Bir SSL sertifikası satın almaya kalktığınızda karşınıza çıkan "DV", "OV" ve "EV" kısaltmaları çoğu zaman kafa karıştırır. Aynı alan adı için biri birkaç yüz lira, diğeri birkaç bin lira olabiliyor ve satış sayfaları hepsinin "en güçlü şifreleme" sunduğunu söylüyor. Peki fiyat farkı gerçekten neyin karşılığı? En sık yapılan hata, pahalı sertifikanın "daha güvenli şifreleme" yaptığını sanmaktır. Oysa bu üç seviye arasındaki tek fark, sertifika otoritesinin (CA) sizin kim olduğunuzu ne kadar derinlemesine doğruladığıdır; taşınan verinin şifrelenme gücü üçünde de birebir aynıdır.
Bu rehberde DV (alan adı doğrulaması), OV (kurumsal doğrulama) ve EV (genişletilmiş doğrulama) arasındaki farkı, her birinin doğrulama sürecinin nasıl işlediğini, ne kadar sürdüğünü ve eskiden EV'ye özel olan yeşil adres çubuğu avantajının modern tarayıcılarda neden büyük ölçüde ortadan kalktığını dürüstçe ele alacağız. Sonunda blog, kurumsal tanıtım sitesi ve e-ticaret gibi üç tipik senaryo için hangi seviyenin mantıklı olduğuna dair net bir öneriyle bitireceğiz. Konunun temelini henüz oturtmadıysanız, işe SSL sertifikası nedir yazımızla başlamanız kavramları daha rahat bağlamanızı sağlar.
SSL Sertifikalarında Doğrulama Seviyesi Nedir?#
Her SSL/TLS sertifikası iki ayrı iş yapar. Birincisi şifreleme: tarayıcı ile sunucu arasındaki trafiği okunamaz hâle getirir. İkincisi kimlik doğrulama: karşınızdaki sunucunun gerçekten iddia ettiği taraf olduğunu, arada sahte bir kopyanın oturmadığını kanıtlar. DV, OV ve EV ayrımı tamamen bu ikinci işle, yani kimliğin ne kadar sıkı doğrulandığıyla ilgilidir.
Bunu somutlaştırmak için basit bir benzetme kullanalım. Üç seviye de aynı kalınlıktaki çelik kapıyı takar; fark, kapının arkasındaki kişiye kimlik verirken yapılan kontroldedir. DV'de "bu kapının anahtarı sende mi?" diye sorulur ve anahtarı gösterebilen herkese sertifika verilir. OV'de buna ek olarak "hangi şirketsin, ticaret sicilinde kayıtlı mısın?" diye sorulur. EV'de ise şirketin hukuki varlığından fiilen faaliyet gösterip göstermediğine kadar ayrıntılı bir soruşturma yapılır. Kapının kendisi, yani şifreleme, üç senaryoda da aynıdır.
Bu yüzden "daha pahalı sertifika sitemi daha çok mu şifreler?" sorusunun yanıtı kesinlikle hayırdır. TLS 1.3, AES-256, ECDSA gibi kriptografik unsurlar sertifikanın doğrulama seviyesiyle hiç ilgili değildir; sunucunuzun yapılandırmasıyla belirlenir. Ücretsiz bir DV sertifikasıyla, birkaç bin liralık bir EV sertifikası tam olarak aynı şifreleme algoritmalarını kullanabilir. Fark, sertifikanın içinde yazan kimlik bilgisinin ne kadar teyit edilmiş olduğundadır.
DV Sertifikaları — Alan Adı Doğrulaması#
DV (Domain Validation), en yaygın, en hızlı ve en ucuz seviyedir. CA burada tek bir şeyi doğrular: alan adının gerçekten sizin kontrolünüzde olup olmadığını. Şirket adınız, kim olduğunuz, nerede faaliyet gösterdiğiniz sorgulanmaz. Bu yüzden sertifika dakikalar içinde, çoğu zaman tamamen otomatik olarak verilebilir.
