{"id":3322,"date":"2025-12-14T22:47:28","date_gmt":"2025-12-14T19:47:28","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/ssl-sertifika-standartlarinda-yeni-gelismeler\/"},"modified":"2025-12-14T22:47:28","modified_gmt":"2025-12-14T19:47:28","slug":"ssl-sertifika-standartlarinda-yeni-gelismeler","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/ssl-sertifika-standartlarinda-yeni-gelismeler\/","title":{"rendered":"SSL Sertifika Standartlar\u0131nda Yeni Geli\u015fmeler"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><p>SSL sertifika d\u00fcnyas\u0131 son y\u0131llarda hi\u00e7 olmad\u0131\u011f\u0131 kadar h\u0131zl\u0131 de\u011fi\u015fiyor. Taray\u0131c\u0131 \u00fcreticileri, CA\/B Forum kararlar\u0131, reg\u00fclasyonlar ve siber sald\u0131r\u0131 trendleri; sertifika standartlar\u0131n\u0131 s\u00fcrekli yukar\u0131 \u00e7ekiyor. Bu de\u011fi\u015fimlerin \u00e7o\u011fu do\u011frudan web sitenizi, e\u2011ticaret altyap\u0131n\u0131z\u0131, API u\u00e7lar\u0131n\u0131z\u0131 ve hatta e\u2011posta g\u00fcvenli\u011finizi etkiliyor. DCHost taraf\u0131nda yapt\u0131\u011f\u0131m\u0131z g\u00fcvenlik denetimlerinde en s\u0131k g\u00f6rd\u00fc\u011f\u00fcm\u00fcz sorun, bu de\u011fi\u015fikliklerin fark\u0131nda olunmamas\u0131 ve SSL taraf\u0131n\u0131n h\u00e2l\u00e2 \u201cbir kere kur, unut\u201d mant\u0131\u011f\u0131yla y\u00f6netilmeye \u00e7al\u0131\u015f\u0131lmas\u0131.<\/p>\n<p>Oysa art\u0131k tabloda \u00e7ok net bir de\u011fi\u015fim var: Sertifika s\u00fcreleri k\u0131sal\u0131yor, otomasyon zorunlu hale geliyor, domain do\u011frulama y\u00f6ntemleri s\u0131k\u0131la\u015f\u0131yor, kay\u0131t alt\u0131na al\u0131nmayan hi\u00e7bir sertifika taray\u0131c\u0131lar taraf\u0131ndan g\u00fcvenilir say\u0131lm\u0131yor. Buna TLS 1.3, ECDSA anahtarlar, CAA kay\u0131tlar\u0131, ACME otomasyonu ve mTLS gibi ba\u015fl\u0131klar da eklenince; SSL sertifika standartlar\u0131n\u0131 takip etmek, teknik borcu kontrol alt\u0131nda tutmak i\u00e7in kritik bir i\u015f kalemine d\u00f6n\u00fc\u015fm\u00fc\u015f durumda.<\/p>\n<p>Bu yaz\u0131da DCHost ekibi olarak sahada g\u00f6rd\u00fc\u011f\u00fcm\u00fcz ger\u00e7ek ihtiya\u00e7lara dayanarak, <strong>SSL sertifika standartlar\u0131nda son y\u0131llarda \u00f6ne \u00e7\u0131kan yeni geli\u015fmeleri<\/strong>, bunlar\u0131n hosting ve altyap\u0131 taraf\u0131na yans\u0131malar\u0131n\u0131 ve pratik yol haritalar\u0131n\u0131 ad\u0131m ad\u0131m ele alaca\u011f\u0131z. Amac\u0131m\u0131z; hem teknik ekiplerin, hem de i\u015fletme sahiplerinin \u00f6n\u00fcm\u00fczdeki 1\u20113 y\u0131l i\u00e7in net bir SSL\/TLS stratejisi olu\u015fturmas\u0131na yard\u0131mc\u0131 olmak.<\/p>\n<div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#SSL_sertifika_standartlari_neden_bu_kadar_hizli_degisiyor\"><span class=\"toc_number toc_depth_1\">1<\/span> SSL sertifika standartlar\u0131 neden bu kadar h\u0131zl\u0131 de\u011fi\u015fiyor?<\/a><\/li><li><a href=\"#Sertifika_sureleri_kisaliyor_398_gunden_90_gune_giden_yol\"><span class=\"toc_number toc_depth_1\">2<\/span> Sertifika s\u00fcreleri k\u0131sal\u0131yor: 398 g\u00fcnden 90 g\u00fcne giden yol<\/a><ul><li><a href=\"#Neden_daha_kisa_sertifika_sureleri_isteniyor\"><span class=\"toc_number toc_depth_2\">2.1<\/span> Neden daha k\u0131sa sertifika s\u00fcreleri isteniyor?<\/a><\/li><li><a href=\"#Isletmeler_icin_ne_anlama_geliyor\"><span class=\"toc_number toc_depth_2\">2.2<\/span> \u0130\u015fletmeler i\u00e7in ne anlama geliyor?<\/a><\/li><\/ul><\/li><li><a href=\"#Domain_dogrulama_standartlarinda_sikilasma_ACME_multiperspective_ve_CAA\"><span class=\"toc_number toc_depth_1\">3<\/span> Domain do\u011frulama standartlar\u0131nda s\u0131k\u0131la\u015fma: ACME, multi\u2011perspective ve CAA<\/a><ul><li><a href=\"#ACME_protokolu_ve_zorunlu_otomasyona_dogru_gidis\"><span class=\"toc_number toc_depth_2\">3.1<\/span> ACME protokol\u00fc ve zorunlu otomasyona do\u011fru gidi\u015f<\/a><\/li><li><a href=\"#Multiperspective_dogrulama_Sahte_zonelara_karsi_ek_guvenlik\"><span class=\"toc_number toc_depth_2\">3.2<\/span> Multi\u2011perspective do\u011frulama: Sahte zone\u2019lara kar\u015f\u0131 ek g\u00fcvenlik<\/a><\/li><li><a href=\"#CAA_kayitlari_zorunluluga_yakin_Hangi_CA_sertifika_verebilir\"><span class=\"toc_number toc_depth_2\">3.3<\/span> CAA kay\u0131tlar\u0131 zorunlulu\u011fa yak\u0131n: Hangi CA sertifika verebilir?<\/a><\/li><\/ul><\/li><li><a href=\"#Sertifika_transparansi_CT_log_zorunlulugu_ve_izlenebilirlik\"><span class=\"toc_number toc_depth_1\">4<\/span> Sertifika transparans\u0131 (CT), log zorunlulu\u011fu ve izlenebilirlik<\/a><ul><li><a href=\"#CT_neden_bu_kadar_kritik\"><span class=\"toc_number toc_depth_2\">4.1<\/span> CT neden bu kadar kritik?