmleri tamamen kapatman\u0131z\u0131 tavsiye ediyoruz.<\/p>\n<h3><span id=\"Pratik_adim_Hangi_surumler_acik_hizlica_kontrol_edin\">Pratik ad\u0131m: Hangi s\u00fcr\u00fcmler a\u00e7\u0131k, h\u0131zl\u0131ca kontrol edin<\/span><\/h3>\n<p>Basit bir terminal komutuyla sunucunuzdaki TLS s\u00fcr\u00fcmlerini test edebilirsiniz (\u00f6rne\u011fin <code>openssl s_client<\/code> ile). Ancak daha sezgisel bir rapor i\u00e7in genelde SSL Labs gibi ara\u00e7lar kullan\u0131l\u0131yor. Burada \u00f6nemli olan; raporda <strong>\u201cTLS 1.0\/1.1 enabled\u201d<\/strong> gibi uyar\u0131lar g\u00f6r\u00fcyorsan\u0131z, bu yaz\u0131daki ad\u0131mlar\u0131 ertelemeden uygulaman\u0131z gerekti\u011fi.<\/p>\n<h2><span id=\"Sifre_Takimlari_Cipher_Suites_Guvenlik_ile_Uyumlulugu_Dengelemek\">\u015eifre Tak\u0131mlar\u0131 (Cipher Suites): G\u00fcvenlik ile Uyumlulu\u011fu Dengelemek<\/span><\/h2>\n<p>TLS s\u00fcr\u00fcm\u00fcn\u00fc g\u00fcncellemek tek ba\u015f\u0131na yetmiyor. Ayn\u0131 s\u00fcr\u00fcm i\u00e7inde bile kullanabilece\u011finiz \u00e7ok say\u0131da \u015fifre tak\u0131m\u0131 mevcut ve hepsi ayn\u0131 derecede g\u00fcvenli de\u011fil. Genel prensipler:<\/p>\n<ul>\n<li><strong>Perfect Forward Secrecy (PFS) sa\u011flayan<\/strong> ECDHE tabanl\u0131 \u015fifreler tercih edilmeli.<\/li>\n<li><strong>RC4, 3DES, SEED, CAMELLIA<\/strong> gibi eski \u015fifreler devre d\u0131\u015f\u0131 b\u0131rak\u0131lmal\u0131.<\/li>\n<li>Modern blok \u015fifre modlar\u0131 olan <strong>AES-GCM<\/strong> veya <strong>ChaCha20-Poly1305<\/strong> \u00f6ne \u00e7\u0131kar\u0131lmal\u0131.<\/li>\n<li><strong>NULL, EXPORT, anon<\/strong> gibi kimlik do\u011frulamas\u0131 olmayan veya zay\u0131flat\u0131lm\u0131\u015f tak\u0131mlar kesinlikle kapat\u0131lmal\u0131.<\/li>\n<\/ul>\n<p>\u00d6zellikle mobil cihazlarda d\u00fc\u015f\u00fck CPU t\u00fcketimi i\u00e7in ChaCha20-Poly1305 tercih edilirken, masa\u00fcst\u00fc ve sunucu taraf\u0131nda AES-GCM g\u00fc\u00e7l\u00fc bir standart haline geldi. <a href=\"https:\/\/www.dchost.com\/blog\/tls-1-3-ve-modern-sifrelerin-sicacik-mutfagi-nginx-apachede-ocsp-stapling-hsts-preload-ve-pfs-nasil-kurulur\/\">TLS 1.3 ve modern \u015fifreler rehberimizde<\/a> Nginx\/Apache yap\u0131land\u0131rmas\u0131n\u0131 \u00f6rnek konfig\u00fcrasyonlarla ad\u0131m ad\u0131m anlatt\u0131k; buradaki \u00f6nerileri do\u011frudan sunucunuza uygulayabilirsiniz.<\/p>\n<h3><span id=\"ECDSA_RSA_ikili_sertifika_stratejisi\">ECDSA + RSA ikili sertifika stratejisi<\/span><\/h3>\n<p>Modern taray\u0131c\u0131lar ECDSA imzal\u0131 sertifikalarla performans kazan\u0131rken, baz\u0131 eski istemciler hala yaln\u0131zca RSA destekliyor. Bu y\u00fczden y\u00fcksek uyumluluk isteyen projelerde, Nginx\/Apache taraf\u0131nda <strong>ECDSA + RSA ikili sertifika<\/strong> sunmak mant\u0131kl\u0131 olabiliyor. Bu konuyu derinlemesine ele ald\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/nginx-apachede-ecdsa-rsa-ikili-ssl-uyumluluk-mu-hiz-mi-ikisini-birden-nasil-alirsin\/\">ikili SSL rehberimizi<\/a> inceleyerek, hem h\u0131zdan hem uyumluluktan \u00f6d\u00fcn vermeyen bir yap\u0131 kurabilirsiniz.