SSL Sertifika Zinciri Nedir? Nasıl Çalışır
SSL Sertifika Zinciri Nedir?
SSL sertifika zinciri (güven zinciri veya sertifika yolu olarak da bilinir), web sitenizin SSL/TLS sertifikasını güvenilir bir kök Sertifika Otoritesine (CA) bağlayan dijital sertifikaların sıralı listesidir. Zincirdeki her sertifika, üstündeki sertifika tarafından dijital olarak imzalanır ve sunucunuzdan tarayıcıların zaten güvendiği bir kök CA'ya kadar doğrulanabilir bir güven yolu oluşturur.
Bunu bir onay zinciri gibi düşünün. Sunucu sertifikanız "Ben example.com'um" der. Ara CA "example.com'un sertifikasını onaylıyorum" der. Kök CA "O aracıyı onaylıyorum" der. Tarayıcınız zaten kök CA'ya güvendiği için imza zincirini takip ederek sunucunuza da güvenir.
Herhangi bir HTTPS web sitesini ziyaret ettiğinizde, tarayıcınız bu zinciri milisaniyeler içinde sessizce izler. Her halka doğruysa kilit simgesini görürsünüz. Herhangi bir halka eksik, süresi dolmuş veya geçersizse güvenlik uyarısı alırsınız.
Her Sertifika Zincirindeki Üç Halka
Çoğu SSL sertifika zincirinin tam olarak üç seviyesi vardır. Her birini anlamak HTTPS sorunlarını gidermek için gereklidir.
| Kök Sertifika | Ara Sertifika | Leaf (Sunucu) Sertifika | |
|---|---|---|---|
| İmzalayan | Kendisi (kendinden imzalı) | Kök CA | Ara CA |
| Konum | Tarayıcı/İS güven deposu | Sunucunuz tarafından gönderilir | Sunucunuz tarafından gönderilir |
| Tipik ömür | 20–25 yıl | 5–10 yıl | 90 gün – 1 yıl |
| Ele geçirilirse | Tüm sertifikalar geçersiz — felaket | Sadece aracıyı iptal et | İptal et ve yeniden düzenle |
| Yaklaşık sayı | Dünya genelinde ~150 güvenilir kök | Binlerce | Yüz milyonlarca |
Kök Sertifika
Kök sertifika, zincirin en üstündeki güven çapasıdır. Kendinden imzalıdır, yani Sertifika Otoritesi kendi sertifikasını imzalamıştır. Kök sertifikalar tarayıcınıza ve işletim sisteminize önceden yüklenmiştir — bu koleksiyon güven deposu (trust store) olarak adlandırılır.
Büyük tarayıcıların varsayılan olarak güvendiği yaklaşık 150 kök CA vardır. DigiCert, Let's Encrypt (ISRG), Sectigo ve GlobalSign gibi kuruluşlar kök sertifikaları işletir. Kök anahtarlar çok kritik olduğundan, CA'lar bunları hava boşluklu, fiziksel olarak güvenli kasalardaki donanım güvenlik modüllerinde (HSM) saklar.
Ara Sertifika
Ara sertifikalar, kök sertifika ile sunucu sertifikanız arasında yer alır. Kök CA ara sertifikayı imzalar, ara CA da son varlık (sunucu) sertifikalarını imzalar. Çoğu CA bir veya iki ara sertifika kullanır.
Web sunucunuz TLS el sıkışması sırasında leaf sertifikanızla birlikte ara sertifikaları göndermelidir. Kök sertifikaların aksine, ara sertifikalar tarayıcılara önceden yüklenmemiştir — sunucunuz bunları göndermezse zincir kırılır.
Leaf Sertifika (Sunucu Sertifikası)
Leaf sertifika (son varlık sertifikası veya sunucu sertifikası olarak da bilinir), web sunucunuza yüklenen sertifikadır. Alan adınızı, genel anahtarınızı, geçerlilik süresini ve düzenleyen hakkında bilgileri (onu imzalayan ara CA) içerir.
Bu, TLS el sıkışması sırasında tarayıcınızın aldığı ilk sertifikadır. Tarayıcı daha sonra güvenilir bir köke ulaşana kadar her imzayı doğrulayarak zincirde yukarı doğru ilerler.
Güven Zinciri Nasıl Çalışır
Tarayıcınız HTTPS üzerinden bir web sitesine bağlandığında, TLS el sıkışması milisaniyeler içinde gerçekleşen bir zincir doğrulama sürecini tetikler:
Sunucu sertifikaları gönderir — Web sunucunuz leaf sertifikasını ve tüm ara sertifikaları tarayıcıya gönderir.
