Birkaç yıl öncesine kadar bir web sitesine SSL sertifikası kurmak yorucu bir el işiydi. Bir sertifika otoritesinin sitesine giriyor, form dolduruyor, CSR oluşturup yapıştırıyor, e-postayla gelen doğrulama bağlantısına tıklıyor ve elle indirdiğiniz dosyaları sunucuya kopyalıyordunuz. Üstelik sertifikanın süresi bir yıl sonra dolduğunda tüm bu döngüyü baştan yaşıyordunuz. Bu manuel süreç hem hataya çok açıktı hem de "sertifikamın süresi bitti, sitem güvensiz görünüyor" panikleri sık yaşanırdı. İşte ACME protokolü tam olarak bu acıyı ortadan kaldırmak için tasarlandı.
ACME, açılımıyla Automatic Certificate Management Environment (Otomatik Sertifika Yönetim Ortamı), bir sunucu ile bir sertifika otoritesi arasında sertifika alma, yenileme ve iptal işlemlerini insan müdahalesi olmadan yürüten standart bir iletişim protokolüdür. RFC 8555 belgesiyle resmi bir internet standardı haline gelmiştir ve en çok Let's Encrypt sayesinde tanınır. Bu yazıda ACME'nin alan adı sahipliğini nasıl otomatik olarak kanıtladığını, HTTP-01 ve DNS-01 doğrulama tiplerinin farkını ve certbot ile acme.sh gibi istemcilerin bu protokolü pratikte nasıl kullandığını sistem yöneticisi gözüyle, örneklerle anlatacağım.
ACME Protokolü Neden Ortaya Çıktı#
ACME'nin çıkış noktasını anlamak için çözdüğü iki temel problemi görmek gerekir. Birincisi güven problemidir. Bir tarayıcının bir siteye yeşil kilit göstermesi için, o siteyi işleten kişinin gerçekten o alan adının sahibi olduğunu bir üçüncü tarafın (sertifika otoritesinin) doğrulaması gerekir. Klasik yöntemde bu doğrulama e-posta, telefon ya da elle yüklenen dosyalarla yapılırdı ve tamamı insan eliyle yürüyordu. İkincisi ise ölçek problemidir. İnternette milyonlarca alan adı var ve her birinin sertifikası düzenli olarak yenilenmek zorunda. Bunu elle yapmak imkansızdır.
ACME bu iki problemi tek bir makineler arası protokolde birleştirir. Sahiplik kanıtını (alan adı doğrulama) ve sertifika teslimini standart JSON tabanlı bir API üzerinden yürütür, böylece insan hiçbir adıma dokunmadan sertifika alınıp yenilenebilir. Let's Encrypt'in ücretsiz sertifikalarını mümkün kılan da tam olarak budur; sertifika otoritesi maliyetlerinin büyük kısmı manuel doğrulama emeğidir ve ACME o emeği sıfıra indirdiği için sertifikalar bedava sunulabilir hale gelmiştir. Let's Encrypt ekosistemine bütünsel bakmak isterseniz Let's Encrypt ile ücretsiz SSL yazımız iyi bir tamamlayıcıdır.
Bir başka önemli etki de sertifika ömürlerinin kısalmasıdır. Elle yönetilen sertifikalar bir ya da iki yıllık olurdu çünkü yenileme zahmetliydi. ACME ile yenileme otomatikleştiği için Let's Encrypt sertifikaları 90 gün gibi kısa bir ömre sahiptir. Kısa ömür güvenliği artırır; çalınan bir özel anahtarın kötüye kullanım penceresi daralır ve iptal listelerine olan bağımlılık azalır.
ACME Nasıl Çalışır: Hesap, Sipariş ve Doğrulama Akışı#
ACME protokolü, sunucunuzda çalışan bir "ACME istemcisi" ile sertifika otoritesinin "ACME sunucusu" arasında geçen bir dizi imzalı mesajdan oluşur. Her mesaj JSON Web Signature (JWS) ile imzalanır, yani istemcinin özel anahtarıyla kriptografik olarak doğrulanır. Bu, araya giren bir saldırganın istekleri değiştiremeyeceği anlamına gelir. Akışı sadeleştirilmiş bir sırayla anlatalım.