<\/p>\n<h2><span id=\"Sertifika_ve_Zincir_Guncellemeleri_Sadece_Sure_Takibi_Degil\">Sertifika ve Zincir G\u00fcncellemeleri: Sadece S\u00fcre Takibi De\u011fil<\/span><\/h2>\n<p>Bir\u00e7ok i\u015fletme i\u00e7in \u201cSSL g\u00fcncellemesi\u201d h\u00e2l\u00e2 sadece sertifika s\u00fcresini kontrol etmekten ibaret. Oysa as\u0131l riskler genelde zincir ve g\u00fcven modeli taraf\u0131nda gizleniyor.<\/p>\n<ul>\n<li><strong>Intermediate (ara) sertifikalar:<\/strong> Sertifika sa\u011flay\u0131c\u0131n\u0131z ara sertifikay\u0131 de\u011fi\u015ftirdi\u011finde, bu dosyay\u0131 sunucunuza y\u00fcklemezseniz zincir kopuk kal\u0131r; baz\u0131 cihazlar sitenizi g\u00fcvensiz g\u00f6rebilir.<\/li>\n<li><strong>Root CA de\u011fi\u015fimleri:<\/strong> K\u00f6k sertifikalar\u0131n \u00f6mr\u00fc biterken yeni k\u00f6klerle ge\u00e7i\u015fler yap\u0131l\u0131r. Bunlar\u0131 takip etmeyen ortamlarda \u201ctrust anchor\u201d sorunlar\u0131 ortaya \u00e7\u0131kar.<\/li>\n<li><strong>CAA kay\u0131tlar\u0131:<\/strong> DNS\u2019te hangi CA\u2019n\u0131n alan ad\u0131n\u0131z i\u00e7in sertifika \u00fcretebilece\u011fini belirleyen kay\u0131tlar, yanl\u0131\u015f veya eksikse otomasyonunuz k\u0131r\u0131labilir.<\/li>\n<li><strong>OCSP\/CRL durumu:<\/strong> \u0130ptal edilen sertifikalar i\u00e7in taray\u0131c\u0131lar\u0131n yapt\u0131\u011f\u0131 revocation kontrolleri, yanl\u0131\u015f yap\u0131land\u0131r\u0131ld\u0131\u011f\u0131nda ciddi gecikme veya hata sebebi olabilir. OCSP stapling bu y\u00fczden \u00f6nemli.<\/li>\n<\/ul>\n<p>Bu ba\u015fl\u0131k alt\u0131nda s\u0131k\u00e7a yapt\u0131\u011f\u0131m\u0131z hata analizi ve kurtarma senaryolar\u0131n\u0131, \u201cneden hep son dakikaya kal\u0131yor?\u201d sorusuyla tart\u0131\u015ft\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/ssl-sertifika-guvenlik-guncellemeleri-neden-hep-son-dakikaya-kaliyor-ne-zaman-nasil-guncellemeli\/\">SSL sertifika g\u00fcvenlik g\u00fcncellemeleri yaz\u0131m\u0131zda<\/a> detayland\u0131rd\u0131k. Buradaki kontrol listelerini, \u00f6zellikle \u00e7oklu domain y\u00f6neten ekipler i\u00e7in \u00f6neriyoruz.<\/p>\n<h3><span id=\"Otomasyon_olmadan_guncel_kalmak_zor\">Otomasyon olmadan g\u00fcncel kalmak zor<\/span><\/h3>\n<p>Art\u0131k 90 g\u00fcn veya daha k\u0131sa s\u00fcreli sertifikalar normal hale geldi. Manuel takip, Excel listeleri ve hat\u0131rlatma mailleri bir noktadan sonra ka\u00e7\u0131n\u0131lmaz olarak patl\u0131yor. Bu nedenle:<\/p>\n<ul>\n<li>ACME tabanl\u0131 otomasyon (Let\u2019s Encrypt vb.) kurmak,<\/li>\n<li>Sertifika yenileme sonras\u0131 web sunucusunu otomatik yeniden y\u00fckleyecek (reload) scriptler tan\u0131mlamak,<\/li>\n<li>Yenileme loglar\u0131n\u0131 ve hata durumlar\u0131n\u0131 izlemek<\/li>\n<\/ul>\n<p>art\u0131k l\u00fcks de\u011fil, temel gereklilik. <a href=\"https:\/\/www.dchost.com\/blog\/lets-encrypt-ile-ucretsiz-ssl-sertifikasi-kurulumu-cpanel-ve-directadminde-otomatik-yenileme-rehberi\/\">Let\u2019s Encrypt otomasyon rehberimizde<\/a> cPanel ve DirectAdmin \u00f6rnekleriyle bu s\u00fcreci u\u00e7tan uca g\u00f6sterdik. DCHost \u00fczerindeki payla\u015f\u0131ml\u0131 hosting ve baz\u0131 y\u00f6netilen VPS \u00e7\u00f6z\u00fcmlerinde bu otomasyonlar\u0131 sizin yerinize biz kuruyoruz.