Tarayıcı zinciri oluşturur — Tarayıcı sertifikaları sıralar: leaf → ara(lar) → kök. Güven deposunu kontrol ederek kökü belirler.
İmza doğrulama — Leaf'ten başlayarak, tarayıcı her sertifikanın dijital imzasının zincirdeki bir sonraki sertifikanın özel anahtarıyla oluşturulduğunu doğrular.
Kök araması — Tarayıcı, zincirin en üstündeki kök sertifikanın yerleşik güven deposunda var olduğunu onaylar. Kök tanınmazsa doğrulama başarısız olur.
Geçerlilik kontrolleri — Zincirdeki her sertifika için tarayıcı kontrol eder: süresi dolmamış, iptal edilmemiş (CRL veya OCSP aracılığıyla) ve leaf sertifikasının alan adı URL ile eşleşiyor.
Doğrulamadan Sonra Ne Olur
Tüm kontroller geçerse, tarayıcı şifreli bir bağlantı kurar ve kilit simgesini gösterir. Herhangi bir kontrol başarısız olursa — bir ara sertifikada bile — tarayıcı "Bağlantınız özel değil" veya "NET::ERR_CERT_AUTHORITY_INVALID" gibi bir uyarı gösterir.
Bu yüzden sadece leaf sertifika değil, tüm zincir önemlidir. Süresi dolmuş bir ara sertifika, süresi dolmuş bir sunucu sertifikası kadar HTTPS'yi tamamen bozar.
Ara Sertifikalar Neden Var
Kök CA'lar teorik olarak her sunucu sertifikasını doğrudan imzalayarak ara sertifikaları tamamen atlayabilir. Ancak bunu yapmamalarının üç kritik nedeni vardır:
Güvenlik izolasyonu — Kök CA özel anahtarları fiziksel olarak güvenli kasalardaki HSM'lerde çevrimdışı tutulur. Milyonlarca bireysel sunucu sertifikası için değil, yalnızca ara sertifikaları imzalamak için kullanılırlar. Bu, kök anahtarın ele geçirilme riskini büyük ölçüde azaltır.
Hasar kontrolü — Bir ara CA ele geçirilirse, yalnızca o aracının sertifikaları etkilenir. Kök CA ele geçirilen aracıyı iptal edip yenisini düzenleyebilir — daha önce düzenlediği her sertifikayı geçersiz kılmadan.
Operasyonel esneklik — CA'lar farklı amaçlar için farklı aracılar kullanır: DV sertifikaları için biri, EV için başka biri, farklı bölgeler veya anahtar algoritmaları (RSA vs ECDSA) için ayrı olanlar.
SSL Sertifika Zincirinizi Nasıl Kontrol Edersiniz
Bir web sitesinin sertifika zincirini incelemenin komut satırı araçlarından tarayıcı tabanlı kontrollere kadar üç yolu vardır.
Yöntem 1: OpenSSL (Komut Satırı)
openssl komutu bir sertifika zincirini incelemenin en ayrıntılı yoludur. Terminalinizde şunu çalıştırın:
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'Yöntem 2: Tarayıcı Sertifika Görüntüleyici
Tüm büyük tarayıcılar özel araçlara ihtiyaç duymadan sertifika zincirini incelemenize izin verir:
Tarayıcınızın adres çubuğundaki kilit simgesine tıklayın
"Bağlantı güvenli" → "Sertifika geçerli" seçin
"Sertifika Yolu" sekmesini (Chrome/Edge) veya "Ayrıntılar" sekmesini (Firefox) açın
Kökten (üst) leaf'e (alt) kadar tam zinciri göreceksiniz
Yöntem 3: DNS Robot SSL Denetleyici
Herhangi bir web sitesinin sertifika zincirini kontrol etmenin en hızlı yolu çevrimiçi bir araçtır. SSL Denetleyicimiz tam zinciri, düzenleyen ayrıntılarını, geçerlilik tarihlerini ve doğrulama durumunu tek tıklamayla görüntüler. Herhangi bir alan adı girin ve tam zinciri anında görün.
Yaygın Sertifika Zinciri Hataları ve Nasıl Düzeltilir
Sertifika zinciri sorunları, HTTPS hatalarının en sık nedenlerinden biridir. İşte karşılaşma olasılığınız en yüksek olan hatalar ve her birini nasıl çözeceğiniz.
