Güvenlik & SSL

    SSL Sertifika Geçerlilik Süreleri Neden Kısalıyor?

    Sertifika ömürlerinin neden kısaldığını, güvenliğe etkisini ve otomasyonun neden zorunlu olduğunu anlatan rehber.

    13 dk okuma Güncellendi: 10 Temmuz 2026

    Birkaç yıl önce bir SSL sertifikası satın aldığınızda üç, hatta beş yıllık bir geçerlilik süresi almak sıradandı. Sertifikayı bir kez kurar, takvime "2027'de yenile" diye bir not düşer ve yıllarca bir daha aklınıza getirmezdiniz. Bugün ise durum tamamen değişti: ücretsiz sertifikaların standart ömrü 90 gün, ücretli sertifikaların üst sınırı ise 398 güne indirildi. Dahası, sektörü yöneten CA/Browser Forum bu sınırı kademeli olarak 2029 yılına kadar 47 güne çekmeye karar verdi. Yani birkaç yıl içinde her sertifikayı yılda yedi sekiz kez yenilemek zorunda kalacağız.

    Bu değişim ilk bakışta gereksiz bir zahmet gibi görünür; "sertifikam çalışıyordu, neden bozdunuz" diye düşünmek doğaldır. Oysa geçerlilik sürelerinin kısalması rastgele alınmış bir karar değil, internet güvenliğinin temelindeki gerçek bir sorunu çözmek için atılmış bilinçli bir adımdır. Bu rehberde sertifika ömürlerinin yıllardan aylara nasıl indiğini tarihsel olarak izleyecek, kısa ömrün neden daha güvenli olduğunu, 47 gün hedefinin arkasındaki takvimi ve en önemlisi bu yeni düzende neden otomasyon olmadan hayatta kalamayacağınızı anlatacağız. Konunun temeline hâkim değilseniz önce SSL sertifikası nedir yazımızı okumanızı öneririz.

    Sertifika Ömürleri Yıllardan Aylara Nasıl İndi?#

    SSL/TLS sertifikalarının geçerlilik süresi son on yılda istikrarlı biçimde kısaldı. 2010'ların başında bir sertifikayı 8-10 yıllığına almak mümkündü; sunucu güvenliği ikinci planda, kolaylık ise ön plandaydı. Ardından tarayıcı üreticileri ve sertifika sağlayıcılarının (CA) bir araya geldiği CA/Browser Forum, üst üste kararlarla bu süreyi adım adım indirdi. Her indirim, bir önceki dönemde yaşanan güvenlik olaylarına verilen bir cevaptı.

    Bu kısalmanın tesadüf olmadığını görmek için tarihsel dönüm noktalarına bakmak yeterli. Aşağıdaki tablo, azami sertifika geçerlilik süresinin yıllar içinde nasıl daraldığını özetliyor:

    TarihAzami geçerlilikYaklaşık süre
    2012 öncesi8-10 yılNeredeyse sınırsız
    201260 ay5 yıl
    Nisan 201539 ay~3 yıl
    Mart 2018825 gün~27 ay
    Eylül 2020398 gün~13 ay
    Mart 2026200 gün~6,5 ay
    Mart 2027100 gün~3,5 ay
    Mart 202947 gün~1,5 ay

    Tablodaki en keskin kırılma 2020 yılında yaşandı. O tarihe kadar iki yıllık sertifikalar yaygındı; ancak Apple, Google ve Mozilla tarayıcılarında 398 günden uzun ömürlü sertifikalara güvenmeyi tek taraflı olarak reddettiler. CA/Browser Forum'da bu yönde bir oylama başarısız olmuştu, ama tarayıcı üreticileri kararı kendi güven mağazalarında zorunlu kılınca sektör uymak zorunda kaldı. Bu, "sertifika ömrünü kim belirler" sorusunun cevabının aslında tarayıcılar olduğunu gösteren önemli bir andı. Let's Encrypt gibi ücretsiz sağlayıcılar zaten 2015'ten beri 90 günlük sertifikalar veriyordu; şimdi tüm sektör aynı yöne dönüyor.