<\/p>\n<h2><span id=\"HTTP_Guvenlik_Basliklari_ve_TLS_Resmi_Tamamlayan_Katman\">HTTP G\u00fcvenlik Ba\u015fl\u0131klar\u0131 ve TLS: Resmi Tamamlayan Katman<\/span><\/h2>\n<p>Protokol ve sertifika sorunsuz olsa bile, taray\u0131c\u0131ya \u201cbu site modern g\u00fcvenlik uygulamalar\u0131na dikkat ediyor\u201d diyebilmek i\u00e7in HTTP ba\u015fl\u0131klar\u0131 da kritik. \u00d6zellikle:<\/p>\n<ul>\n<li><strong>Strict-Transport-Security (HSTS):<\/strong> Taray\u0131c\u0131ya siteye sadece HTTPS \u00fczerinden ba\u011flanmas\u0131n\u0131 s\u00f6yler. HSTS preload listelerinde yer almak, TLS downgrade sald\u0131r\u0131lar\u0131na kar\u015f\u0131 g\u00fc\u00e7l\u00fc bir savunmad\u0131r.<\/li>\n<li><strong>Content-Security-Policy (CSP):<\/strong> XSS ve benzeri sald\u0131r\u0131lar\u0131 s\u0131n\u0131rlamak i\u00e7in hangi kaynaklardan i\u00e7erik y\u00fcklenebilece\u011fini kontrol eder.<\/li>\n<li><strong>Referrer-Policy, X-Frame-Options, X-Content-Type-Options<\/strong> gibi ba\u015fl\u0131klar da sald\u0131r\u0131 y\u00fczeyini daralt\u0131r.<\/li>\n<\/ul>\n<p>Bu ba\u015fl\u0131klar\u0131n her biri TLS\u2019inizin \u00fczerinde \u00e7al\u0131\u015fan bir \u201cg\u00fcvenlik \u00e7er\u00e7evesi\u201d gibidir. <a href=\"https:\/\/www.dchost.com\/blog\/http-guvenlik-basliklari-rehberi-hsts-csp-ve-digerlerini-ne-zaman-nasil-uygulamalisin\/\">HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131 rehberimizde<\/a> hangi ba\u015fl\u0131\u011f\u0131 ne zaman ve nas\u0131l devreye alman\u0131z gerekti\u011fini, pratik \u00f6rneklerle anlatt\u0131k. TLS g\u00fcncellemeleri yaparken, bu ba\u015fl\u0131klar\u0131 da ayn\u0131 bak\u0131m penceresinde ele alman\u0131z\u0131 \u00f6neriyoruz.<\/p>\n<h2><span id=\"Farkli_Hosting_Tiplerinde_SSLTLS_Guncelleme_Stratejisi\">Farkl\u0131 Hosting Tiplerinde SSL\/TLS G\u00fcncelleme Stratejisi<\/span><\/h2>\n<p>Payla\u015f\u0131ml\u0131 hosting, y\u00f6netilen VPS, kendi y\u00f6netti\u011finiz dedicated veya colocation sunucu\u2026 Her modelde sorumluluk ve kontrol s\u0131n\u0131rlar\u0131 farkl\u0131. G\u00fcncellemeleri planlarken bunu dikkate almak \u00f6nemli.<\/p>\n<h3><span id=\"Paylasimli_hosting_kullanicilari\">Payla\u015f\u0131ml\u0131 hosting kullan\u0131c\u0131lar\u0131<\/span><\/h3>\n<p>Payla\u015f\u0131ml\u0131 hosting ortam\u0131nda temel TLS politikas\u0131 (hangi protokoller a\u00e7\u0131k, hangi \u015fifre tak\u0131mlar\u0131 aktif) genellikle <strong>sunucu operat\u00f6r\u00fc taraf\u0131ndan belirlenir<\/strong>. DCHost olarak:<\/p>\n<ul>\n<li>TLS 1.2 ve 1.3\u2019\u00fc varsay\u0131lan kabul ediyor,<\/li>\n<li>Eski \u015fifre tak\u0131mlar\u0131n\u0131 a\u015famal\u0131 olarak devre d\u0131\u015f\u0131 b\u0131rak\u0131yor,<\/li>\n<li>Let\u2019s Encrypt ve benzeri CA\u2019lerle otomatik yenileme ak\u0131\u015flar\u0131 sa\u011fl\u0131yor,<\/li>\n<\/ul>\n<p>ve bu g\u00fcncellemeleri m\u00fcmk\u00fcn oldu\u011funca kesintisiz \u015fekilde uyguluyoruz. Sizin taraf\u0131n\u0131zda dikkat etmeniz gereken ba\u015fl\u0131ca noktalar:<\/p>\n<ul>\n<li>Alan ad\u0131n\u0131z\u0131n do\u011fru <strong>DNS ve nameserver<\/strong> ayarlar\u0131na sahip olmas\u0131,<\/li>\n<li>Paneldeki \u201cSSL\/TLS\u201d veya \u201cDomains\u201d b\u00f6l\u00fcm\u00fcnde sertifikan\u0131z\u0131n ger\u00e7ekten atanm\u0131\u015f oldu\u011fundan emin olmak,<\/li>\n<li>WordPress, Laravel vb. uygulamalar\u0131n\u0131zda <code>http:\/\/<\/code> linkleri <code>https:\/\/<\/code> ile g\u00fcncellemek, kar\u0131\u015f\u0131k i\u00e7erik (mixed content) hatalar\u0131n\u0131 temizlemek.