İlk adımda istemci bir hesap anahtar çifti üretir ve sertifika otoritesinde bir hesap oluşturur. Bu anahtar, sertifikanın özel anahtarından ayrıdır; sadece protokol mesajlarını imzalamak için kullanılır. İkinci adımda istemci bir "sipariş" (order) oluşturur ve hangi alan adları için sertifika istediğini bildirir. Sertifika otoritesi bu siparişe karşılık, her alan adı için bir "yetkilendirme" (authorization) ve içinde çözülmesi gereken "meydan okumalar" (challenges) döndürür.
Üçüncü ve en kritik adım doğrulamadır. İstemci, kendisine verilen meydan okumayı çözerek alan adının sahibi olduğunu kanıtlar. Bunu ya bir dosyayı web sunucusunda yayınlayarak (HTTP-01) ya da DNS'e özel bir kayıt ekleyerek (DNS-01) yapar. Kanıt yerine oturunca istemci sertifika otoritesine "hazırım, kontrol et" der. Dördüncü adımda sertifika otoritesi bu kanıtı doğrular; başarılıysa istemci bir CSR (Certificate Signing Request) gönderir ve karşılığında imzalı sertifikayı indirir. Kaba bir akış şeması şöyledir.
İstemci ACME Sunucusu (CA)
| hesap oluştur (imzalı) -> |
| <- hesap URL'si |
| sipariş oluştur -> | (alan adları)
| <- authorization + challenge listesi
| challenge'ı çöz | (dosya veya TXT kaydı)
| "hazırım" (imzalı) -> |
| | -> alan adını sorgular, kanıtı kontrol eder
| <- doğrulandı (valid) |
| CSR gönder -> |
| <- imzalı sertifika |
Bu akışın tamamı saniyeler sürer ve her yenilemede aynı şekilde tekrar eder. İstemci hesap anahtarını sakladığı için ilk hesap oluşturma adımı sonraki çalıştırmalarda atlanır. SSL sertifikalarının bileşenlerine ve terimlerine yabancıysanız SSL sertifikası nedir yazımız temeli oturtur.
HTTP-01 Doğrulaması: Dosya Tabanlı Kanıt#
HTTP-01, ACME'nin en yaygın kullanılan doğrulama tipidir çünkü ek yapılandırma gerektirmez; alan adı zaten bir web sunucusuna işaret ediyorsa doğrudan çalışır. Mantığı basittir: sertifika otoritesi istemciye rastgele bir "token" verir, istemci bu token'ı ve hesap anahtarının parmak izini birleştirip belirli bir dosya yolunda yayınlar, ardından sertifika otoritesi HTTP üzerinden bu dosyayı okumaya çalışır.
Doğrulama dosyası her zaman şu sabit yolda aranır: http://alanadi.com/.well-known/acme-challenge/<token>. Sertifika otoritesi bu isteği 80 numaralı port üzerinden yapar ve dönen içeriğin beklediği değerle eşleşmesini bekler. Eğer eşleşirse alan adının o sunucu tarafından kontrol edildiğine ikna olur. İstemci bunu genellikle geçici bir web sunucusu açarak ya da mevcut web sunucusunun kök dizinine dosya bırakarak halleder.