    Kısa Ömür Neden Daha Güvenli?#

    Kısa geçerlilik süresinin arkasındaki temel gerekçe tek bir kavramla açıklanabilir: iptal mekanizmalarının pratikte çalışmaması. Bir sertifikanın özel anahtarı çalınırsa ya da yanlış bir kişiye sertifika verildiği anlaşılırsa, o sertifikanın "iptal edildiğini" tarayıcılara bildirmek gerekir. Teoride bunun için iki yöntem vardır: iptal listeleri (CRL) ve çevrimiçi durum sorgulama (OCSP). Ne yazık ki her ikisi de gerçek dünyada büyük ölçüde başarısızdır.

    İptal listeleri (Certificate Revocation List), iptal edilmiş tüm sertifikaların seri numaralarını içeren dosyalardır. Bu listeler zamanla o kadar büyür ki tarayıcıların her bağlantıda indirmesi anlamsız hale gelir. OCSP ise her bağlantıda CA'ya "bu sertifika hâlâ geçerli mi" diye sorar; ancak bu hem gizlilik sorunu yaratır (CA hangi siteyi ziyaret ettiğinizi görür) hem de performansı düşürür. Daha da kötüsü, OCSP sunucusuna ulaşılamadığında tarayıcılar soft-fail davranışıyla bağlantıya izin verir; yani bir saldırgan OCSP trafiğini engellerse, iptal edilmiş bir sertifika hâlâ geçerli sayılır.

    İşte kısa ömür tam da bu çıkmazı çözer. Bir sertifika yalnızca 47 gün geçerliyse, çalınan bir anahtarın kötüye kullanılabileceği en uzun süre 47 gündür; iptal mekanizmasına gerek kalmadan sertifika kendiliğinden geçersiz olur. Güvenlik dünyasında buna "sertifikanın kendini iptal etmesi" denir. İki yaklaşımı karşılaştırmak faydalı olur:

    YaklaşımNasıl çalışırZayıf noktası
    CRL (iptal listesi)Dev bir liste indirilirÇok büyür, güncel tutulmaz
    OCSPHer bağlantıda CA'ya sorulurGizlilik, gecikme, soft-fail
    Kısa ömürSertifika kendiliğinden biterSık yenileme gerektirir

    Kısa ömrün "zayıf noktası" olan sık yenileme, otomasyonla tamamen ortadan kalkar. Yani sektör, güvenilmez iptal mekanizmalarını tamir etmeye çalışmak yerine, sorunu kökten çözen bir yola girdi: sertifikaları o kadar kısa ömürlü yap ki iptale hiç gerek kalmasın. Sertifikanın açık ve özel anahtarla nasıl çalıştığını ve neden anahtar güvenliğinin bu kadar kritik olduğunu SSL sertifikası nedir yazımızda ayrıntılı olarak ele alıyoruz.

    47 Gün Hedefi ve Yeni Takvim#

    Nisan 2025'te CA/Browser Forum, "SC-081" olarak bilinen oylamayı kabul ederek sertifika ömürlerini kademeli olarak düşürmeyi resmileştirdi. Bu karar iki ayrı süreyi birlikte kısaltıyor: sertifikanın kendi geçerlilik süresi ve alan adı doğrulamasının (DCV — Domain Control Validation) yeniden kullanılabildiği süre. Yani hem sertifika daha kısa yaşayacak, hem de her yenilemede alan adının sizin kontrolünüzde olduğunu daha sık kanıtlamanız gerekecek.

    Geçişin kademeli olmasının nedeni, sektöre otomasyona uyum sağlaması için zaman tanımaktır. Takvim şu şekilde ilerliyor:

    • 15 Mart 2026'ya kadar: azami sertifika ömrü 398 gün, DCV yeniden kullanımı 398 gün.
    • 15 Mart 2026'dan itibaren: azami ömür 200 güne, DCV yeniden kullanımı 200 güne iner.
    • 15 Mart 2027'den itibaren: azami ömür 100 güne, DCV yeniden kullanımı 100 güne iner.
    • 15 Mart 2029'dan itibaren: azami ömür 47 güne, DCV yeniden kullanımı ise sadece 10 güne iner.