Eksik Ara Sertifika
Hata mesajı: "unable to verify the first certificate" veya "incomplete certificate chain"
Neden: Sunucunuz ara sertifika olmadan yalnızca leaf sertifikayı gönderiyor. Masaüstü tarayıcılar bazen önceki ziyaretlerden önbelleğe alınmış ara sertifikalarla bunu aşar, ancak mobil tarayıcılar ve API istemcileri neredeyse her zaman başarısız olur.
Düzeltme: CA'nızın belgelerinden ara sertifikayı indirin ve sunucunuzun sertifika dosyasına ekleyin. Nginx'te bunları tek bir dosyada birleştirin:
cat your-domain.crt intermediate.crt > fullchain.crtZincirde Kendinden İmzalı Sertifika
Hata mesajı: "self-signed certificate in certificate chain"
Neden: Kök sertifika sunucu tarafından gönderilen zincire gereksiz yere dahil edilmiş veya bir sertifika gerçekten kendinden imzalı ve güvenilir bir CA'dan değil.
Düzeltme: Sunucunuzun zincir dosyasından kök sertifikayı kaldırın. Sunucunuz yalnızca leaf + ara sertifika(lar) göndermelidir. Tarayıcılar zaten güven deposunda köke sahiptir — göndermek gereksizdir ve bu hataya neden olabilir.
Yanlış Sertifika Sırası
Hata mesajı: Zincir doğrulaması sessizce başarısız olabilir veya "sertifika güvenilir değil" uyarıları üretebilir.
Neden: Zincir dosyasındaki sertifikalar yanlış sırada.
Düzeltme: Doğru sıra her zaman şöyledir: önce leaf sertifika, ardından leaf'e en yakından köke en yakına doğru ara sertifika(lar). Kök sertifikayı asla dahil etmeyin.
Zincirde Süresi Dolmuş Sertifika
Hata mesajı: "certificate has expired" — ancak leaf sertifikanızın son kullanma tarihi doğru görünüyor.
Neden: Zincirdeki bir ara sertifikanın süresi dolmuş. Bu daha az yaygındır ancak CA'lar ara sertifikalarını değiştirdiğinde olabilir.
Düzeltme: CA'nızdan güncel ara sertifikayı indirin ve eskisini değiştirin. Ardından güncellenmiş zinciri doğrulamak için SSL Denetleyicimizi kullanın.
Sertifika Zinciri En İyi Uygulamaları
Her zaman ara sertifikaları yükleyin — Tarayıcının kendi başına çözeceğini asla varsaymayın. Sunucunuzu her zaman tam zinciri (leaf + ara) gönderecek şekilde yapılandırın.
Kökü göndermeyin — Tarayıcılar zaten kök sertifikalara sahiptir. Kökü dahil etmek bant genişliğini boşa harcar ve bazı istemcilerde hatalara neden olabilir.
Doğru sırayı koruyun — Önce leaf, sonra ara sertifikalar, kök yok. Bazı sunucular sıra konusunda titizdir; diğerleri tolere eder ancak doğrulamada daha yavaş olabilir.
Son kullanma tarihini izleyin — Ara sertifikaların da süresi dolar. Uyarılar ayarlayın veya otomatik sertifika yönetimi kullanın (Let's Encrypt ile certbot gibi).
Değişikliklerden sonra doğrulayın — Sertifika yeniledikten veya barındırma değiştirdikten sonra, zinciri her zaman SSL Denetleyicimiz gibi bir araçla kontrol edin. Yenilemeden önce çalışan, CA aracısını değiştirmişse yenilemeden sonra çalışmayabilir.
OCSP Stapling kullanın — Tarayıcıların CA'ya doğrudan başvurmadan sertifika iptal durumunu daha hızlı doğrulayabilmesi için sunucunuzda OCSP stapling'i etkinleştirin.
SSL sertifika zincirinizi şimdi kontrol edin
DNS Robot'un ücretsiz SSL Denetleyicisini kullanarak sertifika zincirinizi doğrulayın, son kullanma tarihlerini kontrol edin ve düzenleyen ayrıntılarını inceleyin — tek tıklamayla.
Try SSL DenetleyiciFrequently Asked Questions
SSL sertifika zinciri, web sitenizin SSL sertifikasını güvenilir bir kök Sertifika Otoritesine (CA) bağlayan dijital sertifikaların sıralı dizisidir. Genellikle üç seviye içerir: leaf (sunucu) sertifika, bir veya daha fazla ara sertifika ve tarayıcınızın zaten güvendiği kök sertifika.