Nginx kullanan bir sunucuda, ACME istemcisinin dosyayı bırakabilmesi için .well-known/acme-challenge/ yolunu bir dizine yönlendirmek yaygın bir pratiktir.
server {
listen 80;
server_name alanadi.com www.alanadi.com;
# ACME HTTP-01 doğrulaması için
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
default_type "text/plain";
}
# Diğer tüm trafiği HTTPS'e yönlendir
location / {
return 301 https://$host$request_uri;
}
}
HTTP-01'in avantajı kurulumunun kolay ve tamamen otomatik olmasıdır; DNS sağlayıcınıza dokunmanız gerekmez. Ancak iki önemli kısıtı vardır. Birincisi, 80 numaralı portun internete açık ve sertifika otoritesinden erişilebilir olması şarttır; bir firewall ya da CDN arkasındaysanız sorun çıkabilir. İkincisi ve daha önemlisi, HTTP-01 ile wildcard (joker) sertifika, yani *.alanadi.com alınamaz. Wildcard için mutlaka DNS-01 gerekir. Sunucunuzda güvenlik duvarı ve trafik yönetimi katmanı kuruyorsanız WAF ve DDoS koruma hizmetlerimizin ACME trafiğini engellemeyecek şekilde ayarlanması önemlidir.
DNS-01 Doğrulaması: TXT Kaydı ve Wildcard Sertifikalar#
DNS-01 doğrulaması, sahipliği web sunucusu üzerinden değil, alan adının DNS bölgesi üzerinden kanıtlar. Mantık şudur: bir alan adının DNS kayıtlarını yalnızca o alan adının gerçek sahibi değiştirebilir. Sertifika otoritesi istemciye bir token verir, istemci bundan bir değer türetir ve _acme-challenge.alanadi.com adında bir TXT kaydı olarak DNS'e ekler. Sertifika otoritesi sonra bu TXT kaydını sorgular; doğru değeri görürse sahipliğe ikna olur.
Örnek bir doğrulama TXT kaydı DNS bölgesinde şöyle görünür.
_acme-challenge.alanadi.com. 300 IN TXT "gT5x1kd0oP...bqZ9wYc"
DNS-01'in en büyük üstünlüğü wildcard sertifikaları desteklemesidir. *.alanadi.com gibi tek bir sertifikayla sınırsız alt alan adını kapsamak istiyorsanız, sertifika otoritesi bunu yalnızca DNS-01 ile verir; çünkü tek bir alt alan adının web sunucusuna dosya koymak, tüm alt alanların kontrolünü kanıtlamaz. İkinci avantajı, web sunucusunun ya da 80 numaralı portun internete açık olmasına gerek olmamasıdır. Bu sayede iç ağdaki, henüz yayına almadığınız ya da yalnızca VPN arkasından erişilen sistemler için bile sertifika alabilirsiniz.
Dezavantajı ise otomasyonun DNS sağlayıcınıza bağlı olmasıdır. TXT kaydını elle eklerseniz her 90 günde bir bunu tekrar yapmanız gerekir ki bu ACME'nin ruhuna aykırıdır. Tam otomatik yenileme için DNS sağlayıcınızın bir API'si olmalı ve ACME istemcinizin o API için bir eklentisi bulunmalıdır. Bir başka pratik detay da DNS yayılma (propagation) gecikmesidir; TXT kaydı eklendikten sonra sertifika otoritesinin onu görebilmesi için kısa bir süre beklemek gerekebilir. Alan adı ve DNS yönetiminizi bizden alıyorsanız alan adı panelimizdeki DNS düzenleyici bu kayıtları desteklenen API üzerinden otomatik yönetebilir.
Doğrulama Tiplerinin Karşılaştırması#
ACME'nin bugün desteklediği üç ana doğrulama tipi vardır: HTTP-01, DNS-01 ve nispeten daha az bilinen TLS-ALPN-01. TLS-ALPN-01, doğrulamayı 443 portu üzerinden özel bir TLS el sıkışmasıyla yapar ve genellikle ters vekil sunucular (reverse proxy) ile yük dengeleyiciler tarafından kullanılır; 80 portunu açmadan doğrulama yapmak isteyen ama DNS otomasyonu kurmak istemeyen senaryolara uygundur. Çoğu son kullanıcının pratikte seçim yapacağı iki tip HTTP-01 ve DNS-01'dir. Aşağıdaki tablo hangi durumda hangisinin uygun olduğunu özetler.
