Sertifika Yönetimi (PKI): SSL/TLS Sertifikaları Neden Önemli?

kullanici1

Mart 2, 2026

Siber Güvenlik
sertifika_yönetimi(PKI)

Güvensiz Bir Ağda Güven İnşa Etmek

İnternet, doğası gereği güvensiz bir ortamdır. Bir veri paketi, bilgisayarınızdan çıkıp bir bankanın sunucusuna ulaşana kadar onlarca farklı router, switch ve kablodan geçer. Eğer bu yolculuk sırasında verileriniz şifrelenmezse ve karşı tarafın kimliği doğrulanmazsa, herhangi biri (hackerlar, devletler, servis sağlayıcılar) bu verileri okuyabilir veya değiştirebilir. İşte bu kaotik ortamda düzeni sağlayan, dijital dünyanın pasaportları olan SSL/TLS Sertifikaları ve bu sertifikaları yöneten devasa altyapı **PKI (Açık Anahtar Altyapısı)**dır. 

Çoğu kullanıcı için SSL, tarayıcıdaki o küçük “Kilit” simgesinden ibarettir. Ancak bir siber güvenlik uzmanı için SSL/TLS; kimlik doğrulama, veri bütünlüğü ve mahremiyetin matematiksel garantisidir. Sektördeki en büyük yanılgı, sertifikaların sadece “e-ticaret siteleri” için gerekli olduğudur. Oysa bugün Google, şifresiz (HTTP) siteleri “Güvenli Değil” olarak işaretlemekte ve arama sonuçlarında cezalandırmaktadır. Bu kapsamlı rehberde; bir sertifikanın anatomisini, güven zincirinin (Chain of Trust) nasıl kırılmaz bir bağ oluşturduğunu, sertifika süresi dolduğunda yaşanan felaketleri (Outage) ve otomatik sertifika yönetiminin (ACME) modern DevOps süreçlerindeki yerini en ince teknik detayına kadar inceleyeceğiz. 

PKI (Public Key Infrastructure) Nedir? Güvenin Mimarisi

PKI, dijital dünyada kimliklerin ve anahtarların yönetilmesini sağlayan donanım, yazılım, politika ve prosedürlerin bütünüdür. Bir benzetme yapacak olursak: 

  1. Pasaport: Dijital Sertifikadır (X.509). 
  2. Nüfus Müdürlüğü: Sertifika Otoritesidir CA – Certificate Authority). 
  3. Kanunlar: PKI Politikalarıdır (CP/CPS). 
 

PKI’ın temel amacı, bir Açık Anahtarı (Public Key) belirli bir Kimliğe (Domain, Kişi, Cihaz) bağlamaktır. “Bu açık anahtar, google.com’a aittir ve bunu ben (GlobalSign/DigiCert) onaylıyorum” diyen yapıdır. 

PKI
PKI

SSL/TLS Nedir ve Nasıl Çalışır? El Sıkışma Sanatı

SSL (Secure Sockets Layer) eski terimdir, güncel standart **TLS (Transport Layer Security)**dir. Ancak alışkanlık gereği hala SSL denmektedir. TLS, iki taraf arasında şifreli bir tünel kurar. 

TLS Handshake (El Sıkışma) Süreci 

Siz https://banka.com adresine girdiğinizde arka planda milisaniyeler içinde şu gerçekleşir: 

  • Client Hello: Tarayıcı, sunucuya desteklediği şifreleme algoritmalarını (Cipher Suites) gönderir. 
  • Server Hello: Sunucu, bunlardan en güçlüsünü seçer ve kendi Sertifikasını (Açık Anahtarını içeren) tarayıcıya gönderir. 
  • Doğrulama (Authentication): Tarayıcı, sertifikayı veren Otoriteyi (CA) tanıyor mu? Sertifika süresi dolmuş mu? banka.com için mi üretilmiş? (Bu aşama çok kritiktir). 
  • Anahtar Değişimi: Tarayıcı, sunucunun Açık Anahtarı ile şifrelenmiş geçici bir simetrik anahtar (Session Key) gönderir.
  • Şifreli İletişim: Sunucu, kendi Özel Anahtarı (Private Key) ile bu paketi açar. Artık iki taraf da aynı simetrik anahtara sahiptir ve veri akışı (AES ile) başlar.