    Peki neden tam olarak 47 gibi tuhaf bir sayı seçildi? Bu rakamın arkasında pratik bir hesap var. En uzun ayın 31 günü, artı yenileme için bir haftalık pay olan 7 gün, artı olası aksaklıklara karşı 9 günlük tampon toplandığında 47 sayısı çıkar. Yani 47 gün, "aylık yenileme yapan bir sistemde bile hata payı bırakan en kısa güvenli süre" olarak tasarlanmıştır. Bu arada Let's Encrypt, 2025'te yalnızca 6 gün geçerli olan deneysel kısa ömürlü sertifikalar sunmaya başladı bile; sektörün gittiği yön son derece net.

    DCV yeniden kullanım süresinin 10 güne inmesi, aslında sertifika ömründen bile daha zorlayıcı bir değişikliktir. Bugün alan adınızı bir kez doğruladığınızda bu doğrulama aylarca geçerli sayılıyor; 2029'da ise her 10 günde bir alan adı kontrolünü yeniden kanıtlamanız gerekecek. Bu da HTTP-01 veya DNS-01 gibi doğrulama yöntemlerinin tamamen otomatik çalışması gerektiği anlamına geliyor. Doğrulama sürecinin nasıl işlediğini Let's Encrypt ile ücretsiz SSL rehberimizde ayrıntılı olarak ele alıyoruz.

    Manuel Yenileme Neden Sürdürülemez?#

    Sertifikaları elle yenilemek, iki yıllık geçerlilik döneminde bile sık sık unutulan bir işti. Birçok kurumsal sitenin bir cuma akşamı ya da bayram tatilinde "Bağlantınız gizli değil" uyarısı vermesinin nedeni tam olarak buydu: yenileme sorumlusu izne çıkmış, takvim hatırlatması gözden kaçmış ya da işi yapan kişi işten ayrılmıştı. Sertifika ömrü kısaldıkça bu riskin katlanarak arttığını görmek zor değil.

    Basit bir hesap yapalım. Elle yenileme sürecinde her seferinde CSR üretmek, sağlayıcıdan sertifikayı almak, sunucuya kurmak ve web sunucusunu yeniden başlatmak gerekir. Bir sertifikanın ömrüne göre yılda kaç kez bu işlemi tekrarlamanız gerektiğine bakın:

    Sertifika ömrüYıllık yenileme sayısıElle yönetilebilir mi?
    2 yıl (eski)0,5 kezKolayca
    398 gün~1 kezZorlanarak
    90 gün~4 kezRiskli
    47 gün~8 kezNeredeyse imkânsız

    Tek bir alan adı için yılda sekiz kez elle yenileme yapmak bile zahmetlidir; ama gerçek dünyada bir işletmenin onlarca alt alan adı, birden fazla sunucusu ve farklı hizmetleri olur. On alan adınız varsa, 47 günlük ömürde yılda seksen kez sertifika yenilemek zorunda kalırsınız. Bu, tek bir kişinin tam zamanlı işi hâline gelir ve her manuel adım, insan hatası riski taşır. Yanlış dosyayı kopyalamak, ara sertifikayı eklemeyi unutmak ya da yenilemeyi son güne bırakmak, hepsi kesintiye yol açar. Bu ölçekte elle yönetim artık bir seçenek değil.

    ACME Otomasyonu Neden Zorunlu Hale Geldi?#

    Kısa ömürlü sertifikaların yaygınlaşabilmesinin tek nedeni, yenileme sürecini tamamen otomatikleştiren bir standardın var olmasıdır: ACME (Automatic Certificate Management Environment). ACME, sunucunuz ile sertifika sağlayıcı arasında alan adı doğrulamasını, sertifika üretimini ve kurulumunu insan müdahalesi olmadan gerçekleştiren bir protokoldür. Let's Encrypt bu protokolü popülerleştirdi; bugün Certbot ve acme.sh gibi araçlar ACME'yi arka planda kullanır.

