Bir hosting hesabında yeni bir alan adı ya da alt alan adı oluşturduğunuzda, o adresin https:// üzerinden ilk andan itibaren geçerli bir kilit simgesiyle açılmasını beklersiniz. Eskiden bu, sertifika satın alıp CSR üretmek, dosya doğrulaması yapmak ve her yıl elle yenilemekle geçen sıkıcı bir süreçti. cPanel'in AutoSSL özelliği tam olarak bu işi ortadan kaldırmak için var: hesabınızdaki alan adlarına ücretsiz bir alan adı doğrulamalı (DV) SSL sertifikasını sizin adınıza kurar ve süresi dolmadan otomatik olarak yeniler. Yani çoğu durumda hiçbir şey yapmanıza gerek kalmadan siteniz şifreli yayınlanmaya başlar.
Bu rehberde AutoSSL'in tam olarak ne yaptığını, hangi sertifika sağlayıcısını kullandığını, SSL/TLS Status ekranından nasıl çalıştırıldığını ve bir alan adının kapsamına neden bazen giremediğini gerçek örneklerle ele alıyoruz. Özellikle "sertifika neden çıkmıyor?" sorusuna odaklanacağız; çünkü AutoSSL'in kendisi kurulduktan sonra çalışan sorunların neredeyse tamamı yanlış DNS, harici DNS yönetimi ya da başarısız doğrulama (DCV) kaynaklıdır. Konunun temeline inmek isterseniz SSL sertifikası nedir yazımız iyi bir başlangıç noktasıdır.
AutoSSL Nedir ve Nasıl Çalışır?#
AutoSSL, cPanel & WHM içine gömülü bir otomasyon sistemidir. Sunucu yöneticisi WHM tarafında bir sertifika sağlayıcısı seçer, cPanel tarafında ise her kullanıcı hesabı için AutoSSL periyodik olarak çalışıp o hesaba bağlı tüm alan adlarını tarar. Kapsamı olmayan (yani geçerli bir sertifikası bulunmayan ya da süresi dolmak üzere olan) alan adları için otomatik olarak yeni bir DV sertifikası talep eder, doğrulamayı yapar, sertifikayı kurar ve web sunucusunu yeni sertifikayı kullanacak şekilde günceller.
Sürecin kalbinde alan adı kontrol doğrulaması yani DCV (Domain Control Validation) vardır. Sertifika otoritesi, bir alan adına sertifika vermeden önce o alan adının gerçekten sizin kontrolünüzde olduğunu kanıtlamanızı ister. AutoSSL bunu iki yöntemden biriyle halleder: ya alan adının belge kök dizinine geçici bir doğrulama dosyası koyar (HTTP tabanlı doğrulama), ya da alan adına geçici bir TXT DNS kaydı ekler (DNS tabanlı doğrulama). Sağlayıcı bu izleri görüp doğruladığında sertifika verilir.
AutoSSL'i geleneksel sertifika yönetiminden ayıran birkaç temel nokta şudur:
- Sıfır elle müdahale: Sertifika alma, kurma ve yenileme tamamen otomatiktir. Yeni bir alan adı eklediğinizde bir sonraki AutoSSL turunda kendiliğinden kapsama alınır.
- Ücretsiz DV sertifikaları: Sağlanan sertifikalar alan adı doğrulamalıdır; şifreleme gücü ücretli DV sertifikalarıyla birebir aynıdır. Kurumsal kimlik doğrulaması (OV/EV) gerektiren senaryolar bunun dışındadır.
- Kısa yenileme döngüsü: Sertifikalar dolmalarına belirli bir süre kala (tipik olarak ~13-25 gün) otomatik yenilenir. Bir gün bile şifresiz kalma riskini ortadan kaldıracak biçimde tasarlanmıştır.
Kısacası AutoSSL, Let's Encrypt ve Certbot ikilisinin komut satırında yaptığı işi, cPanel arayüzünün içinde tıklamasız hâle getiren bir katmandır.
