Güvenlik & SSL

    Wildcard SSL Nedir? Tüm Subdomainleri Tek Sertifikayla Koruma

    Wildcard SSL, bir alan adının tüm birinci seviye subdomainlerini tek sertifikayla şifreleyen çözümdür. Kapsamını, doğrulamasını ve ne zaman tercih edileceğini anlatıyoruz.

    8 dk okuma Güncellendi: 1 Temmuz 2026

    Bir web sitesi büyüdükçe genellikle tek bir alan adıyla yetinmezsiniz. blog.ornek.com, shop.ornek.com, api.ornek.com, panel.ornek.com derken elinizde onlarca subdomain birikir ve her birinin tarayıcıda kilit simgesiyle, yani HTTPS ile açılması gerekir. Her subdomain için ayrı ayrı sertifika almak, yenilemek ve takip etmek hızla bir yönetim yüküne dönüşür. İşte tam bu noktada Wildcard SSL devreye girer: tek bir sertifikayla bir alan adının altındaki tüm subdomainleri koruyabilirsiniz.

    Bu rehberde Wildcard SSL'in tam olarak neyi kapsadığını, *.ornek.com ifadesinin sınırlarını, tekil ve çoklu alan (SAN) sertifikalardan farkını, Let's Encrypt ile ücretsiz wildcard almak için gereken DNS-01 doğrulamasını, kök alan adı ile iç içe subdomain durumlarını ve maliyet/yönetim tarafını adım adım öğreneceksiniz. SSL'in temel mantığını henüz oturtmadıysanız önce SSL sertifikası nedir yazısına göz atmanız faydalı olur.

    Wildcard SSL Nedir?#

    Wildcard SSL, ortak alan adının (Common Name) yıldız işaretiyle (*) yazıldığı bir dijital sertifika türüdür. Sertifika *.ornek.com olarak düzenlendiğinde, bu alan adının birinci seviye tüm subdomainlerini tek seferde kapsar:

    • www.ornek.com
    • blog.ornek.com
    • shop.ornek.com
    • api.ornek.com
    • panel.ornek.com

    Buradaki yıldız, "bu konumdaki herhangi bir tek etiket" anlamına gelir. Yani sertifikayı bir kere kurduğunuzda, ileride oluşturacağınız crm.ornek.com gibi yeni bir subdomain de otomatik olarak kapsam içine girer — yeniden sertifika almanıza gerek kalmaz. Yeni servisleri hızla ayağa kaldıran ekipler için bu, ciddi bir esneklik demektir.

    Teknik olarak wildcard sertifika da standart bir X.509 sertifikasıdır; tek farkı, Subject Alternative Name (SAN) alanında DNS:*.ornek.com girdisinin bulunmasıdır. Şifreleme gücü, geçerlilik zinciri ve tarayıcı güveni açısından tekil bir sertifikadan hiçbir eksiği yoktur.

    *.ornek.com Tam Olarak Neyi Kapsar, Neyi Kapsamaz?#

    Wildcard sertifikaların en çok yanlış anlaşılan yönü kapsam sınırıdır. Yıldız işareti yalnızca tek bir seviyeyi temsil eder. Bunu netleştirmek çok önemlidir:

    İfade*.ornek.com kapsar mı?Neden
    blog.ornek.comEvetTek seviye subdomain
    api.ornek.comEvetTek seviye subdomain
    ornek.com (kök)HayırYıldız kök alan adını içermez
    panel.blog.ornek.comHayırİki seviye derinlikte (iç içe)
    shop.ornek.com.trHayırFarklı bir alan adı

    Buradan iki kritik sonuç çıkar:

    Kök alan adı kapsam dışıdır#

    *.ornek.com sertifikası ornek.com adresini (yani www olmadan çıplak kök alanı) kapsamaz. Neredeyse tüm siteler hem ornek.com hem www.ornek.com üzerinden erişilebilir olduğundan, bu durum ciddi bir eksikliktir. Çözüm, çoğu Sertifika Otoritesinin (CA) ve Let's Encrypt'in yaptığı gibi sertifikaya iki SAN girdisini birlikte koymaktır:

    DNS:*.ornek.com
    DNS:ornek.com
    

    Böylece hem çıplak kök alan hem de tüm subdomainler tek sertifikayla korunur. Sertifika alırken bu ikili girişi mutlaka kontrol edin.