<\/a><\/li><\/ul><\/li><li><a href=\"#Kriptografik_standartlar_ECDSA_modern_cipherlar_ve_kuantuma_hazirlik\"><span class=\"toc_number toc_depth_1\">5<\/span> Kriptografik standartlar: ECDSA, modern cipher\u2019lar ve kuantuma haz\u0131rl\u0131k<\/a><ul><li><a href=\"#RSAdan_ECDSAya_gecis_Performans_ve_guvenlik_dengesi\"><span class=\"toc_number toc_depth_2\">5.1<\/span> RSA\u2019dan ECDSA\u2019ya ge\u00e7i\u015f: Performans ve g\u00fcvenlik dengesi<\/a><\/li><li><a href=\"#TLS_13_ve_modern_cipher_suiteler\"><span class=\"toc_number toc_depth_2\">5.2<\/span> TLS 1.3 ve modern cipher suite\u2019ler<\/a><\/li><li><a href=\"#Postquantum_kuantuma_dayanikli_sertifikalara_dogru_ilk_adimlar\"><span class=\"toc_number toc_depth_2\">5.3<\/span> Post\u2011quantum (kuantuma dayan\u0131kl\u0131) sertifikalara do\u011fru ilk ad\u0131mlar<\/a><\/li><\/ul><\/li><li><a href=\"#mTLS_istemci_sertifikalari_ve_Zero_Trust_mimarilerde_yeni_rol\"><span class=\"toc_number toc_depth_1\">6<\/span> mTLS, istemci sertifikalar\u0131 ve Zero Trust mimarilerde yeni rol<\/a><\/li><li><a href=\"#Otomasyon_olmadan_yeni_standartlara_uyum_mumkun_degil\"><span class=\"toc_number toc_depth_1\">7<\/span> Otomasyon olmadan yeni standartlara uyum m\u00fcmk\u00fcn de\u011fil<\/a><ul><li><a href=\"#Pratik_bir_otomasyon_stratejisi_nasil_kurulur\"><span class=\"toc_number toc_depth_2\">7.1<\/span> Pratik bir otomasyon stratejisi nas\u0131l kurulur?<\/a><\/li><\/ul><\/li><li><a href=\"#Standart_degisimlerini_somutlastirmak_Tipik_senaryolar\"><span class=\"toc_number toc_depth_1\">8<\/span> Standart de\u011fi\u015fimlerini somutla\u015ft\u0131rmak: Tipik senaryolar<\/a><ul><li><a href=\"#Senaryo_1_Orta_olcekli_eticaret_sitesi\"><span class=\"toc_number toc_depth_2\">8.1<\/span> Senaryo 1: Orta \u00f6l\u00e7ekli e\u2011ticaret sitesi<\/a><\/li><li><a href=\"#Senaryo_2_Cok_kiracili_SaaS_uygulamasi\"><span class=\"toc_number toc_depth_2\">8.2<\/span> Senaryo 2: \u00c7ok kirac\u0131l\u0131 SaaS uygulamas\u0131<\/a><\/li><li><a href=\"#Senaryo_3_Kurumsal_intranet_yonetim_panelleri_ve_mTLS\"><span class=\"toc_number toc_depth_2\">8.3<\/span> Senaryo 3: Kurumsal intranet, y\u00f6netim panelleri ve mTLS<\/a><\/li><\/ul><\/li><li><a href=\"#DCHost_altyapisinda_SSL_sertifika_standartlarina_nasil_hazirlaniyoruz\"><span class=\"toc_number toc_depth_1\">9<\/span> DCHost altyap\u0131s\u0131nda SSL sertifika standartlar\u0131na nas\u0131l haz\u0131rlan\u0131yoruz?<\/a><\/li><li><a href=\"#Ozet_Bundan_sonra_ne_yapmalisiniz\"><span class=\"toc_number toc_depth_1\">10<\/span> \u00d6zet: Bundan sonra ne yapmal\u0131s\u0131n\u0131z?<\/a><\/li><\/ul><\/div>\n<h2><span id=\"SSL_sertifika_standartlari_neden_bu_kadar_hizli_degisiyor\">SSL sertifika standartlar\u0131 neden bu kadar h\u0131zl\u0131 de\u011fi\u015fiyor?<\/span><\/h2>\n<p>\u00d6nce resme biraz uzaktan bakal\u0131m. SSL\/TLS ekosisteminde standartlar\u0131 belirleyen ba\u015fl\u0131ca akt\u00f6rler:<\/p>\n<ul>\n<li>Taray\u0131c\u0131 \u00fcreticileri (Chrome, Firefox, Safari vb.)<\/li>\n<li>\u0130\u015fletim sistemleri ve mobil platformlar<\/li>\n<li>Sertifika Otoriteleri (CA\u2019ler) ve CA\/B Forum<\/li>\n<li>IETF ve benzeri standart belirleyici kurumlar<\/li>\n<\/ul>\n<p>Bu akt\u00f6rler son y\u0131llarda \u00fc\u00e7 ana bask\u0131 alt\u0131nda hareket ediyor:<\/p>\n<ul>\n<li><strong>Siber sald\u0131r\u0131lar\u0131n artmas\u0131:<\/strong> Phishing siteleri, sahte sertifika alma giri\u015fimleri, \u00e7al\u0131nan private key\u2019ler, TLS downgrade sald\u0131r\u0131lar\u0131.<\/li>\n<li><strong>Reg\u00fclasyonlar ve uyumluluk:<\/strong> KVKK, GDPR, PCI DSS gibi \u00e7er\u00e7eveler; veri g\u00fcvenli\u011fini kanuni bir zorunluluk haline getirdi.<\/li>\n<li><strong>\u015eifreleme teknolojilerindeki ilerleme:<\/strong> TLS 1.3, modern \u015fifre tak\u0131mlar\u0131, ECDSA ve orta vadede post\u2011quantum (kuantuma dayan\u0131kl\u0131) algoritmalar.<\/li>\n<\/ul>\n<p>Bu bask\u0131lar\u0131n sonucu olarak; SSL sertifika standartlar\u0131 art\u0131k yaln\u0131zca \u201csertifika al \u2013 https\u2019e ge\u00e7\u201d seviyesini \u00e7oktan a\u015ft\u0131. Bug\u00fcn konu\u015ftu\u011fumuz ba\u015fl\u0131klar; <strong>maksimum sertifika s\u00fcresi<\/strong>, <strong>zorunlu otomasyon<\/strong>, <strong>sertifika transparans\u0131<\/strong>, <strong>DNS tabanl\u0131 kontroller (CAA, DNS\u201101)<\/strong>, <strong>mTLS<\/strong> ve <strong>post\u2011quantum haz\u0131rl\u0131klar\u0131<\/strong> gibi \u00e7ok daha detayl\u0131 konular.<\/p>\n<p>Bu \u00e7er\u00e7eveyi biraz daha derinle\u015ftirmek isterseniz, TLS taraf\u0131ndaki de\u011fi\u015fimleri teknik a\u00e7\u0131dan anlatt\u0131\u011f\u0131m\u0131z <a href='https:\/\/www.dchost.com\/blog\/tls-1-3-ve-modern-sifrelerin-sicacik-mutfagi-nginx-apachede-ocsp-stapling-hsts-preload-ve-pfs-nasil-kurulur\/'>TLS 1.3 ve modern \u015fifrelerin mutfa\u011f\u0131<\/a> yaz\u0131m\u0131za da g\u00f6z atabilirsiniz.