Sertifika Otoriteleri (CA) ve Güven Zinciri (Chain of Trust)

Dünyadaki milyarlarca cihaz, hangi sertifikanın gerçek olduğunu nasıl biliyor? Cevap: Güven Zinciri. 

  1. Kök Sertifika (Root CA): Zincirin en tepesindeki, kendi kendini imzalayan (Self-Signed) ve tarayıcıların içine gömülü gelen (Trusted Root Store) sertifikadır. (Örn: DigiCert Global Root). Bu anahtarlar, yer altındaki sığınaklarda, internete kapalı HSM’lerde (Hardware Security Module) saklanır.
  2. Ara Sertifika (Intermediate CA): Kök sertifika, güvenliği riske atmamak için doğrudan son kullanıcıya sertifika imzalamaz. Yetkisini Ara Sertifikalara devreder. Kök hacklenirse felaket olur, ama Ara sertifika hacklenirse iptal edilebilir (Revoke). 
  3. Sunucu Sertifikası (End-Entity): sizin-siteniz.com için üretilen sertifikadır. Ara sertifika tarafından imzalanır. 
 

Tarayıcı zinciri takip eder: Sunucu <- Ara Sertifika <- Kök Sertifika. Kök güvenilirse, sunucu da güvenilirdir. 

Sertifika Türleri: DV, OV ve EV

Her sertifika aynı doğrulama seviyesine sahip değildir. Kriptografik güçleri aynıdır (hepsi 256-bit şifreler), ancak “Kimlik Doğrulama” seviyeleri farklıdır. 

1. Domain Validation (DV) – Alan Adı Doğrulama 

  • Doğrulama: Sadece alan adının kontrolü sizde mi diye bakar (DNS kaydı veya dosya yükleme ile).
  • Süre: Dakikalar içinde verilir. 
  • Kullanım: Bloglar, küçük siteler. (Let’s Encrypt ücretsiz DV verir).
  • Eksik: Sitenin arkasındaki şirketin kim olduğunu doğrulamaz. Dolandırıcılar da DV alabilir. 
 

2. Organization Validation (OV) – Kurum Doğrulama 

  • Doğrulama: Alan adının yanı sıra, şirketin resmi kayıtlarını (Ticaret Odası vb.) kontrol eder.
  • Süre: 1-3 gün. 
  • Kullanım: Kurumsal web siteleri, intranetler. Sertifika detaylarında şirket adı yazar. 
 

3. Extended Validation (EV) – Genişletilmiş Doğrulama 

  • Doğrulama: Çok sıkı bir denetim yapılır. Şirketin fiziksel varlığı, telefon numarası vb. doğrulanır.
  • Süre: 1-5 gün. 
  • Kullanım: Bankalar, FinTech, büyük e-ticaret siteleri. Eskiden “Yeşil Adres Çubuğu” verirdi, artık tarayıcılar sadece kilit gösteriyor ama detaylarda şirket ismini vurguluyor.

Sertifika Yaşam Döngüsü Yönetimi (CLM): Kesintilerin Katili

Sertifikaların bir son kullanma tarihi vardır (Maksimum 398 gün – Apple/Google kararı). Eğer bir sertifikanın süresi dolarsa ne olur? 

  • Web sitesi “Güvenli Değil” uyarısı verir, kullanıcılar kaçar. 
  • Uygulamalar (API) çalışmayı durdurur.
  • Örnek: O2 operatörü, Ericsson’un bir sertifikasının süresinin dolması sonucu İngiltere’de milyonlarca kullanıcısını günlerce internetsiz bıraktı. 
 

CLM (Certificate Lifecycle Management) Araçları 

Binlerce sunucusu olan bir kurumda sertifikaları Excel ile takip edemezsiniz. Venafi, Keyfactor veya AppViewX gibi CLM araçları kullanılır.

  • Keşif: Ağdaki tüm sertifikaları tarar ve bulur. 
  • İzleme: Süresi dolmaya yaklaşanları uyarır. 
  • Otomasyon: Sertifikayı otomatik olarak yeniler ve sunucuya yükler.

Modern PKI: ACME ve DevOps

Eskiden sertifika almak için CSR (Certificate Signing Request) oluşturup, CA’ya e-posta atıp, gelen dosyayı sunucuya elle yüklerdik. Modern DevOps dünyasında bu çok yavaştır.