AutoSSL Hangi Sağlayıcıyı Kullanır?#
WHM'de AutoSSL için genellikle iki sertifika sağlayıcısı seçeneği bulunur ve hangisinin aktif olduğu, alan adı kapsamı ve limitler açısından önemlidir.
| Sağlayıcı | Doğrulama | Joker (wildcard) desteği | Notlar |
|---|---|---|---|
| Sectigo (cPanel varsayılanı) | HTTP (DCV dosyası) | Hayır | cPanel lisansıyla gelir, kurulumu hazırdır |
| Let's Encrypt (eklenti) | HTTP ve DNS-01 | Evet (DNS ile) | Ayrı kurulum ve ISRG şartları kabulü gerektirir |
| ZeroSSL (bazı sürümler) | HTTP ve DNS | Evet (DNS ile) | Sağlayıcı listesine eklenmesi gerekir |
Çoğu paylaşımlı hosting sunucusunda varsayılan olarak Sectigo (eski adıyla Comodo) sağlayıcısı etkindir; çünkü cPanel lisansıyla birlikte gelir ve ek yapılandırma istemez. Sectigo sağlayıcısı HTTP tabanlı doğrulama kullanır ve joker sertifika üretmez — her alan adı ve alt alan adı tek tek sertifikaya işlenir. Eğer *.ornek.com gibi bir joker sertifikaya ihtiyacınız varsa, sunucu yöneticisinin AutoSSL sağlayıcısını Let's Encrypt olarak değiştirmesi ve DNS tabanlı doğrulamayı yapılandırması gerekir.
Sağlayıcı seçimi WHM tarafında Home » SSL/TLS » Manage AutoSSL ekranından yapılır. Son kullanıcı (cPanel müşterisi) bu seçimi değiştiremez; yalnızca kendi hesabındaki alan adları için AutoSSL'i çalıştırabilir ve sonucu görebilir. Sunucu yönetimini bize bıraktığınız yönetimli hosting ve sunucu yönetimi hizmetlerinde bu sağlayıcı yapılandırması sizin adınıza en uygun şekilde ayarlanır.
SSL/TLS Status Ekranından AutoSSL Çalıştırma#
cPanel'de AutoSSL'in kalbi SSL/TLS Status ekranıdır. Buraya cPanel ana sayfasında Security (Güvenlik) bölümü altındaki SSL/TLS Status kutucuğundan ulaşırsınız. Ekran, hesabınıza bağlı tüm alan adlarını ve her birinin sertifika durumunu tek bir tabloda listeler.
Tablodaki her satırın solunda bir durum simgesi yer alır ve şu anlamlara gelir:
- Yeşil kilit (AutoSSL Domain Validated): Alan adı AutoSSL tarafından başarıyla kapsanmış, geçerli bir sertifikası var.
- Yeşil kilit (Manually Installed): Elle kurulmuş, geçerli bir sertifika var; AutoSSL bu alan adına dokunmaz.
- Turuncu/sarı uyarı: Sertifika var ama süresi dolmak üzere ya da bazı alt alan adları kapsam dışı.
- Kırmızı kilit (Untrusted / Excluded / No Certificate): Alan adının geçerli bir sertifikası yok ya da AutoSSL kapsamından çıkarılmış.
Yeni bir alan adı eklediyseniz ve otomatik turun çalışmasını beklemek istemiyorsanız, sertifika sürecini Run AutoSSL düğmesine tıklayarak elle tetikleyebilirsiniz. AutoSSL kapsam dışı alan adlarını tarar, doğrulamayı dener ve başarılı olanlara sertifika kurar. İşlem alan adı sayısına göre birkaç dakika sürebilir; ekranı yenilediğinizde güncel durumu görürsünüz.
Belirli bir alan adını AutoSSL kapsamından çıkarmak isterseniz (örneğin o alan adı başka bir sunucuya taşınacaksa ve doğrulama sürekli başarısız olup log kirletiyorsa), satırdaki Exclude from AutoSSL kutusunu işaretlemeniz yeterlidir. Tekrar dahil etmek için aynı kutunun işaretini kaldırıp AutoSSL'i yeniden çalıştırırsınız.