    ACME istemcisi kurulduğunda, sertifika yenileme işi bir cron ya da systemd timer görevi kadar basitleşir. Örneğin Certbot ile bir sertifikayı almak ve otomatik yenilemeye bağlamak yalnızca birkaç komut gerektirir:

    # Nginx için sertifika al ve otomatik yenilemeye bağla
    sudo certbot --nginx -d ornek.com -d www.ornek.com
    
    # Yenilemenin gerçekten çalışacağını prova modunda test et
    sudo certbot renew --dry-run
    

    Modern kurulumlarda Certbot, yenileme görevini bir systemd timer olarak sizin adınıza kurar. Bu timer günde iki kez çalışır ve yalnızca süresi dolmaya yaklaşan sertifikaları yeniler; henüz erken olanlara dokunmaz:

    # /lib/systemd/system/certbot.timer
    [Unit]
    Description=Run certbot twice daily
    
    [Timer]
    OnCalendar=*-*-* 00,12:00:00
    RandomizedDelaySec=43200
    Persistent=true
    
    [Install]
    WantedBy=timers.target
    

    Yenileme başarıyla tamamlandığında web sunucusunun yeni sertifikayı belleğe alması için yeniden yüklenmesi gerekir. Nginx yapılandırmasında sertifika yollarının Certbot'un live dizinini göstermesi, yenileme sonrası hiçbir yolu elle değiştirmenize gerek bırakmaz:

    server {
        listen 443 ssl;
        server_name ornek.com www.ornek.com;
    
        ssl_certificate     /etc/letsencrypt/live/ornek.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/ornek.com/privkey.pem;
    
        # Yenileme sonrası: systemctl reload nginx (deploy hook ile otomatik)
    }
    

    ACME'nin gücü, DNS-01 doğrulamasıyla wildcard sertifikaları bile elle müdahale olmadan yenileyebilmesinde ortaya çıkar. Sağlayıcınızın hangi CA'lardan sertifika almanıza izin verildiğini bir CAA kaydıyla belirlemeniz de bu otomasyonun güvenli tarafını tamamlar:

    ornek.com.    IN    CAA    0 issue "letsencrypt.org"
    ornek.com.    IN    CAA    0 issuewild "letsencrypt.org"
    

    ACME istemcisini adım adım kurmayı, meydan okuma (challenge) türlerini ve wildcard sertifika almayı merak ediyorsanız Let's Encrypt ile ücretsiz SSL rehberimiz konuyu baştan sona ele alıyor. Özetle, 47 günlük geleceğe otomasyonsuz girmek mümkün değil; ACME artık lüks değil, zorunluluk.

    Kısa Ömürlü Sertifikalara Sunucunuzu Nasıl Hazırlarsınız?#

    Geçiş takvimi kademeli olsa da hazırlığa şimdiden başlamak, ilerideki kesintileri önler. Yapmanız gereken ilk şey, ortamınızdaki tüm sertifikaların envanterini çıkarmaktır. Hangi alan adının hangi sunucuda, hangi ömürle ve hangi araçla yönetildiğini bilmiyorsanız, otomasyona geçemezsiniz. Basit bir veritabanı tablosuyla bu envanteri takip edebilirsiniz:

    CREATE TABLE sertifika_envanteri (
        id           INT AUTO_INCREMENT PRIMARY KEY,
        alan_adi     VARCHAR(255) NOT NULL,
        sunucu       VARCHAR(100) NOT NULL,
        yenileme     ENUM('otomatik','manuel') DEFAULT 'manuel',
        bitis_tarihi DATE NOT NULL,
        aci          VARCHAR(50)  -- certbot, acme.sh, AutoSSL vb.
    );
    
    -- Elle yönetilen ve 60 günden az kalan sertifikaları listele
    SELECT alan_adi, sunucu, bitis_tarihi
    FROM sertifika_envanteri
    WHERE yenileme = 'manuel'
      AND bitis_tarihi < DATE_ADD(CURDATE(), INTERVAL 60 DAY);
    

    İkinci adım, izleme kurmaktır. Otomasyon ne kadar sağlam olursa olsun, bir gün sessizce başarısız olabilir; bu yüzden sertifika süresi dolmadan önce sizi uyaran bir izleme katmanı şarttır. Uptime Kuma gibi bir araç, sertifika süresini uzaktan izleyip belirlediğiniz eşiğe gelince e-posta ya da Telegram bildirimi gönderir:

    monitor:
      name: ornek.com SSL izleme
      type: http
      url: https://ornek.com
      certExpiryNotification: true
      certExpiryDays: 14   # Bitişe 14 gün kala uyar
    

    Üçüncü adım, sertifika yollarını sabit tutmaktır. Sunucularınızda sertifika dosyalarını sürekli farklı yerlere kopyalamak yerine Certbot'un live sembolik bağlantılarını kullanın; böylece yenileme sonrası yapılandırma hiç değişmez. Bu üç adımı (envanter, izleme, sabit yol) tamamladığınızda, 47 günlük ömre geçiş sizin için görünmez bir olay hâline gelir. SSL otomatik yenilemenin kurulum ayrıntılarını ve olası hataların çözümünü Let's Encrypt ile ücretsiz SSL rehberimizde bulabilirsiniz.