Doğrulama genellikle üç yoldan biriyle yapılır. Ya alan adınıza belirli bir TXT DNS kaydı eklersiniz, ya sunucunuzun belirli bir yoluna (/.well-known/acme-challenge/...) bir dosya koyarsınız, ya da alan adının WHOIS'te kayıtlı yönetim e-postasına gelen bir bağlantıya tıklarsınız. Örneğin DNS tabanlı doğrulamada CA sizden şuna benzer bir kayıt eklemenizi ister:
_acme-challenge.ornek.com. IN TXT "k1Qx7f0e...rastgele-dogrulama-degeri"
CA bu kaydı DNS üzerinden sorgular, beklediği değeri görürse alan adının denetiminizde olduğuna kanaat getirir. En bilinen ücretsiz DV sağlayıcısı Let's Encrypt'tir ve bütün süreci certbot gibi araçlarla otomatikleştirebilirsiniz; ayrıntılar için Let's Encrypt ile ücretsiz SSL rehberimize göz atabilirsiniz.
DV'nin en zayıf yanı da tam olarak bu hızlı ve kimlik sormayan yapısıdır. Bir dolandırıcı ornek-bank-tr.com gibi bir alan adı alıp buna dakikalar içinde geçerli bir DV sertifikası çıkarabilir; tarayıcı yine yeşil/gri kilit gösterir. Yani DV kilidi "bu bağlantı şifreli" der, ama "bu site gerçekten falanca banka" demez. Bu ayrım kritiktir: kilit simgesi hiçbir zaman tek başına "bu site güvenilir" anlamına gelmez, yalnızca "trafik şifreli" anlamına gelir.
OV Sertifikaları — Kurumsal Doğrulama#
OV (Organization Validation) bir adım öteye geçer. Alan adı sahipliğine ek olarak, sertifikayı isteyen kurumun gerçekten var olduğunu doğrular. CA bu aşamada ticaret sicili, resmi şirket kayıtları veya bağımsız işletme rehberleri üzerinden şirketin tüzel kişiliğini, adresini ve genellikle bir telefon teyidini kontrol eder. Süreç otomatik değildir; bir insan tarafından incelendiği için tipik olarak bir ile üç iş günü sürer.
OV'nin somut karşılığı, sertifikanın içindeki Subject (özne) alanında görülür. DV sertifikasında bu alanda yalnızca alan adı yazarken, OV sertifikasında şirket adı, ülke ve genellikle şehir bilgisi yer alır. Kullanıcı tarayıcıda kilit simgesine tıklayıp "sertifikayı görüntüle" dediğinde şu tür bir kimlik bilgisiyle karşılaşır:
[Subject]
CN = ornek.com
O = Ornek Teknoloji Anonim Sirketi
L = Istanbul
C = TR
Buradaki O (Organization) satırı OV ve EV'ye özgüdür; DV sertifikalarında boştur veya hiç yoktur. Yani OV'nin sağladığı ek güven, adres çubuğunda gözle görülmez; ilgilenen bir kullanıcının veya bir sistemin sertifika ayrıntılarına bakması gerekir. Bu nedenle OV'nin değeri, son kullanıcıya gösterilen bir rozetten çok, kurumsal denetim, iş ortağı güveni ve bazı B2B veya kamu ihalesi süreçlerinin "kurumsal doğrulanmış sertifika" şartını karşılamaktan gelir.
EV Sertifikaları — Genişletilmiş Doğrulama#
EV (Extended Validation) en kapsamlı ve en pahalı seviyedir. CA/Browser Forum'un yayımladığı sıkı EV yönergelerine göre verilir ve OV'nin sorduklarına ek olarak şirketin fiilen faaliyette olup olmadığını, hukuki ve operasyonel varlığını, başvuran kişinin şirket adına imza yetkisi bulunup bulunmadığını ayrıntılı biçimde soruşturur. Denetim süreci bir ile iki hafta, kimi zaman daha uzun sürebilir; şirketin kaç yıldır kayıtlı olduğu, resmi kayıtlarda "aktif" görünüp görünmediği gibi kriterler devreye girer.
