Her web sitesi aynı SSL sertifikasına ihtiyaç duymaz. Kişisel blog ile banka arasındaki fark, yalnızca tasarımda değil seçilen sertifika türünde de gizlidir.
Bir SSL sertifikası satın almak istediğinizde, sizi şaşırtacak kadar farklı seçenek karşılar. DV mi, OV mi, EV mi? Wildcard mı, Multi-Domain mı? Bu terimler ilk bakışta kafa karıştırıcı gelse de aslında mantığı son derece basit bir sistemi tarif eder: Ne kadar kimlik doğrulaması yapıldı ve sertifika kaç alan adını kapsıyor?
SSL sertifikaları özünde şu soruyu yanıtlar: “Bu sertifikayı talep eden kişi gerçekten bu alan adının sahibi mi?” Ancak bazı sertifikalar daha da ileri gider ve “Bu alan adının sahibi gerçek, yasal olarak kayıtlı bir kuruluş mu?” sorusunu da yanıtlar. İşte bu fark, sertifika türlerini belirleyen temel ayrımdır.
Doğrulama Düzeyine Göre Üç Tür
DV — Domain Validated (Alan Adı Doğrulaması)
DV sertifikaları, yalnızca alan adı sahipliğini doğrular. Sertifika Otoritesi (CA), başvuru sahibinin ilgili alan adı üzerinde kontrol yetkisine sahip olduğunu doğrular; ancak organizasyon kimliğini sorgulamaz.
Doğrulama yöntemi: DNS kaydı, e-posta doğrulaması veya dosya tabanlı doğrulama
Verilme süresi: Birkaç dakikadan birkaç saate kadar (genellikle otomatik)
Kullanım alanı: Kişisel web siteleri, bloglar, portföyler
Örnek sağlayıcılar: Let’s Encrypt (ücretsiz), Comodo Positive SSL
OV — Organization Validated (Organizasyon Doğrulaması)
OV sertifikalar, alan adı doğrulamanın ötesinde organizasyon kimliğini de doğrular. CA, başvuru sahibi organizasyonun gerçekten var olduğunu ve ilgili alan adıyla yasal bir ilişkisi bulunduğunu teyit eder.
Doğrulama yöntemi: Ticaret sicil belgesi, yasal kayıtlar, telefon doğrulaması
Verilme süresi: 1–3 iş günü
Kullanım alanı: Kurumsal web siteleri, SaaS platformları
Görünüm: Sertifika bilgilerinde organizasyon adı görülür
EV — Extended Validation (Genişletilmiş Doğrulama)
EV sertifikalar en yüksek doğrulama standardını temsil eder. CA, organizasyonun yasal varlığını, işletimsel durumunu ve fiziksel mevcudiyetini titizlikle doğrular.
Doğrulama yöntemi: Kapsamlı yasal, operasyonel ve fiziksel doğrulama; CAB Forum standartları
Verilme süresi: 1–2 hafta
Kullanım alanı: Bankalar, finansal kurumlar, büyük e-ticaret siteleri
Örnek sağlayıcılar: DigiCert EV, GlobalSign EV, Sectigo EV
Güven Zinciri: Sertifikaların Arkasındaki Hiyerarşi
Her SSL sertifikasının arkasında bir güven zinciri (chain of trust) bulunur. Tarayıcınız bir sertifikaya güvenirken aslında şu soruyu sorar: “Bu sertifikayı imzalayan otorite güvenilir mi?”
Kök CA (Root Certificate Authority): En üst düzeydeki güven çetesi. Sertifikası tarayıcılara ve işletim sistemlerine önceden yüklü olarak gelir. Güvenlik gereği daima çevrimdışı tutulur. Örnekler: DigiCert Root CA, GlobalSign Root CA, ISRG Root X1 (Let’s Encrypt).
Ara CA (Intermediate Certificate Authority): Kök CA adına sertifika imzalar. Bu katlı yapı, Kök CA’yı her imzalama işleminden korur. Ara CA tehlikeye girse bile yalnızca o iptal edilir; Kök CA güvende kalır.
Son Kullanıcı Sertifikası (Leaf Certificate): Sizin web sitenizin sertifikası. Alan adınıza bağlıdır ve Ara CA tarafından imzalanmıştır.
“Sertifika türü seçimi, yalnızca teknik bir karar değil kullanıcılarınıza verdiğiniz güven mesajıdır.”
Kapsam Açısından Farklılıklar
Doğrulama düzeyinin yanı sıra, sertifikaların kaç alan adını kapsadığı da kritik bir seçim kriteridir.
Tekli Alan Adı Sertifikası: Yalnızca belirtilen tek bir alan adını korur. Örneğin example.com için verilen sertifika, mail.example.com alt alan adını kapsamaz.
Wildcard Sertifika: *.example.com gibi bir tanımla tüm birinci seviye alt alan adlarını (mail, shop, blog vb.) tek sertifika altında toplar. Kurumsal ortamlarda yönetimi önemli ölçüde kolaylaştırır. Ancak ikinci seviye alt alan adlarını kapsamaz.
Multi-Domain (SAN) Sertifika: Subject Alternative Name alanını kullanarak birden fazla farklı alan adını tek sertifika çatısı altında birleştirir. Birden fazla markayı yöneten şirketler için idealdir.
Let’s Encrypt ve Otomatik Sertifika Yönetimi
2015 yılında hayata geçen Let’s Encrypt projesi, ücretsiz DV sertifikaları sunarak web şifrelemesini demokratikleştirdi. ACME (Automated Certificate Management Environment) protokolü sayesinde sertifika alma ve yenileme süreci tamamen otomatize edilebilir. Certbot gibi araçlar, 90 günlük sertifikaları otomatik olarak yeniler ve sunucuyu yapılandırır.
Pratik Tavsiye: Kişisel blog veya portföy sitesi için Let’s Encrypt DV sertifikası idealdir. Kurumsal bir web sitesi için OV sertifikası, bankacılık veya ödeme sistemi için ise EV sertifikası tercih edilmelidir.
Sertifika Ömrü ve Yönetim İpuçları
Apple, Google ve Mozilla gibi büyük tarayıcı satıcıları, sertifika geçerlilik sürelerini giderek kısaltmaktadır. 2025 itibarıyla önerilen maksimum süre 47 güne inmiştir. Bu gelişme, otomatik sertifika yönetimini artık bir tercih değil zorunluluk haline getirmektedir. Sertifika süresi dolan bir site, tarayıcılarda korkutucu uyarı ekranlarıyla karşılanır ve kullanıcı güveni anında çöker.
Sertifika yönetiminde dikkat edilmesi gerekenler:
- Sertifika süreleri dolmadan 30–60 gün önce yenileme yapın
- Otomatik yenileme için ACME protokolünü kullanın
- Sertifika Şeffaflığı (Certificate Transparency) loglarını izleyin
- CAA (Certification Authority Authorization) DNS kayıtlarını yapılandırın