<\/p>\n<h2><span id=\"Sertifika_sureleri_kisaliyor_398_gunden_90_gune_giden_yol\">Sertifika s\u00fcreleri k\u0131sal\u0131yor: 398 g\u00fcnden 90 g\u00fcne giden yol<\/span><\/h2>\n<p>SSL sertifika standartlar\u0131ndaki en somut de\u011fi\u015fimlerden biri, <strong>maksimum sertifika s\u00fcresi<\/strong>. Birka\u00e7 y\u0131l \u00f6nceye kadar 3 y\u0131la kadar sertifika almak m\u00fcmk\u00fcnd\u00fc; bug\u00fcn ise genel kabul g\u00f6rm\u00fc\u015f \u00fcst s\u0131n\u0131r yakla\u015f\u0131k 398 g\u00fcn (yakla\u015f\u0131k 13 ay). Taray\u0131c\u0131 \u00fcreticileri ve CA\/B Forum, bu s\u00fcrenin daha da k\u0131salmas\u0131 y\u00f6n\u00fcnde g\u00fc\u00e7l\u00fc bir irade ortaya koyuyor.<\/p>\n<h3><span id=\"Neden_daha_kisa_sertifika_sureleri_isteniyor\">Neden daha k\u0131sa sertifika s\u00fcreleri isteniyor?<\/span><\/h3>\n<ul>\n<li><strong>\u00c7al\u0131nan anahtarlar\u0131n etkisini azaltmak:<\/strong> Private key\u2019in s\u0131zmas\u0131 durumunda sald\u0131rgan\u0131n kullanabilece\u011fi s\u00fcre ne kadar k\u0131sa olursa, risk o kadar s\u0131n\u0131rl\u0131 olur.<\/li>\n<li><strong>Kimlik bilgilerinin g\u00fcncel kalmas\u0131:<\/strong> Organizasyon ad\u0131, alan adlar\u0131, IP aral\u0131klar\u0131, hukuk\u00ee bilgiler s\u0131k de\u011fi\u015fiyor; uzun s\u00fcreli sertifikalar h\u0131zla eskimi\u015f bilgi ta\u015f\u0131yabiliyor.<\/li>\n<li><strong>G\u00fcven zincirini s\u0131k tazelemek:<\/strong> CA taraf\u0131nda ya\u015fanan bir ihlalin etkilerinden h\u0131zl\u0131ca kurtulmak i\u00e7in; k\u0131sa s\u00fcreli sertifikalar \u00e7ok daha kolay y\u00f6netilebilir.<\/li>\n<\/ul>\n<p>Taray\u0131c\u0131 \u00fcreticilerinin orta vadeli hedefi; <strong>90 g\u00fcne kadar inen sertifika s\u00fcreleri<\/strong>. Hen\u00fcz herkes i\u00e7in zorunlu de\u011fil, ancak ekosistem bu y\u00f6ne do\u011fru h\u0131zla ilerliyor. Bu da manuel yenilemeyi pratikte imkans\u0131z hale getiriyor.<\/p>\n<h3><span id=\"Isletmeler_icin_ne_anlama_geliyor\">\u0130\u015fletmeler i\u00e7in ne anlama geliyor?<\/span><\/h3>\n<p>Bir\u00e7ok m\u00fc\u015fterimizde g\u00f6rd\u00fc\u011f\u00fcm\u00fcz tablo \u015fu: Sertifikalar h\u00e2l\u00e2 e\u2011posta hat\u0131rlatmalar\u0131 ve manuel paneller \u00fczerinden takip edilmeye \u00e7al\u0131\u015f\u0131l\u0131yor. Sertifika say\u0131s\u0131 10\u201115\u2019i ge\u00e7ti\u011finde, bu model hem operasyonel olarak yorucu oluyor hem de \u201csertifika bitti, site d\u00fc\u015ft\u00fc\u201d senaryosunu ka\u00e7\u0131n\u0131lmaz hale getiriyor.<\/p>\n<p>Yeni standartlara haz\u0131rlanmak i\u00e7in:<\/p>\n<ul>\n<li>En az\u0131ndan t\u00fcm DV sertifikalar\u0131n\u0131z\u0131 <strong>ACME otomasyonu<\/strong> ile y\u00f6netebilece\u011finiz bir altyap\u0131 kurun.<\/li>\n<li>OV\/EV gibi kurumsal sertifikalarda dahi, <strong>yenileme s\u00fcre\u00e7lerini takvimli ve dok\u00fcmante<\/strong> hale getirin.<\/li>\n<li>\u00dcretim, staging ve test ortamlar\u0131n\u0131n <strong>tamam\u0131nda<\/strong> sertifika yenileme senaryosunu denemeden canl\u0131ya g\u00fcvenmeyin.<\/li>\n<\/ul>\n<p>ACME tabanl\u0131 otomasyonun pratik taraf\u0131n\u0131 daha detayl\u0131 g\u00f6rmek isterseniz, <a href='https:\/\/www.dchost.com\/blog\/ssl-sertifika-otomasyonunda-yenilikler\/'>SSL sertifika otomasyonunda yenilikler<\/a> yaz\u0131m\u0131zdaki ad\u0131m ad\u0131m \u00f6rnekler size iyi bir ba\u015flang\u0131\u00e7 plan\u0131 verecektir.<\/p>\n<h2><span id=\"Domain_dogrulama_standartlarinda_sikilasma_ACME_multiperspective_ve_CAA\">Domain do\u011frulama standartlar\u0131nda s\u0131k\u0131la\u015fma: ACME, multi\u2011perspective ve CAA<\/span><\/h2>\n<p>SSL sertifika standartlar\u0131ndaki bir di\u011fer \u00f6nemli de\u011fi\u015fim; <strong>domain do\u011frulama (DV)<\/strong> taraf\u0131nda ya\u015fan\u0131yor. Eskiden yaln\u0131zca e\u2011posta ile onay veya basit bir HTTP do\u011frulamas\u0131 yeterliyken; bug\u00fcn bu s\u00fcre\u00e7 hem otomasyon hem de sahtecili\u011fi zorla\u015ft\u0131rma amac\u0131yla yeniden \u015fekilleniyor.<\/p>\n<h3><span id=\"ACME_protokolu_ve_zorunlu_otomasyona_dogru_gidis\">ACME protokol\u00fc ve zorunlu otomasyona do\u011fru gidi\u015f<\/span><\/h3>\n<p>ACME (Automatic Certificate Management Environment), Let\u2019s Encrypt ile hayat\u0131m\u0131za girdi ama art\u0131k yaln\u0131zca \u00fccretsiz DV sertifikalar\u0131n konusu de\u011fil; bir\u00e7ok CA, kurumsal senaryolar i\u00e7in de ACME sunucular\u0131 sa\u011flamaya ba\u015flad\u0131. Standartlar taraf\u0131nda ACME\u2019nin \u00f6nemi \u015fu noktalarda \u00f6ne \u00e7\u0131k\u0131yor:<\/p>\n<ul>\n<li><strong>Makine\u2011makine ileti\u015fim:<\/strong> Sertifika talebi, do\u011frulama ve yenileme i\u015flemleri API \u00fczerinden yap\u0131l\u0131yor.<\/li>\n<li><strong>Tekrarlanabilirlik:<\/strong> Ayn\u0131 domain i\u00e7in her ortamda (test, staging, prod) ayn\u0131 do\u011frulama ak\u0131\u015f\u0131 kurulabiliyor.<\/li>\n<li><strong>G\u00fcncel kalma:<\/strong> 90 g\u00fcnl\u00fck sertifikalarla bile insan m\u00fcdahalesi olmadan d\u00f6ng\u00fc tamamlanabiliyor.