| Özellik | HTTP-01 | DNS-01 | TLS-ALPN-01 |
|---|---|---|---|
| Kanıt yöntemi | .well-known altında dosya | _acme-challenge TXT kaydı | 443 üzerinde özel TLS sertifikası |
| Wildcard desteği | Hayır | Evet | Hayır |
| Gerekli port | 80 | Yok | 443 |
| Web sunucusu şart mı | Evet | Hayır | Evet (TLS katmanı) |
| DNS API gerekir mi | Hayır | Evet (otomasyon için) | Hayır |
| Kurulum kolaylığı | En kolay | Orta | İleri seviye |
| İç ağ sistemleri | Zor | Kolay | Zor |
Pratik kural şudur: tek bir alan adınız veya birkaç sabit alt alan adınız varsa ve web sunucunuz internete açıksa HTTP-01 en pratik seçimdir. Bir wildcard sertifikaya ihtiyacınız varsa ya da çok sayıda alt alan adını tek sertifikada toplamak istiyorsanız DNS-01 zorunludur. Kurumsal bir yük dengeleyici ya da vekil katmanı yönetiyorsanız ve 80 portunu dışarı açmak istemiyorsanız TLS-ALPN-01 devreye girer. Bu kararların altyapı planlamasıyla iç içe olduğu durumlarda sunucu yönetimi hizmetimizle en uygun doğrulama tipini birlikte belirleyebiliriz.
certbot ile ACME Kullanımı#
certbot, Electronic Frontier Foundation tarafından geliştirilen ve Let's Encrypt'in resmi olarak önerdiği ACME istemcisidir. Python ile yazılmıştır, çoğu Linux dağıtımının depolarında bulunur ve Nginx ile Apache için otomatik yapılandırma eklentileri sunar. Temel bir HTTP-01 kurulumu son derece kısadır. Nginx üzerinde çalışan bir sunucuda tek komutla sertifika alıp yapılandırmaya işlemek şöyledir.
# certbot ve Nginx eklentisini kur (Debian/Ubuntu)
sudo apt update
sudo apt install certbot python3-certbot-nginx
# Sertifika al ve Nginx yapılandırmasını otomatik güncelle
sudo certbot --nginx -d alanadi.com -d www.alanadi.com
Bu komut arka planda tüm ACME akışını yürütür: hesabı oluşturur, siparişi açar, HTTP-01 meydan okumasını çözer, sertifikayı indirir ve Nginx yapılandırmanıza HTTPS bloğunu ekleyerek servisi yeniden yükler. İşiniz bittiğinde siteniz zaten HTTPS ile çalışıyor olur. Yalnızca sertifikayı alıp yapılandırmayı kendiniz yönetmek isterseniz certonly modunu kullanabilirsiniz.
Wildcard sertifika için certbot'un DNS-01 kullanması gerekir; bunun için DNS sağlayıcınıza uygun bir eklenti ve API anahtarı belirtilir. Örneğin Cloudflare için akış şöyledir.
# Cloudflare DNS eklentisiyle wildcard sertifika
sudo apt install python3-certbot-dns-cloudflare
# API anahtarını güvenli bir dosyaya koy (izinleri kısıtla)
echo "dns_cloudflare_api_token = TOKEN_DEGERI" | sudo tee /root/.secrets/cf.ini
sudo chmod 600 /root/.secrets/cf.ini
sudo certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials /root/.secrets/cf.ini \
-d alanadi.com -d "*.alanadi.com"
certbot kurulduğunda otomatik yenileme için sistemde bir zamanlanmış görev (systemd timer ya da cron) da tanımlar. Yenilemenin gerçekten çalıştığını sudo certbot renew --dry-run komutuyla önceden test etmek iyi bir alışkanlıktır; bu komut gerçek sertifikayı değiştirmeden tüm akışı prova eder. Kendi sunucusunu yöneten kullanıcılar için VDS sunucu ya da sanal sunucu çözümlerimiz certbot'u kök yetkiyle çalıştırmak için tam esneklik verir.