    İç içe subdomainler (multi-level) kapsam dışıdır#

    *.ornek.com sertifikası panel.blog.ornek.com gibi iki seviye derinlikteki bir adresi korumaz. Bu tür bir yapıya ihtiyacınız varsa, o seviyeye özel ikinci bir wildcard almanız gerekir:

    DNS:*.blog.ornek.com
    

    Yani her ek derinlik seviyesi kendi wildcard'ını ister. Subdomain kavramının nasıl çalıştığını daha iyi anlamak için subdomain nedir yazısını inceleyebilirsiniz.

    Tekil, SAN (Multi-Domain) ve Wildcard Farkı#

    Doğru sertifikayı seçmek için üç ana türü kafanızda net oturtmanız gerekir.

    Tekil (Single-Domain) Sertifika#

    Yalnızca tek bir tam alan adını korur; genellikle kök + www birlikte verilir:

    • Kapsam: ornek.com ve www.ornek.com
    • Kullanım: Tek bir web sitesi, subdomain planı yoksa
    • Avantaj: En ucuz ve en basit seçenek

    Küçük bir kurumsal site veya bir WordPress blogu için genellikle tekil sertifika yeterlidir.

    Multi-Domain (SAN / UCC) Sertifika#

    Tek sertifikada, birbirinden bağımsız birden fazla tam alan adını listeleyerek korur:

    • Kapsam: ornek.com, ornek.com.tr, baskasite.com, mail.ornek.com
    • Kullanım: Farklı alan adlarını tek sertifikada toplamak istediğinizde
    • Sınır: Korunacak her adı tek tek listelemeniz gerekir; ileride yeni bir ad eklemek için sertifikayı baştan düzenleyip yeniden düzenlemeniz (reissue) şarttır. Ayrıca bir sertifikaya konabilecek ad sayısı sınırsız değildir (Let's Encrypt tek sertifikada en fazla 100 ada izin verir)

    Wildcard Sertifika#

    Bir alan adının altındaki tüm birinci seviye subdomainleri dinamik olarak korur:

    • Kapsam: *.ornek.com (+ genellikle ornek.com)
    • Kullanım: Çok sayıda subdomaininiz varsa veya sık sık yenilerini ekliyorsanız
    • Avantaj: Yeni subdomain eklerken sertifikaya dokunmanıza gerek yoktur

    Kısaca: Farklı alan adlarınız varsa SAN, aynı alan adında çok sayıda subdomaininiz varsa Wildcard mantıklıdır. Bazı ihtiyaçlarda ikisi birleştirilir; örneğin bir SAN sertifikaya hem *.ornek.com hem *.ornek.com.tr girilebilir.

    DNS-01 Doğrulaması: Wildcard'ın Zorunlu Adımı#

    Bir sertifika otoritesi, size sertifika vermeden önce o alan adının gerçekten sizin kontrolünüzde olduğunu doğrular. Standart tekil sertifikalarda bu, çoğunlukla HTTP-01 yöntemiyle yapılır: CA, sunucunuzda belirli bir dosyaya erişerek kontrolü kanıtlar.

    Ancak wildcard sertifikalarda durum farklıdır. Yıldız, henüz var olmayan subdomainleri de kapsadığı için bir HTTP dosyası testi mantıksızdır. Bu nedenle wildcard sertifikalar yalnızca DNS-01 doğrulamasıyla alınabilir. DNS-01'de, alan adınızın DNS bölgesine geçici bir TXT kaydı eklemeniz ve CA'nın bu kaydı okuyarak alan adının kontrolünü doğrulaması gerekir.