<\/li>\n<\/ul>\n<p>ACME challenge t\u00fcrlerini, HTTP\u201101, DNS\u201101 ve TLS\u2011ALPN\u201101 farklar\u0131yla birlikte ayr\u0131nt\u0131l\u0131 anlatt\u0131\u011f\u0131m\u0131z <a href='https:\/\/www.dchost.com\/blog\/acme-challenge-turleri-derinlemesine-http%e2%80%9101-dns%e2%80%9101-ve-tls%e2%80%91alpn%e2%80%9101-ne-zaman-hangisi\/'>ACME challenge t\u00fcrleri rehberimizi<\/a> bu yaz\u0131yla birlikte okursan\u0131z, yeni standartlar\u0131n pratik taraf\u0131 \u00e7ok daha net oturacakt\u0131r.<\/p>\n<h3><span id=\"Multiperspective_dogrulama_Sahte_zonelara_karsi_ek_guvenlik\">Multi\u2011perspective do\u011frulama: Sahte zone\u2019lara kar\u015f\u0131 ek g\u00fcvenlik<\/span><\/h3>\n<p>Baz\u0131 CA\u2019ler, <strong>multi\u2011perspective validation<\/strong> ad\u0131 verilen yeni bir yakla\u015f\u0131m\u0131 devreye al\u0131yor. Fikir \u015fu: Bir domain i\u00e7in DNS kayd\u0131 sorgulan\u0131rken, bu sorgu yaln\u0131zca tek bir noktadan de\u011fil, d\u00fcnyan\u0131n farkl\u0131 b\u00f6lgelerinde bulunan birden fazla resolver \u00fczerinden yap\u0131l\u0131yor.<\/p>\n<p>B\u00f6ylece;<\/p>\n<ul>\n<li>Sald\u0131rgan\u0131n yaln\u0131zca belirli bir a\u011fa y\u00f6nelik zehirlenmi\u015f DNS cevaplar\u0131 \u00fcretmesi daha zor hale geliyor.<\/li>\n<li>Anycast, b\u00f6lgesel DNS ve <a href='https:\/\/www.dchost.com\/blog\/dnssec-nedir-web-sitenizi-nasil-daha-guvenli-hale-getirir\/'>DNSSEC<\/a> gibi teknolojilerle birlikte, DNS taraf\u0131ndaki b\u00fct\u00fcnl\u00fck \u00e7ok daha sa\u011flam korunuyor.<\/li>\n<\/ul>\n<p>Bu, \u00f6zellikle <strong>kritik marka alan adlar\u0131<\/strong> ve <strong>y\u00fcksek hacimli e\u2011ticaret siteleri<\/strong> i\u00e7in \u00f6nemli; \u00e7\u00fcnk\u00fc phishing siteleri genellikle ger\u00e7ek sitelerin DNS yap\u0131lar\u0131n\u0131 taklit ederek kullan\u0131c\u0131lara sahte bir g\u00fcven hissi vermeye \u00e7al\u0131\u015f\u0131yor.<\/p>\n<h3><span id=\"CAA_kayitlari_zorunluluga_yakin_Hangi_CA_sertifika_verebilir\">CAA kay\u0131tlar\u0131 zorunlulu\u011fa yak\u0131n: Hangi CA sertifika verebilir?<\/span><\/h3>\n<p>CAA (Certification Authority Authorization) kay\u0131tlar\u0131, bir domain i\u00e7in <strong>hangi CA\u2019lerin sertifika verme yetkisine sahip oldu\u011funu<\/strong> DNS \u00fczerinden tan\u0131mlaman\u0131za yar\u0131yor. Standartlar d\u00fczeyinde CAA zaten uzun s\u00fcredir tan\u0131ml\u0131, fakat son y\u0131llarda taray\u0131c\u0131 ve CA taraf\u0131ndaki bask\u0131yla birlikte fiil\u00ee bir \u201cbest practice\u201dten neredeyse \u201czorunluya yak\u0131n\u201d bir noktaya ta\u015f\u0131nd\u0131.<\/p>\n<p>Temel avantajlar:<\/p>\n<ul>\n<li>Siz izin vermedik\u00e7e, ba\u015fka bir CA o domain i\u00e7in sertifika veremez.<\/li>\n<li>Yanl\u0131\u015fl\u0131kla al\u0131nan veya sald\u0131rgan\u0131n almaya \u00e7al\u0131\u015ft\u0131\u011f\u0131 sertifikalar \u00e7ok b\u00fcy\u00fck oranda engellenir.<\/li>\n<li>\u00c7oklu CA kullanan b\u00fcy\u00fck yap\u0131larda, hangi alt alan ad\u0131 i\u00e7in hangi CA\u2019nin yetkili oldu\u011funu netle\u015ftirebilirsiniz.<\/li>\n<\/ul>\n<p>CAA kay\u0131tlar\u0131n\u0131 detayl\u0131 i\u015fledi\u011fimiz <a href='https:\/\/www.dchost.com\/blog\/caa-kayitlari-derinlemesine-neden-nasil-ve-ne-zaman-coklu%e2%80%91caya-gecmelisin\/'>CAA kay\u0131tlar\u0131 derinlemesine rehberimizde<\/a>, tek CA\u2019li basit yap\u0131lardan \u00e7oklu CA stratejisine ge\u00e7en kurumsal yap\u0131lara kadar pratik \u00f6rnekler bulabilirsiniz.<\/p>\n<h2><span id=\"Sertifika_transparansi_CT_log_zorunlulugu_ve_izlenebilirlik\">Sertifika transparans\u0131 (CT), log zorunlulu\u011fu ve izlenebilirlik<\/span><\/h2>\n<p>SSL sertifika standartlar\u0131ndaki en \u00f6nemli g\u00fcvenlik ad\u0131mlar\u0131ndan biri de <strong>Certificate Transparency (CT)<\/strong> zorunlulu\u011fu. Bug\u00fcn b\u00fcy\u00fck taray\u0131c\u0131lar, <strong>genel (public) olarak kullan\u0131lacak t\u00fcm sertifikalar\u0131n onayl\u0131 CT loglar\u0131na kaydedilmi\u015f olmas\u0131n\u0131<\/strong> bekliyor.<\/p>\n<h3><span id=\"CT_neden_bu_kadar_kritik\">CT neden bu kadar kritik?<\/span><\/h3>\n<ul>\n<li><strong>\u0130zlenebilirlik:<\/strong> Her sertifika herkese a\u00e7\u0131k loglarda g\u00f6r\u00fcnd\u00fc\u011f\u00fc i\u00e7in, bir domain i\u00e7in yetkisiz al\u0131nm\u0131\u015f sertifikalar\u0131 tespit etmek m\u00fcmk\u00fcn hale geliyor.<\/li>\n<li><strong>Geriye d\u00f6n\u00fck inceleme:<\/strong> Bir g\u00fcvenlik olay\u0131 ya\u015fand\u0131\u011f\u0131nda, ilgili d\u00f6nemde hangi sertifikalar\u0131n \u00fcretildi\u011fini inceleyebiliyorsunuz.<\/li>\n<li><strong>CA denetimi:<\/strong> Sertifika otoritelerinin hatal\u0131 veya k\u00f6t\u00fc niyetli davran\u0131\u015flar\u0131 geriye d\u00f6n\u00fck olarak incelenebiliyor.<\/li>\n<\/ul>\n<p>Uygulama taraf\u0131nda CT loglar\u0131n\u0131 do\u011frudan y\u00f6netmeniz gerekmiyor; ama \u015fu noktalar\u0131 takip etmeniz \u00f6nemli:<\/p>\n<ul>\n<li>Kulland\u0131\u011f\u0131n\u0131z CA\u2019nin CT gerekliliklerini kar\u015f\u0131lay\u0131p kar\u015f\u0131lamad\u0131\u011f\u0131ndan emin olun.