acme.sh ile Otomasyon ve Wildcard#
acme.sh, saf shell (bash/sh) ile yazılmış, bağımlılığı neredeyse sıfır olan bir başka popüler ACME istemcisidir. certbot'a göre en büyük avantajları Python gerektirmemesi, çok geniş bir DNS sağlayıcı listesini desteklemesi ve son derece hafif olmasıdır. Paylaşımlı hosting ya da kısıtlı bir ortamda root olmadan çalışabildiği için sistem yöneticileri arasında özellikle DNS-01 senaryolarında sevilir. Kurulumu ve temel bir wildcard sertifika alma akışı şöyledir.
# acme.sh kurulumu
curl https://get.acme.sh | sh -s [email protected]
# Varsayılan CA olarak Let's Encrypt seç
acme.sh --set-default-ca --server letsencrypt
# Cloudflare API bilgilerini ortam değişkeni olarak ver
export CF_Token="TOKEN_DEGERI"
export CF_Account_ID="HESAP_ID"
# DNS-01 ile wildcard sertifika al
acme.sh --issue --dns dns_cf -d alanadi.com -d "*.alanadi.com"
acme.sh'nin güçlü yanlarından biri sertifikayı aldıktan sonra --install-cert ile hedef yollara kopyalayıp ilgili servisi otomatik yeniden yükleyebilmesidir. Böylece sertifikayı Nginx'e, bir posta sunucusuna ya da bir uygulama sunucusuna elle taşımak zorunda kalmazsınız.
acme.sh --install-cert -d alanadi.com \
--key-file /etc/nginx/ssl/alanadi.key \
--fullchain-file /etc/nginx/ssl/alanadi.crt \
--reloadcmd "systemctl reload nginx"
acme.sh kurulumla birlikte kendi cron kaydını otomatik ekler ve sertifikaları süresi dolmadan önce sessizce yeniler. certbot ile acme.sh arasında seçim yaparken kaba bir yönlendirme şu şekildedir: Nginx/Apache ile derin entegrasyon ve resmi destek istiyorsanız certbot, en geniş DNS sağlayıcı yelpazesi ve minimum bağımlılık istiyorsanız acme.sh mantıklıdır. Her ikisi de aynı ACME protokolünü konuştuğu için ürettikleri sertifikalar birbirinden farksızdır. WordPress tabanlı sitelerinizde bu otomasyonu bizim yönetmemizi isterseniz WordPress bakım paketimiz SSL yenilemelerini de kapsar.
Yenileme, İptal ve Yaygın Hatalar#
ACME'nin gerçek değeri ilk sertifikayı almakta değil, onu sonsuza kadar otomatik yenilemekte ortaya çıkar. Let's Encrypt sertifikaları 90 günlüktür ve istemciler genellikle 30 gün kala yenilemeye başlar; bu tampon, geçici bir hata durumunda yeniden deneme için zaman bırakır. Yenileme başarısız olursa hiçbir şey kırılmaz, çünkü eski sertifika hâlâ geçerlidir ve istemci ertesi gün tekrar dener. Bir sertifikayı zamanından önce iptal etmek isterseniz (örneğin özel anahtar sızdıysa) bu da protokolde tanımlıdır: certbot revoke --cert-path /etc/letsencrypt/live/alanadi.com/cert.pem gibi bir komut sertifikayı iptal listesine ekler.