Sunucu yöneticisiyseniz aynı işlemi komut satırından da tetikleyebilirsiniz; bu, birçok hesabı topluca yenilemek için kullanışlıdır:
# Tek bir cPanel kullanıcısı için AutoSSL'i çalıştır
/usr/local/cpanel/bin/autossl_check --user kullaniciadi
# Sunucudaki tüm kullanıcılar için çalıştır
/usr/local/cpanel/bin/autossl_check --all
Kapsam Kontrolü ve Sertifika Doğrulama#
AutoSSL bir alan adına sertifika kurduktan sonra, işin gerçekten yolunda gittiğini teyit etmek iyi bir alışkanlıktır. İlk kontrol tarayıcıdır: https://ornek.com adresini ziyaret edip adres çubuğundaki kilit simgesine tıklayın, sertifikanın "veren" (issuer) alanında Sectigo ya da Let's Encrypt görünmeli ve geçerlilik tarihi güncel olmalıdır.
SSL/TLS Status ekranında bir alan adının satırını genişlettiğinizde, AutoSSL o alan adı için sertifikanın hangi adları (SAN — Subject Alternative Names) kapsadığını gösterir. Burada ornek.com, www.ornek.com ve varsa mail.ornek.com, cpanel.ornek.com gibi hizmet alt alan adlarının listelendiğini görmelisiniz. Bir alt alan adı listede yoksa, o alt alan adı için doğrulama başarısız olmuş demektir.
Komut satırından daha teknik bir kontrol yapmak isterseniz, sunucunun sunduğu sertifikanın gerçek ayrıntılarını openssl ile inceleyebilirsiniz:
# Sunucunun sunduğu sertifikanın veren ve geçerlilik bilgisi
echo | openssl s_client -connect ornek.com:443 -servername ornek.com 2>/dev/null \
| openssl x509 -noout -issuer -dates -subject
Bu komutun çıktısında issuer= satırında sertifika otoritesini, notAfter= satırında ise son geçerlilik tarihini görürsünüz. Tarih yaklaştıkça AutoSSL'in yenilemeyi zaten üstleneceğini unutmayın; bu kontrol yalnızca mevcut durumu doğrulamak içindir. Sertifikanın kapsadığı tüm adları (SAN listesini) görmek için de şu komutu kullanabilirsiniz:
echo | openssl s_client -connect ornek.com:443 -servername ornek.com 2>/dev/null \
| openssl x509 -noout -text | grep -A1 "Subject Alternative Name"
Eğer beklediğiniz bir alt alan adı bu listede yoksa, sorun büyük olasılıkla o alt alan adının DNS'inde ya da doğrulama aşamasındadır — ki bir sonraki bölümlerin konusu tam olarak budur.
Sertifika Neden Çıkmıyor? Yaygın Nedenler#
AutoSSL etkin olduğu hâlde bir alan adının kırmızı kilitle kalmasının neredeyse tüm nedenleri, doğrulama (DCV) aşamasının başarısız olmasıyla ilgilidir. Sertifika otoritesi alan adının kontrolünü kanıtlayamazsa sertifika vermez ve AutoSSL o alan adını atlar. Nedenleri en sık görülenden başlayarak inceleyelim.
1. Alan adı bu sunucuya yönlendirilmemiş (yanlış DNS). AutoSSL'in HTTP doğrulaması, alan adının A kaydının bu sunucunun IP adresini göstermesine dayanır. Alan adı hâlâ eski bir hosting sağlayıcısını ya da yanlış bir IP'yi işaret ediyorsa, doğrulama dosyası bu sunucuda oluşturulur ama sertifika otoritesi başka bir sunucuya gidip dosyayı bulamaz. Alan adının nereye çözümlendiğini şöyle doğrularsınız:
; Alan adının hangi IP'ye çözümlendiğini görün
dig +short ornek.com A
dig +short www.ornek.com A
Dönen IP, hosting hesabınızın paylaşımlı sunucu IP'siyle aynı olmalıdır. Farklıysa, alan adının DNS kayıtlarını bu sunucunun IP'sini gösterecek şekilde düzeltmeniz gerekir. Alan adını yeni taşıdıysanız DNS yayılma süresinin birkaç saati bulabileceğini de hesaba katın.