<\/li>\n<li>Kurumsal yap\u0131n\u0131z b\u00fcy\u00fckse, domainleriniz i\u00e7in <strong>CT log izleme<\/strong> (certificate monitoring) kurmay\u0131 d\u00fc\u015f\u00fcn\u00fcn.<\/li>\n<li>Phishing ve marka koruma ekipleriyle CT verilerini entegre kullanarak, alan ad\u0131n\u0131zla ilgili sahte sertifika giri\u015fimlerini daha erken yakalay\u0131n.<\/li>\n<\/ul>\n<h2><span id=\"Kriptografik_standartlar_ECDSA_modern_cipherlar_ve_kuantuma_hazirlik\">Kriptografik standartlar: ECDSA, modern cipher\u2019lar ve kuantuma haz\u0131rl\u0131k<\/span><\/h2>\n<p>SSL sertifika standartlar\u0131ndaki de\u011fi\u015fim yaln\u0131zca prosed\u00fcrel de\u011fil; <strong>kriptografi taraf\u0131nda da ciddi bir evrim<\/strong> ya\u015fan\u0131yor. DCHost taraf\u0131nda TLS yap\u0131land\u0131rmas\u0131 yaparken en \u00e7ok \u00fcst\u00fcnde durdu\u011fumuz ba\u015fl\u0131klar \u015funlar:<\/p>\n<h3><span id=\"RSAdan_ECDSAya_gecis_Performans_ve_guvenlik_dengesi\">RSA\u2019dan ECDSA\u2019ya ge\u00e7i\u015f: Performans ve g\u00fcvenlik dengesi<\/span><\/h3>\n<p>Geleneksel olarak sertifikalar \u00e7o\u011funlukla RSA anahtarlar\u0131yla \u00fcretilirdi. G\u00fcncel standartlar RSA\u2019y\u0131 tamamen terk etmeye zorlam\u0131yor; ancak giderek daha fazla <strong>ECDSA anahtarlar\u0131<\/strong> te\u015fvik ediliyor. Nedeni net:<\/p>\n<ul>\n<li>Daha k\u0131sa anahtar boyutuyla ayn\u0131 g\u00fcvenlik seviyesini sunar.<\/li>\n<li>Daha h\u0131zl\u0131 handshake ve daha d\u00fc\u015f\u00fck CPU kullan\u0131m\u0131 sa\u011flar.<\/li>\n<li>\u00d6zellikle y\u00fcksek trafikli sitelerde, TLS terminasyon y\u00fck\u00fcn\u00fc hissedilir \u015fekilde azalt\u0131r.<\/li>\n<\/ul>\n<p>Uyumluluk amac\u0131yla bir\u00e7ok senaryoda <strong>hem RSA hem ECDSA sertifikan\u0131n ayn\u0131 anda sunuldu\u011fu ikili yap\u0131<\/strong> tercih ediliyor. Bu yap\u0131y\u0131 Nginx ve Apache \u00fczerinde nas\u0131l kuraca\u011f\u0131n\u0131z\u0131; <a href='https:\/\/www.dchost.com\/blog\/nginx-apachede-ecdsa-rsa-ikili-ssl-uyumluluk-mu-hiz-mi-ikisini-birden-nasil-alirsin\/'>ECDSA + RSA ikili SSL rehberimizde<\/a> ad\u0131m ad\u0131m anlatt\u0131k.<\/p>\n<h3><span id=\"TLS_13_ve_modern_cipher_suiteler\">TLS 1.3 ve modern cipher suite\u2019ler<\/span><\/h3>\n<p>Taray\u0131c\u0131 ve g\u00fcvenlik topluluklar\u0131n\u0131n ortak karar\u0131 net: <strong>TLS 1.3 zorunlu hedef<\/strong>, TLS 1.2 ge\u00e7i\u015f d\u00f6nemi, TLS 1.0\/1.1 ise fiilen tamamen devre d\u0131\u015f\u0131. Yeni sertifika standartlar\u0131; protokol seviyesinde \u015fu noktalara dikkat \u00e7ekiyor:<\/p>\n<ul>\n<li>TLS 1.0 ve 1.1\u2019in tamamen kapat\u0131lmas\u0131.<\/li>\n<li>TLS 1.2\u2019de zay\u0131f cipher suite\u2019lerin (\u00f6rne\u011fin baz\u0131 CBC tabanl\u0131 paketler) devre d\u0131\u015f\u0131 b\u0131rak\u0131lmas\u0131.<\/li>\n<li>TLS 1.3\u2019te forward secrecy sa\u011flayan modern paketlerin tercih edilmesi.<\/li>\n<\/ul>\n<p>Bu konu yaln\u0131zca sertifikan\u0131n kendisiyle ilgili de\u011fil; <strong>web sunucusu, load balancer ve WAF konfig\u00fcrasyonunuzla da do\u011frudan ba\u011flant\u0131l\u0131<\/strong>. Detayl\u0131 bir TLS sertle\u015ftirme yol haritas\u0131 i\u00e7in, hem protokol hem de \u015fifre listelerini ele ald\u0131\u011f\u0131m\u0131z <a href='https:\/\/www.dchost.com\/blog\/ssl-tls-protokol-guncellemeleri-modern-https-icin-net-yol-haritasi\/'>SSL\/TLS protokol g\u00fcncellemeleri rehberimize<\/a> mutlaka g\u00f6z at\u0131n.<\/p>\n<h3><span id=\"Postquantum_kuantuma_dayanikli_sertifikalara_dogru_ilk_adimlar\">Post\u2011quantum (kuantuma dayan\u0131kl\u0131) sertifikalara do\u011fru ilk ad\u0131mlar<\/span><\/h3>\n<p>Kuantum bilgisayarlar\u0131n pratik sald\u0131r\u0131 kapasitesine ula\u015fmas\u0131na daha zaman olsa da, SSL sertifika standartlar\u0131nda <strong>post\u2011quantum haz\u0131rl\u0131k<\/strong> \u00e7oktan ba\u015flad\u0131. Bug\u00fcn i\u00e7in \u00fcretim ortam\u0131nda yayg\u0131n de\u011fil, fakat standart taraf\u0131ndaki hareketlere \u015fimdiden kulak kabartmakta fayda var:<\/p>\n<ul>\n<li>Yeni taslaklar; klasik (\u00f6rne\u011fin ECDSA) ve post\u2011quantum algoritmalar\u0131n <strong>hibrit<\/strong> olarak kullan\u0131ld\u0131\u011f\u0131 sertifika yap\u0131lar\u0131 tarif ediyor.<\/li>\n<li>Baz\u0131 CA ve taray\u0131c\u0131 kombinasyonlar\u0131nda test ama\u00e7l\u0131 PQ anahtar denemeleri yap\u0131l\u0131yor.<\/li>\n<li>Kurumsal tarafta kriptografik envanter (hangi uygulamada hangi algoritma kullan\u0131l\u0131yor?) \u00e7\u0131karma yakla\u015f\u0131m\u0131 giderek zorunlu hale geliyor.<\/li>\n<\/ul>\n<p>Bug\u00fcn at\u0131lmas\u0131 gereken ad\u0131m, prod ortamda PQ sertifika da\u011f\u0131tmak de\u011fil; <strong>altyap\u0131n\u0131z\u0131n TLS ve k\u00fct\u00fcphane seviyesinde modern, g\u00fcncel ve esnek<\/strong> oldu\u011fundan emin olmak. B\u00f6ylece birka\u00e7 y\u0131l i\u00e7inde hibrit sertifikalar yayg\u0131nla\u015ft\u0131\u011f\u0131nda, mimarinizi k\u00f6kten de\u011fi\u015ftirmek zorunda kalmazs\u0131n\u0131z.