  1. ACME (Automated Certificate Management Environment): Let’s Encrypt tarafından popülerleştirilen protokoldür. Bir sunucu (Örn: Certbot), CA ile konuşarak sertifika talebini, doğrulamayı, indirmeyi ve kurmayı tamamen otomatik ve saniyeler içinde yapar. 
  2. Kubernetes ve Service Mesh: Mikroservis mimarilerinde (mTLS), servislerin birbiriyle güvenli konuşması için her pod’un sertifikaya ihtiyacı vardır. cert-manager gibi araçlar bunu otomatik yönetir.

Kötü Senaryolar: Man-in-the-Middle (MitM) ve Sahte Sertifikalar

Sertifikalar neden bu kadar kritiktir? 

  1. Ortadaki Adam (MitM): Bir hacker, sizinle banka arasına girip trafiği dinlemek isterse, size kendi sahte sertifikasını sunmalıdır. Tarayıcınız, bu sahte sertifikanın güvenilir bir CA tarafından imzalanmadığını fark eder ve “Bağlantınız Gizli Değil” hatası vererek sizi korur. SSL/TLS, MitM saldırılarına karşı en büyük kalkandır.
  2. CA Hacklenirse: 2011’de DigiNotar adlı Hollandalı bir CA hacklendi ve https://www.google.com/search?q=Google.com adına sahte sertifikalar üretildi (İranlı kullanıcıları izlemek için). Sonuçta DigiNotar tüm tarayıcılardan silindi ve şirket iflas etti. Bu, sistemin ne kadar hassas olduğunu gösterir.

Geleceğin PKI'ı: Kuantum Sonrası Kriptografi (PQC)

Mevcut sertifikalarımız (RSA ve ECC algoritmaları), klasik bilgisayarların çözemediği matematiksel zorluklara dayanır. Ancak Kuantum bilgisayarlar bu şifreleri kırabilir. 

  • Tehdit: “Şimdi Kaydet, Sonra Kır” (Harvest Now, Decrypt Later). Saldırganlar bugün şifreli trafiği kaydediyor, 10 yıl sonra kuantum bilgisayarla çözmeyi planlıyor. 
  • Çözüm: NIST tarafından standartlaştırılan yeni Kuantum Dirençli Algoritmalar (Kyber, Dilithium) yakında TLS sertifikalarına entegre edilecek. PKI dünyası büyük bir göç (Migration) hazırlığında.

Sıkça Sorulan Sorular (SSS)

1. Ücretli SSL ile Ücretsiz (Let’s Encrypt) SSL Arasındaki Fark Nedir?

Şifreleme gücü (256-bit AES) aynıdır; teknik güvenlik açısından bir fark yoktur. Temel fark şudur: Ücretli sertifikalar (OV/EV) şirket kimliğini doğrular, sigorta/garanti sunar ve teknik destek sağlar. Ücretsiz sertifikalar ise sadece alan adını doğrular ve destek hizmeti içermez.

2. Wildcard (*) Sertifika Nedir?

*.sirket.com şeklinde alınan sertifikadır. mail.sirket.com, blog.sirket.com, api.sirket.com gibi tüm alt alan adlarını (Subdomains) tek bir sertifika ile korur. Yönetimi kolaydır ancak o sertifikanın özel anahtarı (private key) çalınırsa tüm alt sistemler tehlikeye girer.

3. CSR (Certificate Signing Request) Nedir?

Sertifika başvurusu yaparken sunucunuzda oluşturduğunuz; içinde açık anahtarınızın ve şirket bilgilerinizin yer aldığı şifreli bir metindir. Özel anahtarınız (private key) sunucuda kalır, CSR ise sertifika otoritesine (CA) gönderilir.

4. SSL Sertifikamın Süresi Dolarsa Ne Yapmalıyım?

Hemen yenisini alıp sunucuya yüklemelisiniz (Renew). Eski sertifikanın süresi teknik olarak uzatılamaz; her yenileme işleminde aslında yeni bir sertifika üretilir.

5. Self-Signed (Kendi İmzalı) Sertifika Güvenli mi?

Şifreleme yapar, yani veriyi gizler; ancak kimlik doğrulaması yapmaz (çünkü güvenilir bir otorite tarafından değil, sizin tarafınızdan imzalanmıştır). Bu yüzden tarayıcılar “Güvenli Değil” uyarısı verir. Sadece test ortamlarında veya kapalı iç ağlarda kullanılmalıdır; dış dünyaya açık sistemlerde asla kullanılmamalıdır.

Tags :
PKI,Sertifika Yönetimi,SSL/TLS
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.