<\/li>\n<\/ul>\n<h3><span id=\"VPS_ve_dedicated_sunucu_sahipleri\">VPS ve dedicated sunucu sahipleri<\/span><\/h3>\n<p>VPS veya dedicated sunucuda ise top tamamen sizde. Yeni bir VPS al\u0131rken yap\u0131lmas\u0131 gereken ilk ad\u0131mlar\u0131 daha \u00f6nce <a href=\"https:\/\/www.dchost.com\/blog\/yeni-vpste-ilk-24-saat-guncelleme-guvenlik-duvari-ve-kullanici-hesaplari\/\">\u201cyeni VPS\u2019te ilk 24 saat\u201d rehberimizde<\/a> payla\u015fm\u0131\u015ft\u0131k. TLS taraf\u0131nda ise a\u015fa\u011f\u0131daki s\u0131rayla ilerlemek sa\u011fl\u0131kl\u0131:<\/p>\n<ol>\n<li>Sunucu i\u015fletim sistemini ve OpenSSL \/ GnuTLS gibi k\u00fct\u00fcphaneleri g\u00fcncellemek.<\/li>\n<li>Web sunucunuzda (Nginx, Apache, LiteSpeed) TLS 1.0\/1.1\u2019i devre d\u0131\u015f\u0131 b\u0131rakmak, TLS 1.2\/1.3\u2019\u00fc etkinle\u015ftirmek.<\/li>\n<li>G\u00fc\u00e7l\u00fc \u015fifre tak\u0131m\u0131 listesi tan\u0131mlamak; zay\u0131f \u015fifreleri kapatmak.<\/li>\n<li>OCSP stapling, HSTS ve HTTP\/2\/HTTP\/3 ayarlar\u0131n\u0131 yap\u0131land\u0131rmak.<\/li>\n<li>SSL Labs veya benzeri ara\u00e7larla test edip A veya A+ notu hedeflemek.<\/li>\n<\/ol>\n<p>Bunlar\u0131n \u00e7o\u011funu, Nginx \u00f6zelinde nas\u0131l yapaca\u011f\u0131n\u0131z\u0131 <a href=\"https:\/\/www.dchost.com\/blog\/nginxte-tls-1-3-ocsp-stapling-ve-brotli-nasil-kurulur-hizli-ve-guvenli-httpsnin-sicacik-rehberi\/\">Nginx\u2019te TLS 1.3 ve OCSP stapling rehberimizde<\/a> sat\u0131r sat\u0131r g\u00f6sterdik. DCHost\u2019ta y\u00f6netilen VPS veya dedicated \u00e7\u00f6z\u00fcmler tercih etti\u011finizde, bu ayarlar\u0131n \u00f6nemli bir k\u0131sm\u0131n\u0131 sizin yerinize biz \u00fcstlenebiliyoruz.<\/p>\n<h3><span id=\"Colocation_ve_karma_mimariler\">Colocation ve karma mimariler<\/span><\/h3>\n<p>Kendi fiziksel sunucunuzu veri merkezinde bar\u0131nd\u0131rd\u0131\u011f\u0131n\u0131z (colocation) veya karma mimari (\u00f6n tarafta load balancer, arkada web sunucular\u0131) kulland\u0131\u011f\u0131n\u0131z ortamlarda, TLS \u00e7o\u011fu zaman <strong>birden fazla katmanda<\/strong> kar\u015f\u0131n\u0131za \u00e7\u0131kar:<\/p>\n<ul>\n<li>\u00d6n u\u00e7ta TLS terminasyonu yapan bir reverse proxy veya load balancer,<\/li>\n<li>Arka u\u00e7ta (backend) TLS ile haberle\u015fen uygulama sunucular\u0131,<\/li>\n<li>Veritaban\u0131na TLS ile ba\u011flanan uygulamalar.<\/li>\n<\/ul>\n<p>Bu yap\u0131larda, sadece d\u0131\u015f katmandaki sertifikay\u0131 g\u00fcncellemek yetmiyor. \u0130\u00e7 trafi\u011finizde de TLS s\u00fcr\u00fcm\u00fc ve \u015fifre politikas\u0131 belirlemeniz gerekiyor. \u00d6zellikle SaaS ve \u00e7ok kirac\u0131l\u0131 uygulamalarda bu mimariyi nas\u0131l kurman\u0131z gerekti\u011fini, \u00e7ok kirac\u0131l\u0131 yap\u0131 ve otomatik SSL bak\u0131\u015f a\u00e7\u0131s\u0131yla anlatt\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/saaste-ozel-alan-adlari-ve-otomatik-ssl-dns%e2%80%9101-ile-cok-kiracili-mimarini-nasil-tatli-tatli-olceklersin\/\">\u00f6zel alan adlar\u0131 ve otomatik SSL rehberimiz<\/a> bu a\u00e7\u0131dan olduk\u00e7a yol g\u00f6sterici.<\/p>\n<h2><span id=\"Ornek_Senaryolar_Gercek_Hayatta_Ne_Zaman_Alarm_Zili_Calmali\">\u00d6rnek Senaryolar: Ger\u00e7ek Hayatta Ne Zaman Alarm Zili \u00c7almal\u0131?