<\/p>\n<h2><span id=\"mTLS_istemci_sertifikalari_ve_Zero_Trust_mimarilerde_yeni_rol\">mTLS, istemci sertifikalar\u0131 ve Zero Trust mimarilerde yeni rol<\/span><\/h2>\n<p>SSL sertifika denince \u00e7o\u011funluk yaln\u0131zca sunucu taraf\u0131ndaki sertifikay\u0131 d\u00fc\u015f\u00fcn\u00fcr. Oysa standartlardaki \u00f6nemli bir geli\u015fme de <strong>istemci sertifikalar\u0131<\/strong> ve <strong>mTLS (mutual TLS)<\/strong> taraf\u0131nda ya\u015fan\u0131yor. \u00d6zellikle Zero Trust yakla\u015f\u0131mlar\u0131n\u0131n y\u00fckseli\u015fiyle birlikte:<\/p>\n<ul>\n<li>Y\u00f6netim panellerine eri\u015fimde IP k\u0131s\u0131tlamas\u0131na ek olarak, istemci sertifikas\u0131 zorunlu tutuluyor.<\/li>\n<li>Mikroservisler aras\u0131 ileti\u015fim mTLS ile g\u00fcvene al\u0131n\u0131yor.<\/li>\n<li>VPN yerine, yaln\u0131zca sertifikaya sahip cihazlar\u0131n eri\u015febildi\u011fi servis tasar\u0131mlar\u0131 yayg\u0131nla\u015f\u0131yor.<\/li>\n<\/ul>\n<p>Bu yakla\u015f\u0131mda SSL sertifika standartlar\u0131 yaln\u0131zca \u201cweb sitenize d\u0131\u015far\u0131dan gelen trafi\u011fi\u201d de\u011fil; ayn\u0131 zamanda <strong>i\u00e7 servisleriniz ve y\u00f6netim katman\u0131n\u0131z\u0131<\/strong> da kaps\u0131yor.<\/p>\n<p>\u00d6rne\u011fin; Nginx \u00fczerinde mTLS kurulumunu ad\u0131m ad\u0131m anlatt\u0131\u011f\u0131m\u0131z <a href='https:\/\/www.dchost.com\/blog\/nginx-ve-caddyde-mtls-nasil-kurulur-mikroservislerde-sertifika-dogrulamanin-tatli-sirlari\/'>Nginx ve Caddy\u2019de mTLS rehberi<\/a>, Zero Trust yakla\u015f\u0131m\u0131na ge\u00e7mek isteyen ekipler i\u00e7in olduk\u00e7a pratik bir ba\u015flang\u0131\u00e7 noktas\u0131 sunuyor.<\/p>\n<h2><span id=\"Otomasyon_olmadan_yeni_standartlara_uyum_mumkun_degil\">Otomasyon olmadan yeni standartlara uyum m\u00fcmk\u00fcn de\u011fil<\/span><\/h2>\n<p>Bug\u00fcne kadar anlatt\u0131\u011f\u0131m\u0131z t\u00fcm trendlerin ortak sonucu \u00e7ok net: <strong>Otomasyon olmadan modern SSL sertifika standartlar\u0131na tam uyum m\u00fcmk\u00fcn de\u011fil<\/strong>. DCHost taraf\u0131nda m\u00fc\u015fterilerle yapt\u0131\u011f\u0131m\u0131z planlama toplant\u0131lar\u0131nda en \u00e7ok \u015fu soruyla kar\u015f\u0131la\u015f\u0131yoruz:<\/p>\n<p>\u201cBizim 30\u201140 adet alan ad\u0131m\u0131z var, her birinin alt alanlar\u0131 ve farkl\u0131 ortamlar\u0131 var. Bunlar\u0131n sertifikalar\u0131n\u0131 manuel takip etmek art\u0131k imkans\u0131z hale geldi, ne yapmal\u0131y\u0131z?\u201d<\/p>\n<h3><span id=\"Pratik_bir_otomasyon_stratejisi_nasil_kurulur\">Pratik bir otomasyon stratejisi nas\u0131l kurulur?<\/span><\/h3>\n<p>A\u015fama a\u015fama ilerlemek en sa\u011fl\u0131kl\u0131s\u0131d\u0131r:<\/p>\n<ol>\n<li><strong>Envanter \u00e7\u0131kar\u0131n:<\/strong> Hangi domain, hangi subdomain, hangi ortamda hangi sertifikay\u0131 kullan\u0131yor? OV\/EV mi, DV mi, wildcard m\u0131?<\/li>\n<li><strong>Risk \u00f6nceli\u011fi verin:<\/strong> \u00d6nce kamuya a\u00e7\u0131k, y\u00fcksek trafikli ve \u00f6deme alan sitelerinizin sertifika s\u00fcre\u00e7lerini otomatikle\u015ftirin.<\/li>\n<li><strong>ACME sunucusu ve istemcilerini se\u00e7in:<\/strong> cPanel, Plesk, DirectAdmin, Nginx, Apache, Kubernetes gibi bile\u015fenlerinizde ACME istemcilerini standardize edin.<\/li>\n<li><strong>DNS entegrasyonunu planlay\u0131n:<\/strong> \u00d6zellikle wildcard sertifikalar i\u00e7in DNS\u201101 challenge\u2019\u0131 destekleyecek bir DNS otomasyonu kurun.<\/li>\n<li><strong>\u0130zleme ve alarm ekleyin:<\/strong> Sertifika biti\u015f tarihlerini ve otomatik yenileme hatalar\u0131n\u0131 izleme sisteminize entegre edin.<\/li>\n<\/ol>\n<p>Daha ileri senaryolarda, <a href='https:\/\/www.dchost.com\/blog\/acme-otomasyonunda-yedekli-ca-nasil-kurulur-acme-sh-ile-lets-encrypt-%e2%86%92-zerossl-fallback-oran-limitlerine-karsi-guvenli-olcekleme\/'>ACME otomasyonunda yedekli CA tasar\u0131m\u0131<\/a> veya <a href='https:\/\/www.dchost.com\/blog\/saaste-ozel-alan-adlari-ve-otomatik-ssl-dns%e2%80%9101-ile-cok-kiracili-mimarini-nasil-tatli-tatli-olceklersin\/'>SaaS uygulamalar\u0131nda otomatik SSL mimarisi<\/a> gibi daha karma\u015f\u0131k ama esnek yap\u0131lara da ge\u00e7mek m\u00fcmk\u00fcn.<\/p>\n<h2><span id=\"Standart_degisimlerini_somutlastirmak_Tipik_senaryolar\">Standart de\u011fi\u015fimlerini somutla\u015ft\u0131rmak: Tipik senaryolar<\/span><\/h2>\n<h3><span id=\"Senaryo_1_Orta_olcekli_eticaret_sitesi\">Senaryo 1: Orta \u00f6l\u00e7ekli e\u2011ticaret sitesi<\/span><\/h3>\n<p>Bir\u00e7ok m\u00fc\u015fterimizin profilini yans\u0131tan bu senaryoda:<\/p>\n<ul>\n<li>1 ana domain, 3\u20114 alt alan (www, api, panel, static) bulunuyor.<\/li>\n<li>WordPress + WooCommerce veya \u00f6zel geli\u015ftirilmi\u015f bir PHP\/Laravel altyap\u0131s\u0131 kullan\u0131l\u0131yor.