EV, uzun süre "en üst güven seviyesi" olarak pazarlandı. Bunun somut nedeni, eskiden tarayıcıların EV sertifikalı sitelerde adres çubuğunu yeşile boyayıp şirketin resmi adını yazmasıydı; örneğin adres çubuğunda "Ornek Teknoloji A.Ş. (TR)" gibi bir ibare belirirdi. Bir sonraki bölümde göreceğimiz gibi, işte bu görsel avantaj bugün neredeyse tamamen ortadan kalktı ve EV'nin cazibesinin önemli bir kısmı bununla birlikte söndü.
EV başvurusunda genellikle imza sirküleri, ticaret sicil gazetesi, faaliyet belgesi gibi resmi evraklar ve bazen CA'nın bağımsız kaynaklardan doğruladığı bir telefon görüşmesi istenir. Bu ağır süreç, EV'yi doğası gereği "otomasyona kapalı" kılar. DV'yi 90 günde bir certbot ile otomatik yenilerken, EV'de her yenilemede benzer kurumsal doğrulama adımlarının tekrarlanması gerekebilir; bu da operasyonel yükü artırır.
EV'nin Adres Çubuğu Avantajı Neden Eridi?#
EV'nin bütün pazarlama argümanı "kullanıcı adres çubuğunda şirket adını görür ve size daha çok güvenir" varsayımına dayanıyordu. Ne var ki tarayıcı üreticileri, yıllar içinde yaptıkları kullanıcı araştırmalarında bu varsayımın pratikte karşılığı olmadığını gördüler. Çalışmalar, kullanıcıların ezici çoğunluğunun yeşil şirket adını fark etmediğini, fark edenlerin de yokluğunu bir "tehlike işareti" olarak yorumlamadığını ortaya koydu. Yani EV rozeti, güvenlik açısından beklenen davranış değişikliğini üretmiyordu.
Bunun sonucunda büyük tarayıcılar sırayla EV'ye özel adres çubuğu göstergesini kaldırdı. Google Chrome 77 (2019) ile birlikte yeşil şirket adı çubuğunu adres satırından çıkardı; Mozilla Firefox aynı dönemde benzer bir adım attı ve Apple Safari da EV ile DV arasındaki görsel ayrımı ortadan kaldırdı. Bugün modern bir tarayıcıda bir EV sitesiyle bir DV sitesi adres çubuğunda birebir aynı görünür: her ikisinde de yalnızca sade bir kilit veya "site bilgisi" simgesi vardır. Şirket adını görmek için hâlâ kilide tıklayıp sertifika ayrıntılarına inmek gerekir ki bunu sıradan bir ziyaretçi neredeyse hiç yapmaz.
Bu, EV'nin tamamen değersiz olduğu anlamına gelmez; sertifikanın içindeki kurumsal kimlik bilgisi hâlâ oradadır ve bazı sektörler bunu bir uyum gereği olarak talep eder. Ama "ziyaretçilerim adres çubuğunda adımızı görüp daha çok güvenecek" beklentisiyle EV almak artık gerçekçi değildir; çünkü o görsel avantaj pratikte yok. Dürüst olmak gerekirse, 2020'lerin ortasında EV satın almanın gerekçesi görünürlük değil, yalnızca belirli kurumsal veya regülasyon kaynaklı zorunluluklardır. Modern güven sinyalleri artık adres çubuğu renginden çok; sitenin itibarına, web uygulama güvenlik duvarı (WAF) gibi koruma katmanlarına, açık iletişim bilgilerine ve genel kullanıcı deneyimine dayanır.