<\/span><\/h2>\n<h3><span id=\"Senaryo_1_E-ticaret_sitesinde_sepet_adiminda_terk_orani_artiyor\">Senaryo 1: E-ticaret sitesinde sepet ad\u0131m\u0131nda terk oran\u0131 art\u0131yor<\/span><\/h3>\n<p>Bir m\u00fc\u015fterimizin e-ticaret projesinde, \u00f6zellikle \u00f6deme ad\u0131m\u0131nda terk oranlar\u0131n\u0131n artt\u0131\u011f\u0131n\u0131 fark ettik. Analiz s\u0131ras\u0131nda:<\/p>\n<ul>\n<li>\u00d6deme sayfas\u0131 alt alan ad\u0131nda eski bir TLS konfig\u00fcrasyonu kullan\u0131ld\u0131\u011f\u0131,<\/li>\n<li>TLS 1.0\/1.1\u2019in hala a\u00e7\u0131k oldu\u011fu,<\/li>\n<li>Taray\u0131c\u0131lar\u0131n bazen g\u00fcvenlik uyar\u0131s\u0131 g\u00f6sterdi\u011fi,<\/li>\n<\/ul>\n<p>ortaya \u00e7\u0131kt\u0131. TLS politikas\u0131n\u0131 TLS 1.2\/1.3\u2019e \u00e7ekip, g\u00fc\u00e7l\u00fc \u015fifre setlerini devreye ald\u0131ktan ve HSTS ekledikten sonra, sepet terk oranlar\u0131nda \u00f6l\u00e7\u00fclebilir bir iyile\u015fme g\u00f6rd\u00fck. Buradaki ders: <strong>G\u00fcvenlik g\u00fcncellemeleri sadece sald\u0131r\u0131lar\u0131 engellemez, d\u00f6n\u00fc\u015f\u00fcm oranlar\u0131n\u0131z\u0131 da etkiler.<\/strong><\/p>\n<h3><span id=\"Senaryo_2_Ajansin_yonettigi_40_musterili_hosting_hesabinda_sertifika_krizi\">Senaryo 2: Ajans\u0131n y\u00f6netti\u011fi 40+ m\u00fc\u015fterili hosting hesab\u0131nda sertifika krizi<\/span><\/h3>\n<p>Bir dijital ajans, onlarca m\u00fc\u015fterisinin sitesini tek bir hosting hesab\u0131nda y\u00f6netiyordu. Sertifikalar\u0131n bir k\u0131sm\u0131 manuel y\u00fcklenmi\u015f, bir k\u0131sm\u0131 otomatik yenileniyor, baz\u0131lar\u0131 ise ara sertifika hatalar\u0131ndan dolay\u0131 taray\u0131c\u0131larda uyar\u0131 veriyordu. Beraberce:<\/p>\n<ul>\n<li>T\u00fcm domain\u2019lerde ACME tabanl\u0131 otomatik yenilemeye ge\u00e7tik,<\/li>\n<li>CAA kay\u0131tlar\u0131n\u0131 d\u00fczenleyerek sadece belirli CA\u2019lara izin verdik,<\/li>\n<li>Panel d\u00fczeyinde merkezi bir SSL politikas\u0131 belirledik.<\/li>\n<\/ul>\n<p>Sonu\u00e7 olarak ajans, \u201csertifikam bitmi\u015f, site hata veriyor\u201d telefonlar\u0131n\u0131 b\u00fcy\u00fck oranda azaltabildi ve enerjisini daha de\u011ferli i\u015flere ay\u0131rmaya ba\u015flad\u0131.<\/p>\n<h3><span id=\"Senaryo_3_SaaS_uygulamasinda_HTTP3_gecisi_ve_TLS_ayarlari\">Senaryo 3: SaaS uygulamas\u0131nda HTTP\/3 ge\u00e7i\u015fi ve TLS ayarlar\u0131<\/span><\/h3>\n<p>Bir SaaS m\u00fc\u015fterimiz, d\u00fcnya genelinde kullan\u0131c\u0131lar\u0131 olan, yo\u011fun API trafi\u011fi bar\u0131nd\u0131ran bir uygulama i\u015fletiyordu. HTTP\/3 ve QUIC\u2019e ge\u00e7i\u015f yaparken \u015fu problemlerle kar\u015f\u0131la\u015ft\u0131k:<\/p>\n<ul>\n<li>Eski TLS ayarlar\u0131yla HTTP\/3 uyumlu olmayan baz\u0131 kombinasyonlar,<\/li>\n<li>CDN ve origin aras\u0131ndaki TLS politikas\u0131 tutars\u0131zl\u0131klar\u0131,<\/li>\n<li>Eski mobil istemcilerin beklenmedik ba\u011flant\u0131 sorunlar\u0131.<\/li>\n<\/ul>\n<p>Ad\u0131m ad\u0131m TLS 1.3 a\u011f\u0131rl\u0131kl\u0131 yap\u0131 kurup, HTTP\/2 ve HTTP\/3 i\u00e7in ortak bir \u015fifre seti belirledikten sonra, hem gecikme s\u00fcreleri d\u00fc\u015ft\u00fc hem de hatalar \u00f6nemli \u00f6l\u00e7\u00fcde azald\u0131. Bu t\u00fcr projelerde, HTTP\/3 planlarken TLS kap\u0131s\u0131n\u0131 ba\u015ftan d\u00fczg\u00fcn kurmak kritik.