<\/li>\n<li>\u00d6deme sayfas\u0131 PCI DSS gerekliliklerine tabi.<\/li>\n<\/ul>\n<p>Yeni SSL standartlar\u0131 a\u00e7\u0131s\u0131ndan yap\u0131lmas\u0131 gereken minimumlar:<\/p>\n<ul>\n<li>TLS 1.0 ve 1.1 tamamen kapat\u0131lmal\u0131, TLS 1.3 aktif hale getirilmeli.<\/li>\n<li>Sertifika s\u00fcresi en fazla 398 g\u00fcn olacak \u015fekilde planlanmal\u0131; m\u00fcmk\u00fcnse 90 g\u00fcnl\u00fck otomatik yenileme tercih edilmeli.<\/li>\n<li>CAA kay\u0131tlar\u0131 ile hangi CA\u2019nin sertifika verebilece\u011fi DNS taraf\u0131nda s\u0131n\u0131rland\u0131r\u0131lmal\u0131.<\/li>\n<li>HSTS, OCSP stapling ve modern cipher suite\u2019ler etkinle\u015ftirilmeli.<\/li>\n<\/ul>\n<p>WooCommerce taraf\u0131nda PCI DSS uyumlulu\u011funu b\u00fct\u00fcnsel olarak ele ald\u0131\u011f\u0131m\u0131z <a href='https:\/\/www.dchost.com\/blog\/pci-dss-uyumlu-woocommerce-hosting-kontrol-listesi-saq-a-mi-a%e2%80%91ep-mi-tlste-nereden-baslamaliyiz\/'>WooCommerce i\u00e7in PCI DSS hosting kontrol listesi<\/a> de bu senaryo i\u00e7in tamamlay\u0131c\u0131 bir rehber olacakt\u0131r.<\/p>\n<h3><span id=\"Senaryo_2_Cok_kiracili_SaaS_uygulamasi\">Senaryo 2: \u00c7ok kirac\u0131l\u0131 SaaS uygulamas\u0131<\/span><\/h3>\n<p>\u00d6zellikle B2B SaaS d\u00fcnyas\u0131nda yayg\u0131n olan bu modelde:<\/p>\n<ul>\n<li>Her m\u00fc\u015fteriye kendi alt alan\u0131 veriliyor (musteri1.ornek.com, musteri2.ornek.com).<\/li>\n<li>Baz\u0131 m\u00fc\u015fteriler, kendi alan adlar\u0131n\u0131 sisteme getirip CNAME ile ba\u011flamak istiyor.<\/li>\n<li>Y\u00fczlerce, hatta binlerce sertifikay\u0131 manuel y\u00f6netmek m\u00fcmk\u00fcn de\u011fil.<\/li>\n<\/ul>\n<p>Burada yeni standartlar\u0131n dayatt\u0131\u011f\u0131 \u00e7\u00f6z\u00fcm \u00e7ok net: <strong>ACME + DNS\u201101 otomasyonu ile tam otomatik SSL mimarisi<\/strong>. DCHost olarak \u00f6zellikle SaaS m\u00fc\u015fterilerimizde:<\/p>\n<ul>\n<li>Wildcard sertifikalarla temel domain yap\u0131s\u0131n\u0131 g\u00fcvene al\u0131yor,<\/li>\n<li>M\u00fc\u015fteri \u00f6zel alan adlar\u0131 i\u00e7in DNS\u201101 ile otomatik sertifika \u00fcreten bir ACME ak\u0131\u015f\u0131 kuruyoruz,<\/li>\n<li>Sertifika biti\u015f tarihleri ve hata durumlar\u0131n\u0131 merkezi izleme ile takip ediyoruz.<\/li>\n<\/ul>\n<p>Bu modelin mimari detaylar\u0131n\u0131 merak ediyorsan\u0131z, <a href='https:\/\/www.dchost.com\/blog\/saaste-ozel-alan-adlari-ve-otomatik-ssl-dns%e2%80%9101-ile-cok-kiracili-mimarini-nasil-tatli-tatli-olceklersin\/'>SaaS\u2019te \u00f6zel alan adlar\u0131 ve otomatik SSL rehberi<\/a> tam size g\u00f6re.<\/p>\n<h3><span id=\"Senaryo_3_Kurumsal_intranet_yonetim_panelleri_ve_mTLS\">Senaryo 3: Kurumsal intranet, y\u00f6netim panelleri ve mTLS<\/span><\/h3>\n<p>Kurumsal yap\u0131larda \u00e7o\u011fu zaman as\u0131l kritik veriler, d\u0131\u015f d\u00fcnyaya kapal\u0131 intranet uygulamalar\u0131nda, y\u00f6netim panellerinde ve i\u00e7 API\u2019lerde ta\u015f\u0131n\u0131r. Yeni SSL standartlar\u0131 bu alan\u0131 da kapsayacak \u015fekilde geni\u015fliyor; \u00f6zellikle de Zero Trust g\u00fcvenlik modelinin yayg\u0131nla\u015fmas\u0131yla.<\/p>\n<p>Burada uygulanabilecek stratejiler:<\/p>\n<ul>\n<li>Y\u00f6netim panellerine yaln\u0131zca mTLS ile, kurumsal istemci sertifikas\u0131na sahip cihazlar\u0131n eri\u015fmesine izin vermek.<\/li>\n<li>\u0130\u00e7 mikroservislerin tamam\u0131 aras\u0131nda mTLS zorunlu hale getirerek, a\u011f i\u00e7indeki yatay hareket (lateral movement) riskini azaltmak.<\/li>\n<li>\u0130\u00e7 CA altyap\u0131s\u0131n\u0131 modernle\u015ftirerek, k\u0131sa s\u00fcreli istemci sertifikalar\u0131 ve otomatik yenileme ak\u0131\u015flar\u0131 kurmak.<\/li>\n<\/ul>\n<p>B\u00f6yle bir mimari, klasik \u201cVPN + IP k\u0131s\u0131tlamas\u0131\u201d modeline g\u00f6re hem daha esnek hem de daha izlenebilir bir yap\u0131 sunuyor.<\/p>\n<h2><span id=\"DCHost_altyapisinda_SSL_sertifika_standartlarina_nasil_hazirlaniyoruz\">DCHost altyap\u0131s\u0131nda SSL sertifika standartlar\u0131na nas\u0131l haz\u0131rlan\u0131yoruz?<\/span><\/h2>\n<p>DCHost olarak hem <a href=\"https:\/\/www.dchost.com\/tr\/web-hosting\">payla\u015f\u0131ml\u0131 hosting<\/a>, hem <a href=\"https:\/\/www.dchost.com\/tr\/vps\">VPS<\/a>, hem <a href=\"https:\/\/www.dchost.com\/tr\/fiziksel-sunucu\">dedicated sunucu<\/a> hem de colocation altyap\u0131lar\u0131m\u0131zda SSL\/TLS taraf\u0131n\u0131 uzun s\u00fcredir bir \u201cek \u00f6zellik\u201d de\u011fil, <strong>temel g\u00fcvenlik bile\u015feni<\/strong> olarak konumland\u0131r\u0131yoruz. Yeni standartlara uyum i\u00e7in i\u00e7erde att\u0131\u011f\u0131m\u0131z baz\u0131 ad\u0131mlar:<\/p>\n<ul>\n<li>Yeni kurulan t\u00fcm web sunucular\u0131nda TLS 1.3\u2019\u00fc varsay\u0131lan olarak aktif hale getirmek.<\/li>\n<li>Haz\u0131r kurulum \u015fablonlar\u0131m\u0131zda ECDSA + RSA ikili sertifika mimarisini desteklemek.