Üç Seviyeyi Yan Yana Karşılaştırma#
Aşağıdaki tablo üç doğrulama seviyesini pratik açıdan özetler. En kritik satırın en üstteki "şifreleme gücü" olduğunu unutmayın: üçü de aynıdır.
| Kriter | DV | OV | EV |
|---|---|---|---|
| Şifreleme gücü | Aynı | Aynı | Aynı |
| Ne doğrulanır? | Alan adı sahipliği | Alan adı + şirket varlığı | Alan adı + ayrıntılı hukuki/operasyonel denetim |
| Verilme süresi | Dakikalar | 1-3 iş günü | 1-2 hafta |
| İnsan denetimi | Yok (otomatik) | Var | Var (kapsamlı) |
| Sertifikada şirket adı | Yok | Var (O alanı) | Var (O alanı) |
| Adres çubuğu görünümü | Sade kilit | Sade kilit | Sade kilit (eski yeşil çubuk kalktı) |
| Otomatik yenileme | Kolay (ACME) | Sınırlı | Zor |
| Tipik maliyet | Ücretsiz – düşük | Orta | Yüksek |
| Uygun kullanım | Blog, tanıtım, çoğu e-ticaret | Kurumsal siteler, B2B | Regülasyon zorunluluğu olan kurumlar |
Tablodan çıkan en önemli sonuç şudur: adres çubuğu görünümü artık üçünde de aynı olduğuna göre, OV ve EV'nin ödediğiniz fazladan bedeli, son kullanıcıya görünmeyen bir kurumsal doğrulama katmanına gider. Bu katmanın sizin için değer taşıyıp taşımadığı tamamen iş modelinize bağlıdır.
Sertifikanın İçindeki Farkı Kendiniz Görün#
Bir sitenin hangi doğrulama seviyesinde sertifika kullandığını komut satırından saniyeler içinde çözebilirsiniz. openssl ile canlı bir bağlantı açıp sertifikanın Subject alanına bakmak yeterlidir:
# Sitenin sertifikasını çekip özne (Subject) alanını incele
openssl s_client -connect ornek.com:443 -servername ornek.com </dev/null 2>/dev/null \
| openssl x509 -noout -subject -issuer
Çıktıda subject satırında yalnızca CN = ornek.com görüyorsanız bu bir DV sertifikasıdır. Eğer O = ... (Organization) alanı da doluysa elinizde bir OV veya EV sertifikası var demektir. DV ile OV/EV'yi ayırt etmenin en kesin yolu budur; çünkü ikisi arasındaki fark tam olarak bu kurumsal kimlik alanının varlığıdır.
EV'ye özgü daha kesin bir işaret ise sertifikanın policy OID bilgisidir. EV sertifikaları, CA'nın EV politikasını belirten özel bir nesne tanımlayıcısı taşır; bunu şöyle görebilirsiniz:
# Sertifikanın tüm ayrıntısını dök, policy bölümüne bak
openssl s_client -connect ornek.com:443 -servername ornek.com </dev/null 2>/dev/null \
| openssl x509 -noout -text | grep -A3 "Certificate Policies"
Bu inceleme alışkanlığı yalnızca merak için değil, güvenlik açısından da işe yarar. Bir e-postadaki bağlantıya tıklamadan önce ya da bir tedarikçinin ödeme sayfasını doğrularken, sertifikanın gerçekten beklediğiniz kuruma ait olup olmadığını bu şekilde teyit edebilirsiniz. Sertifika zinciri ve genel doğrulama mantığı hakkında daha fazlasını SSL sertifikası nedir yazımızda bulabilirsiniz.
Blog, Kurumsal Site ve E-ticaret İçin Pratik Öneri#
Teoriyi bir kenara bırakıp doğrudan somut senaryolara geçelim; çünkü çoğu okur aslında "benim sitem için hangisini almalıyım?" sorusuna yanıt arıyor.
Kişisel blog, portföy, tanıtım sayfası: Kesinlikle DV. Buradaki tek amaç trafiği şifrelemek ve tarayıcının "güvenli değil" uyarısından kurtulmaktır; kurumsal kimlik doğrulamasına ihtiyaç yoktur. Ücretsiz Let's Encrypt sertifikası burada hem teknik hem ekonomik olarak en doğru seçimdir ve otomatik yenilemeyle bir daha aklınıza bile gelmez. Zaten WordPress ve web hosting paketlerimizde ücretsiz SSL doğrudan dahildir; panel üzerinden tek tıkla, çoğu zaman siz hiç uğraşmadan devreye girer.