<\/p>\n<h2><span id=\"Adim_Adim_SSLTLS_Guvenlik_Guncelleme_Plani\">Ad\u0131m Ad\u0131m SSL\/TLS G\u00fcvenlik G\u00fcncelleme Plan\u0131<\/span><\/h2>\n<p>Teoriyi yeterince konu\u015ftuk; \u015fimdi uygulamaya \u00e7evirebilece\u011finiz bir kontrol listesi b\u0131rakal\u0131m. Bu ad\u0131mlar\u0131 bak\u0131ml\u0131 bir ortam i\u00e7in y\u0131lda en az 1\u20132 kez g\u00f6zden ge\u00e7irmenizi \u00f6neriyoruz.<\/p>\n<h3><span id=\"1_Envanter_cikarin\">1. Envanter \u00e7\u0131kar\u0131n<\/span><\/h3>\n<ul>\n<li>Hangi alan adlar\u0131 hangi sunucularda yay\u0131nlan\u0131yor?<\/li>\n<li>Hangi sertifikalar hangi domain\u2019lere atanm\u0131\u015f, biti\u015f tarihleri ne?<\/li>\n<li>Hangi panel veya otomasyon (cPanel, DirectAdmin, \u00f6zel scriptler) devrede?<\/li>\n<\/ul>\n<p>Da\u011f\u0131n\u0131k ortam\u0131 haritalamadan sa\u011fl\u0131kl\u0131 g\u00fcncelleme yapman\u0131z zor. \u00d6zellikle \u00e7oklu VPS veya hem bulut hem fiziksel sunucular\u0131n birlikte kullan\u0131ld\u0131\u011f\u0131 mimarilerde bu ad\u0131m\u0131 atlamay\u0131n.<\/p>\n<h3><span id=\"2_Mevcut_TLS_durumunu_test_edin\">2. Mevcut TLS durumunu test edin<\/span><\/h3>\n<p>Her kritik domain i\u00e7in:<\/p>\n<ul>\n<li>SSL Labs veya benzeri bir ara\u00e7la HTTPS raporu al\u0131n.<\/li>\n<li>TLS s\u00fcr\u00fcmleri, \u015fifre tak\u0131mlar\u0131, HSTS, OCSP stapling, sertifika zinciri gibi ba\u015fl\u0131klar\u0131 not edin.<\/li>\n<li>A\/B \u00f6nceliklendirmesi yap\u0131n: \u00d6nce \u00f6deme, admin, API gibi hassas u\u00e7lar, sonra i\u00e7erik siteleri.<\/li>\n<\/ul>\n<h3><span id=\"3_Hedef_politika_belirleyin\">3. Hedef politika belirleyin<\/span><\/h3>\n<p>\u00d6rne\u011fin orta ve uzun vade i\u00e7in \u015fu politikay\u0131 benimseyebilirsiniz:<\/p>\n<ul>\n<li>Protokoller: TLS 1.2 ve 1.3 a\u00e7\u0131k, di\u011ferleri kapal\u0131.<\/li>\n<li>\u015eifreler: ECDHE tabanl\u0131, AES-GCM ve ChaCha20-Poly1305 a\u011f\u0131rl\u0131kl\u0131.<\/li>\n<li>Sertifika: 90 g\u00fcn s\u00fcreli DV\/OV sertifikalar + otomatik yenileme.<\/li>\n<li>Ba\u015fl\u0131klar: HSTS (\u00f6nce k\u0131sa, sonra uzun max-age), temel HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131.<\/li>\n<\/ul>\n<p>TLS taraf\u0131ndaki hedefinizi net tan\u0131mlarsan\u0131z, her g\u00fcncellemede \u201cbiraz oradan biraz buradan\u201d yerine bilin\u00e7li ilerlemi\u015f olursunuz.<\/p>\n<h3><span id=\"4_Gelistirme_veya_staging_ortaminda_deneme_yapin\">4. Geli\u015ftirme veya staging ortam\u0131nda deneme yap\u0131n<\/span><\/h3>\n<p>Canl\u0131 ortama dokunmadan \u00f6nce, \u00f6zellikle VPS ve dedicated sunucularda staging ortam\u0131nda konfig\u00fcrasyonlar\u0131 deneyin. JSON, WebSocket, HTTP\/2 push veya gRPC gibi modern \u00f6zellikler kullan\u0131yorsan\u0131z, baz\u0131 eski istemcilerde beklenmedik sorunlar \u00e7\u0131kabilir. Bu noktada <a href=\"https:\/\/www.dchost.com\/blog\/httpden-httpse-gecis-rehberi-301-yonlendirme-hsts-ve-seoyu-korumak\/\">HTTP&#039;den HTTPS&#039;e ge\u00e7i\u015f rehberimizdeki<\/a> 301 y\u00f6nlendirme ve HSTS stratejilerini staging\u2019de test etmek \u00e7ok faydal\u0131 olur.