Uygulamada en sık karşılaşılan sorunlara ve çözümlerine kısaca değinelim. HTTP-01 doğrulaması başarısız olduğunda genellikle suçlu, 80 portunun bir güvenlik duvarı ya da CDN tarafından engellenmesi ya da .well-known/acme-challenge/ yolunun web sunucusunda erişilemez olmasıdır; doğrulama dosyasına tarayıcıdan elle erişmeyi deneyerek bunu hızlıca test edebilirsiniz. DNS-01'de en sık hata, TXT kaydının henüz yayılmamış olmasıdır; bu durumda birkaç dakika beklemek ya da istemcinin bekleme süresini artırmak çözer. Bir diğer sık takıntı ise Let's Encrypt'in oran sınırlarıdır (rate limits); aynı alan adı için haftada belli sayıda sertifika alabilirsiniz, bu yüzden test yaparken mutlaka --staging (deneme) ortamını kullanın.
Aşağıdaki tablo bu üç yaygın sorunu ve pratik çözümü özetler.
| Belirti | Olası neden | Çözüm |
|---|---|---|
HTTP-01 connection refused | 80 portu kapalı / firewall | Portu aç, CDN'i doğrulama sırasında baypas et |
HTTP-01 404 not found | .well-known yolu yanlış | Nginx/Apache challenge location bloğunu ekle |
DNS-01 incorrect TXT | Kayıt yayılmadı | Bekle, TTL düşür, propagation kontrol et |
too many certificates | Oran sınırı aşıldı | --staging ile test et, sonra üretime geç |
| Yenileme çalışmıyor | cron/timer yok | certbot renew --dry-run ile test et |
Otomasyon zincirinin en zayıf halkası çoğu zaman yenilemenin gerçekten çalıştığından emin olmamaktır. Bir sistem yöneticisi olarak tavsiyem, sertifika süresini bir izleme aracıyla takip etmek ve süresi dolmaya yaklaşan sertifikalar için uyarı almaktır. Sunucu ve servis izlemesini panel üzerinden yaparken SSL doğrulama araçlarımıza ve düzenli yedekleme altyapımıza da göz atmanızı öneririm; bir sunucu taşıması sırasında sertifika sürekliliği kritikse site taşıma ekibimiz bu geçişi kesintisiz yönetir.
Sıkça Sorulan Sorular#
ACME protokolü sadece Let's Encrypt ile mi kullanılır?#
Hayır, ACME açık bir standart olduğu için birden fazla sertifika otoritesi tarafından desteklenir. Let's Encrypt en tanınmış olanı olsa da ZeroSSL, Buypass ve Google Trust Services gibi otoriteler de ACME uyumlu sertifika sunar. Aynı ACME istemcisiyle (örneğin acme.sh ya da certbot) sadece sunucu adresini değiştirerek farklı bir otoriteden sertifika alabilirsiniz. Yani ACME'yi öğrenmek sizi tek bir sağlayıcıya kilitlemez, ekosistemin tamamına erişim kazandırır.
HTTP-01 ve DNS-01 arasında nasıl seçim yaparım?#
Kararı belirleyen iki temel soru vardır: wildcard sertifikaya ihtiyacınız var mı ve web sunucunuz 80 portundan internete açık mı? Eğer *.alanadi.com gibi bir joker sertifika istiyorsanız DNS-01 zorunludur, başka seçeneğiniz yoktur. Tek bir alan adı ya da birkaç sabit alt alan adı için, web sunucunuz internete açıksa HTTP-01 en pratik ve en az yapılandırma gerektiren seçenektir. İç ağdaki ya da henüz yayında olmayan sistemler için ise DNS-01 daha uygundur çünkü web sunucusuna erişim gerektirmez.
Let's Encrypt sertifikaları neden 90 günlük?#
Kısa ömür bilinçli bir güvenlik tercihidir ve ACME sayesinde mümkün olur. Sertifikalar otomatik yenilendiği için uzun ömürlü olmalarına gerek yoktur; kısa ömür ise çalınan bir özel anahtarın kötüye kullanılabileceği süreyi daraltır ve iptal mekanizmalarına olan bağımlılığı azaltır. Uygulamada istemciler sertifikayı 30 gün kala yenilemeye başladığı için siz bu 90 günlük döngüyü hiç fark etmezsiniz; her şey arka planda otomatik akar. Bu yüzden kısa ömür bir dezavantaj değil, otomasyonun getirdiği bir güvenlik kazancıdır.