Kurumsal tanıtım sitesi (kurumsal vitrin, B2B): Çoğu durumda DV yeterlidir ve pek çok büyük şirket bilinçli olarak DV kullanır. Yalnızca şu iki koşulda OV'yi değerlendirin: (1) müşterileriniz veya iş ortaklarınız satın alma süreçlerinde "kurumsal doğrulanmış sertifika" gibi bir uyum şartı arıyorsa, (2) bir denetim veya ihale süreci sertifikanın içinde tüzel kişilik adının bulunmasını gerektiriyorsa. Bunlar dışında OV'nin sağladığı ek güven son kullanıcıya görünmediği için pratik bir dönüşüm avantajı getirmez.
E-ticaret sitesi: Yaygın kanının aksine, e-ticaret için de çoğu durumda DV fazlasıyla yeterlidir. Ödeme güvenliğini sağlayan şey sertifikanın doğrulama seviyesi değil; PCI-DSS uyumu, güçlü TLS yapılandırması, ödeme sağlayıcısının altyapısı ve sitenizin genel güvenlik hijyenidir. EV'nin eski "yeşil çubuk güveni" avantajı ortadan kalktığı için, ziyaretçinin ödeme aşamasında EV'yi fark edip daha çok güvenmesi artık gerçekçi değildir. Yine de kurumsal kimliğin sertifikada görünmesini önemseyen büyük veya regülasyona tabi bir e-ticaret markasıysanız OV mantıklı bir orta yoldur; EV'yi ise yalnızca somut bir zorunluluk varsa tercih edin. Gerçek dönüşüm kazancını, sertifika seviyesini yükseltmekten çok; hızlı bir altyapı, DDoS koruması ve akıcı bir ödeme deneyimi sağlar.
Özetle çoğu site için karar ağacı basittir: aksini gerektiren somut bir kurumsal/hukuki şart yoksa DV seçin, kurumsal kimlik sertifikada görünsün istiyorsanız OV'ye çıkın, EV'yi ise ancak bir regülasyon dayatıyorsa değerlendirin. Doğru seçimi netleştirmek isterseniz SSL çözümlerimiz her üç seviyeyi de kapsar ve ekibimiz sitenize uygun olanı belirlemenize yardımcı olur.
Sıkça Sorulan Sorular#
DV, OV ve EV arasında şifreleme farkı var mı?#
Hayır, üçü de birebir aynı şifrelemeyi sunar. Taşınan verinin ne kadar güçlü şifrelendiğini belirleyen şey sertifikanın doğrulama seviyesi değil, sunucunuzun TLS yapılandırması (protokol sürümü ve cipher suite) ile anahtar tipidir. DV, OV ve EV arasındaki tek fark, sertifika otoritesinin kimliğinizi ne kadar derin doğruladığıdır; kriptografik güç tamamen aynıdır.
Küçük bir işletme sitesi için OV almaya değer mi?#
Genellikle değmez. OV'nin sağladığı kurumsal doğrulama, adres çubuğunda görünmez; ancak sertifika ayrıntılarına inen bir kullanıcı ya da bir uyum denetimi fark eder. Sıradan bir ziyaretçi bu ayrıntıya asla bakmadığı için, küçük bir işletme sitesinde OV'nin pratik bir güven veya dönüşüm kazancı yoktur. Somut bir B2B, ihale veya denetim şartınız yoksa DV size aynı güvenliği ücretsiz veya çok daha ucuza sağlar.
EV sertifika artık yeşil çubuk göstermiyorsa neden hâlâ satılıyor?#
Çünkü sertifikanın içindeki ayrıntılı kurumsal kimlik bilgisi hâlâ oradadır ve bazı sektörler bunu bir uyum veya iç politika gereği olarak talep eder. Ayrıca kimi büyük kurumlar, otomatik doğrulama araçları ya da iş ortağı sistemleri sertifikada doğrulanmış tüzel kişilik adı arıyor olabilir. Ancak "ziyaretçilerim adımızı adres çubuğunda görecek" beklentisiyle EV almak artık anlamsızdır, çünkü tarayıcılar o görsel göstergeyi kaldırdı.