2. DNS yönetimi harici bir sağlayıcıda (Cloudflare vb.). Alan adının nameserver'ları Cloudflare gibi harici bir sağlayıcıya devredilmişse, A kaydı bu sunucuda değil o panelde tanımlıdır. cPanel içindeki DNS bölgesini değiştirmeniz bir işe yaramaz; kaydı harici panelde düzeltmeniz gerekir. Ayrıca Cloudflare'de proxy (turuncu bulut) açıkken doğrulama davranışı değişebilir; AutoSSL sorunları yaşıyorsanız doğrulama tamamlanana kadar ilgili kaydı geçici olarak "DNS only" (gri bulut) yapmak süreci netleştirir.
3. Doğrulama dosyasına erişim engelleniyor. Bazı .htaccess kuralları, güvenlik duvarı ya da yönlendirmeler, doğrulama dosyasının bulunduğu /.well-known/pki-validation/ yolunu engelleyebilir. Sertifika otoritesi bu yola HTTP üzerinden erişemezse doğrulama başarısız olur. Bir sonraki bölümde bu senaryonun çözümünü ayrıntılandırıyoruz.
4. Alt alan adı hiç oluşturulmamış ya da yanlış yapılandırılmış. magaza.ornek.com gibi bir alt alan adı için sertifika bekliyorsanız ama bu alt alan adı cPanel'de tanımlı değilse ya da DNS'i eksikse, AutoSSL onu kapsayamaz. Alt alan adının hem cPanel'de var olduğundan hem de doğru IP'ye çözümlendiğinden emin olun. Konunun ayrıntısı için subdomain nedir yazısına göz atabilirsiniz.
DCV Doğrulama Hatalarını Çözme#
Yukarıdaki nedenlerin somut çözümlerini adım adım ele alalım. Bir alan adının sertifika alamamasının çözümü neredeyse her zaman DCV'nin geçmesini sağlamaktan geçer.
DNS kaydını düzeltmek. En sık karşılaşılan durum, alan adının bu sunucuyu göstermemesidir. Alan adının nameserver'ları hosting sağlayıcınıza aitse, doğru A kaydını cPanel'in Zone Editor bölümünden düzeltirsiniz. Nameserver'lar harici bir panelde (Cloudflare, alan adı kayıt firması vb.) yönetiliyorsa, kaydı orada güncellemeniz gerekir. Hedef IP olarak, cPanel ana sayfasının sağ sütunundaki Shared IP Address değerini kullanın.
Doğrulama yolunu açmak. AutoSSL'in Sectigo sağlayıcısı, doğrulama dosyasını http://ornek.com/.well-known/pki-validation/ altına koyar. Bu yol dışarıya erişilebilir olmalıdır. Sitenizde her isteği HTTPS'e ya da tek bir dosyaya zorlayan bir kural varsa, doğrulama yolunu bu kuraldan muaf tutun. Örneğin .htaccess içindeki yönlendirme kuralınıza şu istisnayı ekleyin:
# Apache .htaccess — doğrulama yolunu yönlendirmeden muaf tut
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/\.well-known/
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
Buradaki RewriteCond %{REQUEST_URI} !^/\.well-known/ satırı, .well-known ile başlayan istekleri HTTPS yönlendirmesinin dışında bırakır; böylece sertifika otoritesi doğrulama dosyasına düz HTTP üzerinden ulaşabilir. .htaccess yönlendirmeleri konusunda derinleşmek isterseniz .htaccess yönlendirme rehberimiz faydalı olacaktır.
Harici DNS'te doğrulama. Sağlayıcı DNS tabanlı doğrulamaya (DNS-01) düşerse, AutoSSL sizden alan adınıza bir TXT kaydı eklemenizi bekleyebilir. WHM'de sunucu yöneticisi bu bekleyen DCV kayıtlarını Manage AutoSSL » Manage Users ya da AutoSSL loglarından görebilir. Kayıt tipik olarak şu biçimdedir:
; AutoSSL'in beklediği örnek DCV kaydı (harici DNS panelinize ekleyin)
_cpanel-dcv-test-record.ornek.com. IN TXT "cpanel-dcv-...rastgele-deger..."