    Kendi sunucunuzu yönetiyorsanız bu adımları VDS sunucu ya da sunucu çözümlerimiz üzerinde kurabilir; işi uzman bir ekibe bırakmayı tercih ederseniz sunucu yönetimi hizmetimizle sertifika otomasyonunu tamamen bize devredebilirsiniz. Paylaşımlı hosting kullanıyorsanız zaten cPanel'in AutoSSL özelliği tüm bu döngüyü sizin yerinize çalıştırır.

    Paylaşımlı Hosting Kullanıcıları Etkilenir mi?#

    Buraya kadar anlatılan teknik ayrıntılar, kök erişimi olan sunucu yöneticilerini ilgilendirir. Paylaşımlı hosting ya da cPanel kullanıyorsanız, kısa ömürlü sertifikalar sizin için neredeyse fark edilmez bir değişikliktir; çünkü sertifika yenileme zaten sunucu tarafında otomatik yapılır. cPanel'in AutoSSL özelliği, hesabınızdaki alan adları için sertifikaları otomatik alır ve süresi dolmadan yeniler. Ömür 90 günden 47 güne inse bile, AutoSSL yenileme sıklığını kendisi ayarlar; sizin hiçbir şey yapmanıza gerek kalmaz.

    Bu durumda size düşen tek sorumluluk, alan adının sunucuya doğru yönlendirildiğinden emin olmaktır. AutoSSL yalnızca sunucuya çözümlenen alan adları için sertifika üretebilir; DNS kaydınız başka bir IP'yi gösteriyorsa doğrulama başarısız olur ve panelde "SSL yok" uyarısı görürsünüz. Bu yüzden alan adınızı yeni bir sunucuya taşıdığınızda ilk iş DNS'i güncellemektir. Clou.TR paylaşımlı hosting paketlerinde ve WordPress hosting tarafında SSL kurulum ve yenilemesi tamamen otomatiktir; kısalan sertifika ömürleri müşterilerimiz için hiçbir ek işlem gerektirmez. Web sitenizi ek olarak katmanlı korumaya almak isterseniz WAF ve SSL çözümlerimize de göz atabilirsiniz.

    Sıkça Sorulan Sorular#

    Sertifika ömrü 47 güne inince siteme her ay elle sertifika mı kurmam gerekecek?#

    Hayır, elle kurmanıza gerek yok; asıl amaç zaten bunu ortadan kaldırmak. Certbot ya da acme.sh gibi bir ACME istemcisi kurduğunuzda yenileme tamamen otomatik çalışır ve siz hiçbir şey fark etmezsiniz. Paylaşımlı hosting kullanıyorsanız cPanel'in AutoSSL özelliği bu döngüyü sizin yerinize zaten yürütür. Elle kurulum yalnızca otomasyonu hiç ayarlamamış eski yapılarda sorun yaratır; bu yüzden 47 gün hedefine geçmeden önce mutlaka otomasyona geçmelisiniz.

    Neden 90 gün ya da 47 gün gibi tuhaf sayılar seçildi?#

    Bu sayıların arkasında pratik hesaplar var. 90 gün, Let's Encrypt'in en baştan belirlediği ve otomasyonu zorunlu kılacak kadar kısa, ama hata durumunda yeniden deneme fırsatı verecek kadar uzun bir denge noktasıydı. 47 gün ise en uzun ayın 31 günü, yenileme için bir haftalık pay ve olası aksaklıklara karşı 9 günlük tampon toplanarak hesaplandı. Yani ikisi de rastgele değil, "aylık yenileme yapan bir sistemde bile güvenli çalışacak en kısa süre" mantığıyla seçildi.