<\/p>\n<h3><span id=\"5_Canli_ortama_kademeli_gecis\">5. Canl\u0131 ortama kademeli ge\u00e7i\u015f<\/span><\/h3>\n<p>\u00d6zellikle y\u00fcksek trafikli sitelerde bir anda t\u00fcm TLS politikas\u0131n\u0131 de\u011fi\u015ftirmek yerine:<\/p>\n<ul>\n<li>\u00d6nce TLS 1.0\/1.1\u2019i kapat\u0131n,<\/li>\n<li>Ard\u0131ndan zay\u0131f \u015fifreleri devre d\u0131\u015f\u0131 b\u0131rak\u0131n,<\/li>\n<li>Sonra HSTS\u2019i k\u0131sa s\u00fcreli (\u00f6rne\u011fin 1 g\u00fcn) ile ba\u015flat\u0131n,<\/li>\n<li>Her ad\u0131m sonras\u0131 loglar\u0131 ve hata raporlar\u0131n\u0131 izleyin.<\/li>\n<\/ul>\n<p>Bu \u015fekilde sorun ya\u015farsan\u0131z sebebi daha net izole edebilir, geri d\u00f6n\u00fc\u015f\u00fc (rollback) daha rahat yapabilirsiniz.<\/p>\n<h3><span id=\"6_Izleme_alarm_ve_periyodik_denetim\">6. \u0130zleme, alarm ve periyodik denetim<\/span><\/h3>\n<p>G\u00fcncellemeyi yapt\u0131ktan sonra i\u015f bitmiyor. A\u015fa\u011f\u0131dakileri al\u0131\u015fkanl\u0131k haline getirin:<\/p>\n<ul>\n<li>Sertifika biti\u015f tarihleri i\u00e7in otomatik alarm (monitoring arac\u0131, cron job, panel bildirimleri).<\/li>\n<li>Y\u0131lda en az bir kez SSL Labs veya e\u015fde\u011feri ile geni\u015f tarama.<\/li>\n<li>HTTP loglar\u0131nda TLS hatalar\u0131n\u0131, ba\u011flant\u0131 kesilmelerini periyodik olarak inceleme.<\/li>\n<\/ul>\n<p>Genel altyap\u0131 izleme yakla\u015f\u0131m\u0131n\u0131 merak ediyorsan\u0131z, <a href=\"https:\/\/www.dchost.com\/blog\/web-sitesi-uptime-izleme-ve-alarm-kurma-rehberi\/\">uptime izleme ve alarm kurma rehberimiz<\/a> iyi bir ba\u015flang\u0131\u00e7 noktas\u0131 olabilir; TLS hatalar\u0131n\u0131 da bu izlemenin par\u00e7as\u0131 haline getirebilirsiniz.<\/p>\n<h2><span id=\"DCHost_Uzerinde_SSLTLS_Guvenlik_Guncellemelerini_Nasil_Ele_Aliyoruz\">DCHost \u00dczerinde SSL\/TLS G\u00fcvenlik G\u00fcncellemelerini Nas\u0131l Ele Al\u0131yoruz?<\/span><\/h2>\n<p>Son olarak, bu i\u015fin bizim tarafta nas\u0131l g\u00f6r\u00fcnd\u00fc\u011f\u00fcnden k\u0131saca bahsedelim; b\u00f6ylece DCHost altyap\u0131s\u0131nda nelerin sizin ad\u0131n\u0131za otomatik yap\u0131ld\u0131\u011f\u0131n\u0131, neleri ise proje bazl\u0131 birlikte planlayabilece\u011fimizi netle\u015ftirelim.<\/p>\n<ul>\n<li><strong>Varsay\u0131lan TLS politikas\u0131:<\/strong> Yeni sunucularda TLS 1.2 + 1.3, g\u00fc\u00e7l\u00fc \u015fifre tak\u0131mlar\u0131 ve modern g\u00fcvenlik ba\u015fl\u0131klar\u0131 varsay\u0131lan.<\/li>\n<li><strong>Periyodik g\u00fcvenlik taramalar\u0131:<\/strong> Altyap\u0131 seviyesinde a\u00e7\u0131\u011fa \u00e7\u0131kan zay\u0131f \u015fifreler veya eski protokoller tespit edildi\u011finde, bunlar\u0131 merkezi olarak g\u00fcncelliyoruz.<\/li>\n<li><strong>Let\u2019s Encrypt ve ACME otomasyonu:<\/strong> Uygun ortamlarda sertifika \u00fcretim ve yenileme s\u00fcre\u00e7lerini sizin i\u00e7in otomatize ediyoruz.<\/li>\n<li><strong>Dan\u0131\u015fmanl\u0131k ve \u00f6zel konfig\u00fcrasyon:<\/strong> PCI DSS, KVKK uyumu, kurumsal TLS politikalar\u0131 gibi \u00f6zel gereksinimler i\u00e7in, \u00f6zellikle VPS, dedicated ve colocation m\u00fc\u015fterilerimize proje bazl\u0131 destek veriyoruz.<\/li>\n<\/ul>\n<p>\u00d6zetle; amac\u0131m\u0131z, SSL\/TLS taraf\u0131n\u0131 sizde \u201cg\u00fcncelleyelim mi, ertelesek mi?\u201d tart\u0131\u015fmas\u0131 olmaktan \u00e7\u0131kar\u0131p, <strong>bak\u0131m\u0131 yap\u0131lm\u0131\u015f, izlenen ve otomatikle\u015fmi\u015f bir altyap\u0131 bile\u015feni<\/strong> haline getirmek.