Bu TXT kaydını harici DNS panelinize ekleyip yayılmasını bekledikten sonra AutoSSL'i yeniden çalıştırdığınızda doğrulama geçer.
Logları okumak. Bir alan adının neden atlandığını en kesin biçimde AutoSSL loglarından öğrenirsiniz. Sunucu yöneticisiyseniz son çalıştırmanın logunu şuradan inceleyebilirsiniz:
# En güncel AutoSSL log dizinini bul ve son satırlarını oku
ls -t /var/cpanel/logs/autossl/ | head -1
Log çıktısında DCV ve The domain failed domain control validation gibi ifadeler, tam olarak hangi alan adının hangi aşamada takıldığını söyler. Bu satırları okuyarak sorunun DNS mi, engellenen bir yol mu yoksa eksik bir alt alan adı mı olduğunu netleştirebilirsiniz. Genel SSL uyarıları ve tarayıcı hataları için ayrıca SSL hataları çözümü başlığındaki temel kavramlar da işinize yarar.
AutoSSL, Let's Encrypt ve Ücretli SSL Karşılaştırması#
Hangi yolun sizin için doğru olduğunu netleştirmek adına üç yaygın seçeneği aynı tabloda toplayalım.
| Özellik | cPanel AutoSSL (Sectigo) | Let's Encrypt (Certbot) | Ücretli SSL (OV/EV) |
|---|---|---|---|
| Maliyet | Ücretsiz | Ücretsiz | Ücretli |
| Doğrulama türü | DV | DV | OV / EV |
| Kurulum | Otomatik (cPanel içinde) | Komut satırı | Elle / panel |
| Yenileme | Otomatik | Otomatik (timer/cron) | Elle ya da yıllık |
| Joker sertifika | Hayır (Sectigo ile) | Evet (DNS-01 ile) | Evet |
| Kurumsal kimlik | Hayır | Hayır | Evet |
| Uygun olduğu senaryo | Paylaşımlı hosting | Kendi sunucunuz | Kurumsal / e-ticaret |
Pratikte kural basittir: cPanel'li bir hosting hesabındaysanız AutoSSL neredeyse her zaman en pratik seçenektir; hiçbir şey yapmadan kilit simgesini alırsınız. Kendi sunucunuzu (VDS ya da sanal sunucu) yönetiyorsanız ve joker sertifika ya da tam kontrol istiyorsanız Let's Encrypt daha esnektir. Bir bankaya ya da büyük bir e-ticaret markasına ait, adres çubuğunda kurumsal kimlik göstermesi beklenen bir siteyse ancak o zaman ücretli bir OV/EV sertifikası devreye girer; bu tür ihtiyaçlar için SSL hizmetlerimize göz atabilirsiniz.
Sıkça Sorulan Sorular#
AutoSSL sertifikası gerçekten ücretsiz mi?#
Evet, tamamen ücretsizdir. AutoSSL'in kurduğu Sectigo ya da Let's Encrypt sertifikaları için ne ilk kurulumda ne de yenilemede herhangi bir ücret ödersiniz. Bu sertifikalar alan adı doğrulamalı (DV) sertifikalardır ve sundukları şifreleme, ücretli DV sertifikalarınınkiyle birebir aynıdır. Ödemeniz gereken tek "bedel", alan adınızın DNS'inin doğru sunucuyu göstermesini sağlamaktır; gerisini cPanel kendiliğinden halleder.
AutoSSL ile joker (wildcard) sertifika alabilir miyim?#
Bu, sunucunun hangi sağlayıcıyı kullandığına bağlıdır. cPanel'in varsayılan sağlayıcısı olan Sectigo, HTTP doğrulaması yaptığı için joker sertifika üretmez; her alt alan adını tek tek sertifikaya ekler. Joker sertifikaya (*.ornek.com) ihtiyacınız varsa, sunucu yöneticisinin AutoSSL sağlayıcısını Let's Encrypt olarak değiştirmesi ve DNS tabanlı doğrulamayı yapılandırması gerekir. Paylaşımlı hosting hesabında bu genellikle sağlayıcının kararına bağlıdır.
