irdaweb Bilgi Teknolojileri
Telefon numaramız +90 541 209 02 05
E-posta adresimiz [email protected]
Güvenlik · 6 dk okuma

TLS sertifikalarında yeni dönem: kısalan süreler ve otomatik yenileme

Adres çubuğundaki asma kilit yıllardır aynı görünüyor; ama arkasındaki kurallar sessizce değişti. Sertifikaların geçerlilik süresi giderek kısalıyor ve bu, "yılda bir yenileyip unutma" alışkanlığının sonu demek. İyi haber şu: doğru kurulan bir otomasyonla bu değişim sizin için bir yük değil, bir güvenceye dönüşüyor.

Neden süreler kısalıyor?

Bir TLS sertifikası, bir alan adının belirli bir tarihe kadar belirli bir tarafa ait olduğunu kanıtlar. Bu kanıtın bir son kullanma tarihi (notAfter) vardır ve bu tarih bilinçli olarak konur: süresi dolan bir sertifika, çalınmış bir özel anahtarın sonsuza dek kötüye kullanılmasını engeller. Sertifika ne kadar uzun süre geçerliyse, ele geçirilmiş bir anahtarın açık bıraktığı pencere de o kadar uzun olur.

Bu mantık yıllar içinde sektörü tek bir yöne itti: daha kısa ömür, daha az risk. Sertifikaların azami geçerlilik süresini belirleyen CA/Browser Forum, üst sınırı kademeli olarak düşürüyor. Bir zamanlar üç yıl olan sınır önce 825 güne, sonra 398 güne indi; alınan kararla 2029'a doğru 47 güne kadar inmesi planlanıyor.

azami geçerlilik süresi — zaman çizgisi
2012  ●──────────────────── ~5 yıl
2015  ●────────── 39 ay
2018  ●───── 825 gün
2020  ●─── 398 gün   # bugün geçerli sınır
2029   47 gün     # planlanan hedef

47 gün, takvime bakıp elle yenilenebilecek bir sayı değildir. Bu eğilimin asıl mesajı teknik değil operasyoneldir: otomatik yenileme artık bir kolaylık değil, zorunluluk.

Süresi dolan bir sertifikanın bedeli

Sertifika yönetimini ihmal etmenin sonucu yavaş yavaş kötüleşen bir şey değildir; bir anda ve tamamen gerçekleşir. notAfter tarihi geçtiği saniye, tarayıcılar bağlantıyı tümüyle reddeder. Ziyaretçi yavaş bir site değil, büyük kırmızı bir güvenlik uyarısı görür ve içeri giremez.

Bu yüzden süresi dolmuş tek bir sertifika, tüm siteyi, API'yi ya da e-posta sunucusunu bir anda erişilemez kılar. En kötüsü de genelde hafta sonu ya da gece yarısı, kimse fark etmeden olmasıdır. Manuel takvim hatırlatıcıları çalışanlar değişince unutulur; bu yüzden çözüm disiplin değil, otomasyondur.

ACME ile otomatik yenileme nasıl çalışır?

Modern çözümün adı ACME (Automatic Certificate Management Environment). Let's Encrypt'in yaygınlaştırdığı bu protokol, alan adı sahipliğinin doğrulanmasından sertifikanın kurulup yenilenmesine kadar tüm döngüyü otomatikleştirir. İnsan müdahalesi yalnızca ilk kurulumda olur; sonrası kendiliğinden döner.

Akış kabaca şöyledir: sunucunuzdaki bir ACME istemcisi (Certbot, acme.sh ya da Caddy'nin yerleşik desteği) CA'ya başvurur, alan adına hâkim olduğunuzu bir challenge ile kanıtlar, sertifikayı alır ve süresi dolmadan — genelde ömrünün son üçte birinde — sessizce yeniler.

Doğru challenge'ı seçin

İki yaygın doğrulama yöntemi vardır. HTTP-01, sunucunuzda belirli bir dosyayı yayımlayarak alan adı kontrolünü kanıtlar; tek alan adları için basit ve yeterlidir. DNS-01 ise DNS bölgenize geçici bir TXT kaydı koyarak doğrular ve *.alanadi.com gibi wildcard sertifikalar için tek seçenektir. Wildcard kullanıyorsanız, DNS sağlayıcınızın API'siyle bu kaydı otomatik koyup kaldıran bir eklenti şarttır; aksi halde otomasyon her yenilemede elle DNS düzenlemeye takılır.

Yenileme sonrası servisi yeniden yükleyin

Sık yapılan bir hata: ACME istemcisi sertifikayı başarıyla yeniler ama web sunucusu hâlâ eskisini bellekte tutar. Yeni sertifikanın devreye girmesi için yenileme sonrası bir deploy-hook ile servisi (nginx, Apache vb.) yeniden yüklemeniz gerekir. Kurulumdan sonra bir kez bunu doğrulayın; "yeniledi ama yansımadı" durumu en sinsi arızadır.

Otomasyon kurulu olsa bile bağımsız bir kontrol kalkanınız olsun. notAfter tarihini dışarıdan izleyen bir uyarı (ör. 21/14/7 gün kala) sessiz yenileme hatalarını siz değil, sistem yakalar. Tek bir otomasyona körü körüne güvenmeyin; onu da gözleyin.

Geçiş için kısa bir kontrol listesi

  • ACME istemcisini kurun ve yenilemeyi zamanlanmış bir görevle çalıştırın — kurduktan sonra "unutun".
  • Deploy-hook bağlayın ki yenilenen sertifika otomatik devreye girsin.
  • Son kullanma tarihini dışarıdan izleyin ve eşik uyarıları kurun.
  • Wildcard kullanıyorsanız DNS-01'i otomatikleştirin — DNS sağlayıcı API'siyle entegre çalışın.

Özetle

Kısalan sertifika süreleri ilk bakışta ek bir yük gibi görünse de, aslında web'i daha güvenli kılan ve manuel hatayı ortadan kaldıran bir gelişme. Otomasyonu bir kez doğru kurduğunuzda, 47 günlük bir sertifika ile 397 günlük bir sertifika arasında sizin için hiçbir fark kalmaz — ikisi de kendiliğinden yenilenir. Yük ortadan kalkar, geriye yalnızca güvence kalır.

Bu yazıdaki kavramların teknik temeline daha derin inmek isterseniz — handshake, güven zinciri, sertifika iptali ve OCSP, sunucu sertleştirme — Bilgi Merkezi · TLS, SSL ve Sertifikalar rehberine göz atabilirsiniz.