<\/li>\n<li>cPanel ve benzeri panellerde Let\u2019s Encrypt veya e\u015fde\u011fer ACME sa\u011flay\u0131c\u0131lar\u0131n\u0131 etkinle\u015ftirerek; otomatik DV sertifika kurulumunu varsay\u0131lan yapmak.<\/li>\n<li>M\u00fc\u015fterilerimizin talebiyle, OV\/EV kurumsal sertifikalar\u0131n da otomasyon s\u00fcre\u00e7lerine entegre edilebilece\u011fi ACME ve API ak\u0131\u015flar\u0131 tasarlamak.<\/li>\n<\/ul>\n<p>E\u011fer mevcut sitenizi veya SaaS altyap\u0131n\u0131z\u0131 DCHost \u00fczerinde bar\u0131nd\u0131r\u0131yorsan\u0131z ve \u201cBiz bu yeni SSL sertifika standartlar\u0131na ne kadar uyumluyuz?\u201d sorusunun net yan\u0131t\u0131n\u0131 ar\u0131yorsan\u0131z; birlikte kapsaml\u0131 bir SSL\/TLS denetimi planlayabilir, gerekli g\u00fcncellemeleri a\u015fama a\u015fama hayata ge\u00e7irebiliriz.<\/p>\n<h2><span id=\"Ozet_Bundan_sonra_ne_yapmalisiniz\">\u00d6zet: Bundan sonra ne yapmal\u0131s\u0131n\u0131z?<\/span><\/h2>\n<p>SSL sertifika standartlar\u0131ndaki de\u011fi\u015fimleri tek tek inceledi\u011finizde, tablo biraz g\u00f6z korkutucu g\u00f6r\u00fcnebilir: Daha k\u0131sa sertifika s\u00fcreleri, otomasyon zorunlulu\u011fu, CAA kay\u0131tlar\u0131, CT log zorunlulu\u011fu, TLS 1.3, ECDSA, mTLS, post\u2011quantum haz\u0131rl\u0131klar\u2026 Fakat bu ba\u015fl\u0131klar\u0131n ortak noktas\u0131; hepsinin <strong>ad\u0131m ad\u0131m ve planl\u0131 bir \u015fekilde hayata ge\u00e7irilebilmesi<\/strong>.<\/p>\n<p>Pratik bir yol haritas\u0131 \u00e7izmek i\u00e7in \u015fu s\u0131ray\u0131 \u00f6nerebiliriz:<\/p>\n<ol>\n<li>T\u00fcm domain ve sertifikalar\u0131n\u0131z\u0131n g\u00fcncel bir envanterini \u00e7\u0131kar\u0131n.<\/li>\n<li>TLS versiyonlar\u0131n\u0131z\u0131 ve cipher suite\u2019lerinizi g\u00f6zden ge\u00e7irip TLS 1.3\u2019e ge\u00e7i\u015fi planlay\u0131n.<\/li>\n<li>En az\u0131ndan DV sertifikalar\u0131n\u0131z i\u00e7in ACME tabanl\u0131 otomatik yenileme ak\u0131\u015f\u0131 kurun.<\/li>\n<li>CAA kay\u0131tlar\u0131 ve CT izleme gibi kontrollerle sahte sertifika riskini azalt\u0131n.<\/li>\n<li>Y\u00f6netim panelleri ve i\u00e7 servisler i\u00e7in mTLS kullan\u0131m\u0131n\u0131 de\u011ferlendirin.<\/li>\n<\/ol>\n<p>Bunlar\u0131n her biri; web sitenizin, e\u2011ticaret ma\u011fazan\u0131z\u0131n veya SaaS \u00fcr\u00fcn\u00fcn\u00fcz\u00fcn hem g\u00fcvenli\u011fini hem de kesintisizli\u011fini do\u011frudan etkileyen ad\u0131mlar. DCHost taraf\u0131nda ister payla\u015f\u0131ml\u0131 hosting, ister VPS, ister dedicated sunucu veya colocation kullan\u0131n; SSL\/TLS taraf\u0131ndaki t\u00fcm bu yeni standartlara uygun, s\u00fcrd\u00fcr\u00fclebilir ve otomasyona dayal\u0131 bir mimari kurman\u0131z i\u00e7in yan\u0131n\u0131zday\u0131z.<\/p>\n<p>E\u011fer nereden ba\u015flayaca\u011f\u0131n\u0131z konusunda akl\u0131n\u0131z kar\u0131\u015f\u0131yorsa, \u00f6nce <a href='https:\/\/www.dchost.com\/blog\/ssl-sertifikasi-nedir-web-sitenizi-guvence-altina-almanin-yollari\/'>SSL sertifikas\u0131 nedir ve sitenizi nas\u0131l g\u00fcvence alt\u0131na al\u0131rs\u0131n\u0131z<\/a> yaz\u0131m\u0131za g\u00f6z at\u0131n, ard\u0131ndan bu yaz\u0131daki ad\u0131mlar\u0131 kendi ortam\u0131n\u0131za uyarlamaya \u00e7al\u0131\u015f\u0131n. Tak\u0131ld\u0131\u011f\u0131n\u0131z her noktada altyap\u0131n\u0131z\u0131 birlikte g\u00f6zden ge\u00e7irip, SSL sertifika standartlar\u0131ndaki t\u00fcm yeni gereklilikleri sade ve uygulanabilir bir plana d\u00f6n\u00fc\u015ft\u00fcrebiliriz.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>SSL sertifika d\u00fcnyas\u0131 son y\u0131llarda hi\u00e7 olmad\u0131\u011f\u0131 kadar h\u0131zl\u0131 de\u011fi\u015fiyor. Taray\u0131c\u0131 \u00fcreticileri, CA\/B Forum kararlar\u0131, reg\u00fclasyonlar ve siber sald\u0131r\u0131 trendleri; sertifika standartlar\u0131n\u0131 s\u00fcrekli yukar\u0131 \u00e7ekiyor. Bu de\u011fi\u015fimlerin \u00e7o\u011fu do\u011frudan web sitenizi, e\u2011ticaret altyap\u0131n\u0131z\u0131, API u\u00e7lar\u0131n\u0131z\u0131 ve hatta e\u2011posta g\u00fcvenli\u011finizi etkiliyor. DCHost taraf\u0131nda yapt\u0131\u011f\u0131m\u0131z g\u00fcvenlik denetimlerinde en s\u0131k g\u00f6rd\u00fc\u011f\u00fcm\u00fcz sorun, bu de\u011fi\u015fikliklerin fark\u0131nda olunmamas\u0131 ve SSL [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":3323,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[32,33,30,25],"tags":[],"class_list":["post-3322","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-alan-adi","category-nasil-yapilir","category-nedir","category-sunucu"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/3322","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=3322"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/3322\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/3323"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=3322"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=3322"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=3322"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}