ACME yenilemesi başarısız olursa sitem çöker mi?#
Hayır, tek bir başarısız yenileme sitenizi anında çökertmez çünkü eski sertifikanız süresi dolana kadar geçerli kalmaya devam eder. İstemciler yenilemeyi süre dolmadan haftalar önce dener ve bir deneme başarısız olursa ertesi gün tekrar dener; bu tampon süre geçici sorunları tolere etmek için tasarlanmıştır. Asıl risk, yenileme mekanizmasının (cron ya da systemd timer) hiç çalışmadığının haftalarca fark edilmemesidir. Bu yüzden certbot renew --dry-run ile provayı düzenli test etmek ve sertifika süresini izlemek önemlidir.
Wildcard sertifika için mutlaka DNS API'si şart mı?#
Tam otomatik yenileme istiyorsanız pratikte evet, DNS sağlayıcınızın bir API'si ve istemcinizde ona uygun bir eklenti olması gerekir. Teknik olarak TXT kaydını her seferinde elle ekleyerek de wildcard sertifika alabilirsiniz, ancak bu her 90 günde bir tekrar yapılması gereken manuel bir iş olur ve ACME'nin otomasyon amacına aykırıdır. DNS sağlayıcınız API sunmuyorsa CNAME yönlendirmesiyle _acme-challenge kaydını API destekleyen başka bir bölgeye taşımak (acme-dns benzeri çözümler) bir alternatiftir. En temizi ise DNS'i API destekli bir sağlayıcıda tutmaktır.
certbot mu acme.sh mi kullanmalıyım?#
İkisi de aynı ACME protokolünü konuştuğu için ürettikleri sertifikalar birebir aynıdır, seçim ihtiyaca göre değişir. Nginx ya da Apache ile derin ve otomatik entegrasyon, resmi destek ve geniş dokümantasyon istiyorsanız certbot güçlü bir tercihtir. Minimum bağımlılık, çok geniş DNS sağlayıcı desteği, root gerektirmeden çalışabilme ve saf shell hafifliği önceliğinizse acme.sh öne çıkar; özellikle wildcard ve DNS-01 senaryolarında çok esnektir. Birçok yönetici her iki aracı da farklı sunucularda kullanır; ikisini öğrenmek de değerlidir.
Kapanış#
ACME protokolü, SSL sertifikası yönetimini zahmetli bir el işinden görünmez bir otomasyona dönüştürerek modern web güvenliğinin temel taşlarından biri haline geldi. Alan adı sahipliğini HTTP-01 ile dosya üzerinden ya da DNS-01 ile TXT kaydı üzerinden kanıtlayan bu akıllı doğrulama mantığı sayesinde, artık hiç kimse "sertifikam doldu" paniği yaşamak zorunda değil. certbot ve acme.sh gibi istemciler bu protokolü sizin yerinize konuşur; siz yalnızca bir kez kurar, gerisini otomasyona bırakırsınız. Wildcard ihtiyacınız varsa DNS-01, basit tek alan adı senaryolarında HTTP-01 doğru başlangıç noktasıdır.
Bu otomasyonu kendi sunucunuzda kurmak yerine hazır ve yönetilen bir ortamda çalıştırmak isterseniz Clou.TR olarak yanınızdayız. Ücretsiz ve otomatik yenilenen SSL içeren web hosting ve WordPress hosting paketlerimizle sertifikayı hiç düşünmeden yayına çıkabilir, tam kontrol isteyen projeleriniz için sunucu çözümlerimizi tercih edebilirsiniz. İhtiyaçlarınıza en uygun SSL ve otomasyon kurgusunu birlikte planlamak için SSL hizmetimize göz atın; ekibimiz doğrulama tipinden yenileme takibine kadar tüm süreçte yanınızda olur.