    Uzun ömürlü sertifika satın alarak bu değişimden kaçabilir miyim?#

    Kaçamazsınız, çünkü sınır artık sağlayıcıların değil tarayıcıların kararı. Bir CA size iki yıllık sertifika satsa bile, Chrome, Safari ve Firefox 398 günden uzun ömürlü sertifikaları reddettiği için tarayıcı yine de "güvenli değil" uyarısı verir. Takvim ilerledikçe bu üst sınır 200, 100 ve nihayet 47 güne inecek. Dolayısıyla uzun ömürlü sertifika satın almak paranızı boşa harcamak olur; doğru strateji, sürenin kısalmasına karşı otomasyon kurmaktır.

    Kısa ömürlü sertifikalar sitemin güvenliğini gerçekten artırır mı?#

    Evet, artırır. En büyük fayda, çalınan bir özel anahtarın kötüye kullanılabileceği pencerenin daralmasıdır. İptal mekanizmaları (CRL ve OCSP) pratikte güvenilir çalışmadığı için, iptal edilmesi gereken bir sertifika günlerce hatta haftalarca geçerli kalabiliyordu. Sertifika yalnızca 47 gün yaşadığında, en kötü senaryoda bile anahtar bu süre sonunda kendiliğinden geçersiz olur. Yani kısa ömür, güvenilmez iptal sistemine olan bağımlılığı büyük ölçüde ortadan kaldırır.

    DCV yeniden kullanım süresinin 10 güne inmesi ne anlama geliyor?#

    DCV, alan adının gerçekten sizin kontrolünüzde olduğunu kanıtladığınız doğrulama işlemidir. Bugün bir kez doğrulama yaptığınızda bu kanıt aylarca geçerli sayılıyor; 2029'dan itibaren ise her 10 günde bir alan adı kontrolünü yeniden kanıtlamanız gerekecek. Bunun pratik sonucu, HTTP-01 ya da DNS-01 doğrulamasının tamamen otomatik çalışması zorunluluğudur. Elle TXT kaydı ekleyip doğrulama yapan bir yapı bu sıklıkta sürdürülemez; DNS sağlayıcınızın API'sini kullanan bir ACME eklentisi şart olur.

    AutoSSL kullanıyorum, kısalan sürelerden dolayı bir şey yapmam gerekiyor mu?#

    Hayır, AutoSSL kullanıyorsanız hiçbir ek işlem yapmanız gerekmez. cPanel, sertifika ömrü ne olursa olsun yenileme sıklığını otomatik ayarlar ve süresi dolmadan önce sertifikayı tazeler. Sizin tek göreviniz alan adınızın DNS kaydının doğru sunucuya çözümlendiğinden emin olmaktır; çünkü AutoSSL yalnızca sunucuya yönlenen alan adları için sertifika üretebilir. DNS doğru olduğu sürece kısalan süreler sizin açınızdan tamamen görünmez kalır.

    Kapanış#

    SSL sertifika ömürlerinin yıllardan aylara, oradan da 47 güne inmesi ilk bakışta bir zahmet gibi görünse de aslında internetin güven altyapısını sağlamlaştıran bilinçli bir dönüşümdür. Kısa ömür, çalışmayan iptal mekanizmalarına olan bağımlılığı ortadan kaldırır, çalınan anahtarların zarar penceresini daraltır ve herkesi kaçınılmaz olarak otomasyona yönlendirir. Bu yeni düzende başarının tek anahtarı, sertifika yönetimini elle takip etmeyi tamamen bırakıp ACME tabanlı bir otomasyona geçmektir. Envanterinizi çıkarın, otomasyonu kurun, izlemeyi ekleyin; gerisi kendiliğinden çalışır.

    Bu geçişi kendiniz yönetmek istiyorsanız sunucu ve VDS çözümlerimiz üzerinde Certbot ile tam otomatik yenileme kurabilirsiniz. Sertifika, izleme ve bakım işini uzman bir ekibe bırakmayı tercih ederseniz sunucu yönetimi hizmetimiz devreye girer. SSL'i hiç düşünmeden, AutoSSL'in hazır geldiği bir ortamda çalıştırmak istiyorsanız Clou.TR hosting paketlerine göz atın; Clou.TR ile sertifikanız süre ne kadar kısalırsa kısalsın her zaman güncel, siteniz her zaman kilitli kalır.

    SSLCAOtomasyon

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.