E-ticaret sitem için DV yeterli mi, yoksa OV veya EV mi almalıyım?#
Çoğu e-ticaret sitesi için DV yeterlidir. Ödeme güvenliği; PCI-DSS uyumu, güçlü TLS yapılandırması ve ödeme sağlayıcınızın altyapısıyla sağlanır, sertifikanın doğrulama seviyesiyle değil. Kurumsal kimliğinizin sertifikada görünmesini önemseyen büyük veya regülasyona tabi bir markaysanız OV mantıklı bir orta yoldur; EV'yi ise yalnızca somut bir zorunluluk dayatıyorsa değerlendirin.
OV veya EV başvurusu ne kadar sürer, neler istenir?#
OV başvurusu tipik olarak bir ile üç iş günü, EV ise bir ile iki hafta sürer; çünkü ikisi de insan denetimi gerektirir. OV'de şirketin ticaret sicilinde kayıtlı olduğu ve adres/telefon bilgileri doğrulanır. EV'de buna ek olarak imza sirküleri, faaliyet belgesi gibi resmi evraklar, başvuran kişinin imza yetkisi ve genellikle bağımsız kaynaklardan yapılan bir telefon teyidi istenir. DV'de ise böyle bir belge süreci yoktur; yalnızca alan adı sahipliği kanıtlanır.
Ücretsiz Let's Encrypt sertifikası hangi seviyededir?#
Let's Encrypt sertifikaları DV seviyesindedir; yani yalnızca alan adı sahipliğini doğrular, kurumsal kimlik teyidi (OV/EV) sunmaz. Buna karşılık sağladıkları şifreleme ve tarayıcı uyumluluğu, ücretli DV sertifikalarıyla birebir aynıdır. Blog, tanıtım sitesi ve çoğu e-ticaret senaryosu için fazlasıyla yeterlidir; kurulum ve otomatik yenileme adımlarını Let's Encrypt ile ücretsiz SSL rehberimizde bulabilirsiniz.
Sertifikamın DV mi OV mu olduğunu nasıl anlarım?#
Sertifikanın Subject (özne) alanına bakın. openssl s_client -connect siteniz.com:443 -servername siteniz.com komutunun ardından openssl x509 -noout -subject ile özne alanını görüntülediğinizde yalnızca CN (alan adı) varsa sertifika DV'dir; O (Organization) alanı da doluysa OV veya EV'dir. EV'yi OV'den ayıran işaret ise sertifikanın taşıdığı özel EV policy OID bilgisidir ve -text çıktısındaki "Certificate Policies" bölümünde görünür.
Kapanış#
DV, OV ve EV arasındaki farkı tek cümleyle özetlemek gerekirse: üçü de aynı gücde şifreler, yalnızca kimliğinizi farklı derinlikte doğrular. Eskiden EV'yi cazip kılan yeşil adres çubuğu avantajı modern tarayıcılarda ortadan kalktığı için, bugün doğru karar çoğu zaman en sadesidir. Kişisel siteden çoğu e-ticarete kadar geniş bir yelpazede DV fazlasıyla yeterlidir; OV'yi yalnızca kurumsal kimliğin sertifikada görünmesini gerektiren bir şart varken, EV'yi ise ancak bir regülasyon dayatıyorsa tercih edin. Parayı sertifika seviyesini yükseltmeye değil, gerçekten fark yaratan yerlere, yani hızlı ve güvenli bir altyapıya ayırmak neredeyse her zaman daha akıllıcadır.
Sitenize uygun sertifika tipini seçmek ya da SSL'i hiç uğraşmadan altyapıda hazır gelen bir kurulumda kullanmak isterseniz, hosting paketlerimizde ücretsiz SSL zaten dahildir. Kendi sunucunuzu yönetmeyi tercih edenler için VDS ve sanal sunucu seçeneklerinde bu rehberdeki adımları özgürce uygulayabilir, farklı doğrulama seviyeleri arasında karar verirken SSL çözümlerimizi inceleyebilirsiniz. Takıldığınız bir nokta olursa destek ekibimiz doğru seçimde yol göstermekten memnuniyet duyar.