AutoSSL çalıştı ama bir alt alan adım hâlâ sertifikasız, neden?#
Bunun en yaygın nedeni, o alt alan adının doğrulamasının başarısız olmasıdır. Alt alan adı ya cPanel'de tanımlı değildir, ya DNS kaydı bu sunucuyu göstermiyordur, ya da doğrulama dosyasına erişim bir yönlendirme veya güvenlik kuralıyla engelleniyordur. Önce dig +short altad.ornek.com ile alt alan adının doğru IP'ye çözümlendiğini doğrulayın, ardından .well-known yolunun HTTP üzerinden erişilebilir olduğundan emin olun ve AutoSSL'i yeniden çalıştırın.
AutoSSL sertifikamı ne sıklıkla yeniler?#
AutoSSL, sunucuda günlük olarak çalışan bir arka plan görevidir ve süresi dolmaya yaklaşan sertifikaları otomatik olarak yeniler. Yenileme genellikle sertifikanın son kullanma tarihine yaklaşık iki-üç hafta kala tetiklenir; böylece bir gün bile şifresiz kalma riski oluşmaz. Yenileme için hiçbir şey yapmanız gerekmez, ancak istediğinizde SSL/TLS Status ekranından Run AutoSSL diyerek süreci elle de başlatabilirsiniz.
Kendi ücretli sertifikamı kurarsam AutoSSL onu bozar mı?#
Hayır. AutoSSL yalnızca geçerli bir sertifikası olmayan ya da AutoSSL'in kendi kurduğu bir sertifikanın süresi dolan alan adlarına dokunur. Elle kurduğunuz, süresi geçerli bir sertifika varsa AutoSSL o alan adını "Manually Installed" olarak işaretler ve üzerine yazmaz. Bu sayede belirli bir alan adı için ücretli OV/EV sertifika, diğerleri içinse ücretsiz AutoSSL kullanan karma bir yapı kurabilirsiniz.
AutoSSL'i belirli bir alan adı için nasıl devre dışı bırakırım?#
SSL/TLS Status ekranında ilgili alan adının satırındaki "Exclude from AutoSSL" kutusunu işaretlemeniz yeterlidir. Bu, o alan adını AutoSSL taramasının dışında tutar; genellikle başka bir sunucuya taşınacak ya da doğrulaması sürekli başarısız olup logları kirleten alan adları için kullanılır. Tekrar kapsama almak için aynı kutunun işaretini kaldırıp AutoSSL'i yeniden çalıştırırsınız.
Kapanış#
cPanel AutoSSL, "sitem neden hâlâ HTTP?" derdini büyük ölçüde ortadan kaldıran, sessizce arka planda çalışan bir güvenlik katmanıdır. Doğru kurulduğunda hesabınızdaki her alan adı ve alt alan adı otomatik olarak ücretsiz bir DV sertifikayla korunur ve siz yenileme tarihlerini bir daha düşünmezsiniz. Sorun yaşadığınızda ise çözüm neredeyse her zaman aynı üç noktada gizlidir: alan adının DNS'inin doğru sunucuyu göstermesi, DNS'in harici bir panelde yönetiliyorsa kaydın orada düzeltilmesi ve .well-known doğrulama yolunun dışarıya açık olması. Bu üçünü sağladığınızda AutoSSL gerisini kendiliğinden yürütür.
Sertifika yönetimiyle hiç uğraşmak istemiyorsanız, cPanel ve AutoSSL'in hazır geldiği web hosting ve WordPress hosting paketlerimizde ücretsiz SSL zaten dahildir. Birden çok müşteriye hosting satan bayilerse reseller hosting paketlerinde aynı otomasyondan yararlanır. Kendi sunucunuzu yönetenler içinse sunucu yönetimi hizmetimizle AutoSSL sağlayıcısını, joker sertifikaları ve DNS doğrulamasını sizin adınıza yapılandırabiliriz. Bir noktada takılırsanız destek ekibimiz doğrulama sorununu birlikte çözmekten memnuniyet duyar.