<\/p>\n<h2><span id=\"Sonuc_SSLTLS_Guvenlik_Guncellemelerini_Ertelemenin_Bedeli\">Sonu\u00e7: SSL\/TLS G\u00fcvenlik G\u00fcncellemelerini Ertelemenin Bedeli<\/span><\/h2>\n<p>SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri, maalesef \u00e7o\u011fu ekipte \u201c\u015fu sprint bitsin bakar\u0131z\u201d listesinde bekleyen i\u015fler aras\u0131nda. Ancak tabloda ger\u00e7ek \u015fu: Her erteleme, riskinizi biraz daha b\u00fcy\u00fct\u00fcyor. Taray\u0131c\u0131 uyar\u0131lar\u0131, uyumsuzluk raporlar\u0131, potansiyel veri ihlalleri ve SEO kay\u0131plar\u0131 birikerek geliyor. \u00d6zellikle e-ticaret, SaaS, ajans portf\u00f6yleri ve kurumsal sitelerde bu bedel, do\u011frudan ciroya ve marka g\u00fcvenine yans\u0131yor.<\/p>\n<p>Bu yaz\u0131da, protokol s\u00fcr\u00fcmlerinden \u015fifre tak\u0131mlar\u0131na, sertifika zincirinden HSTS ve HTTP ba\u015fl\u0131klar\u0131na kadar, <strong>nerede neyi g\u00fcncellemeniz gerekti\u011fini<\/strong> netle\u015ftirmeye \u00e7al\u0131\u015ft\u0131k. Art\u0131k elinizde uygulamaya \u00e7evrilebilir bir kontrol listesi ve referans alabilece\u011finiz detayl\u0131 rehberler var. Bir sonraki ad\u0131m, bu ad\u0131mlar\u0131 ger\u00e7ek altyap\u0131n\u0131za uyarlamak.<\/p>\n<p>E\u011fer DCHost \u00fczerinde payla\u015f\u0131ml\u0131 hosting, VPS, dedicated sunucu veya colocation kullan\u0131yorsan\u0131z ve \u201cBizim TLS politikas\u0131 ne durumda?\u201d diye d\u00fc\u015f\u00fcn\u00fcyorsan\u0131z, destek ekibimize bir bilet a\u00e7man\u0131z yeterli. Mevcut konfig\u00fcrasyonunuzu birlikte g\u00f6zden ge\u00e7irip, size \u00f6zel bir <strong>SSL\/TLS g\u00fcvenlik g\u00fcncelleme plan\u0131<\/strong> \u00e7\u0131karabiliriz. B\u00f6ylece hem bug\u00fcn hem de gelecekte, HTTPS taraf\u0131nda ba\u015f\u0131n\u0131z a\u011fr\u0131madan, rahat bir \u015fekilde projelerinize odaklanabilirsiniz.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Son birka\u00e7 y\u0131lda yapt\u0131\u011f\u0131m\u0131z hemen her g\u00fcvenlik denetiminde ayn\u0131 tabloyla kar\u015f\u0131la\u015f\u0131yoruz: Web sitesi HTTPS kullan\u0131yor, taray\u0131c\u0131 adres \u00e7ubu\u011funda kilit simgesi g\u00f6r\u00fcn\u00fcyor, ancak sunucu taraf\u0131nda eski TLS s\u00fcr\u00fcmleri a\u00e7\u0131k, zay\u0131f \u015fifre tak\u0131mlar\u0131 hala etkin ve sertifika zincirinde hatalar var. Yani k\u0131saca: \u201cG\u00fcvenli g\u00f6r\u00fcn\u00fcyor\u201d ama ger\u00e7ekte riskler ciddi. \u0130\u015fte SSL\/TLS g\u00fcvenlik g\u00fcncellemeleri tam da bu noktada devreye [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":3281,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[32,33,25],"tags":[],"class_list":["post-3280","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-alan-adi","category-nasil-yapilir","category-sunucu"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/3280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=3280"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/3280\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/3281"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=3280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=3280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=3280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}