    Let's Encrypt ile Ücretsiz Wildcard Alma#

    Let's Encrypt, certbot aracıyla ücretsiz wildcard sertifika verir. Örnek bir manuel DNS doğrulama komutu:

    sudo certbot certonly \
      --manual \
      --preferred-challenges dns \
      -d "ornek.com" \
      -d "*.ornek.com"
    

    Certbot size şuna benzer bir TXT kaydı verir:

    Kayıt adı:  _acme-challenge.ornek.com
    Kayıt türü: TXT
    Değer:      gG9k...rastgele-doğrulama-değeri...zQ
    

    Bu kaydı alan adı yönetim panelinizden (veya bulunduğunuz DNS sağlayıcınızda) ekleyip, kaydın yayıldığını doğruladıktan sonra Enter'a basmanız yeterlidir. Kaydın yayıldığını komut satırından kontrol edebilirsiniz:

    dig +short TXT _acme-challenge.ornek.com
    

    Değer beklenen doğrulama koduyla eşleşince Let's Encrypt sertifikayı üretir.

    Otomatik Yenileme İpucu#

    Manuel DNS doğrulamasının önemli bir dezavantajı var: --manual moduyla alınan bir sertifikayı certbot renew tek başına otomatik yenileyemez, çünkü her yenilemede (Let's Encrypt için 90 günde bir) yeni bir TXT kaydını sizin elle girmeniz beklenir. İnsan eliyle takip edilen bu döngü unutulmaya son derece açıktır ve süresi dolan sertifika tüm subdomainlerinizi aynı anda "güvenli değil" uyarısına düşürür.

    Bu yükten kurtulmanın yolu, DNS sağlayıcınızın API'siyle konuşan bir certbot eklentisi kullanmaktır. Bu eklentiler TXT kaydını sizin adınıza ekleyip doğrulama biter bitmez siler; böylece yenileme tamamen otomatikleşir. Örneğin Cloudflare için:

    sudo certbot certonly \
      --dns-cloudflare \
      --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
      -d "ornek.com" \
      -d "*.ornek.com"
    

    Bu kurulumda certbot renew, yenileme zamanı geldiğinde TXT kaydını yeniden oluşturup doğrulamayı kendisi tamamlar; tek yapmanız gereken renew komutunu bir cron veya systemd zamanlayıcısına bağlamaktır. DNS API'sini destekleyen bir sağlayıcı kullanıyorsanız, wildcard yönetimi neredeyse "kur ve unut" seviyesine iner. Aynı mantıkla ilgilendiğiniz bir başka konu varsa Let's Encrypt ücretsiz SSL yazısı yenileme otomasyonuna daha yakından bakıyor.

    Wildcard SSL Ne Zaman Gereklidir?#

    Her sitenin wildcard'a ihtiyacı yoktur. Aşağıdaki durumlarda wildcard doğru seçimdir:

    • Çok sayıda subdomaininiz var. docs, api, status, cdn, blog, panel gibi beş-altı ve üzeri subdomain varsa, tek tek yönetmek yerine wildcard belirgin şekilde pratiktir.
    • Sık sık yeni subdomain açıyorsunuz. SaaS ürünlerinde her müşteriye musteri1.uygulamam.com, musteri2.uygulamam.com gibi ayrı bir subdomain tahsis ediliyorsa, wildcard olmadan her yeni müşteride sertifika almanız imkânsıza yakındır.
    • Gelişme (staging) ortamlarınız var. dev.ornek.com, test.ornek.com, staging.ornek.com gibi geçici ortamlar wildcard'la anında güvenli hale gelir.

    Buna karşılık, elinizde yalnızca ornek.com ve www.ornek.com varsa ve öngörülebilir bir gelecekte subdomain planınız yoksa, tekil bir sertifika hem daha ucuz hem daha yalındır. Fazladan kapsamı boşuna satın almış olmazsınız.

    Güvenlik notu: Wildcard sertifikanın özel anahtarı tüm subdomainleri kapsadığı için tek bir sunucuda anahtar sızarsa etki alanı geniş olur. Anahtar dosyalarınızı sıkı izinlerle saklayın, mümkünse anahtarı her sunucuya dağıtmak yerine merkezi bir TLS sonlandırma katmanında tutun.

    Maliyet ve Yönetim Tarafı#

    Wildcard SSL seçimini yalnızca fiyata değil, toplam yönetim yüküne bakarak yapmalısınız.

    Ücretsiz mi, Ücretli mi?#

    • Let's Encrypt (ücretsiz): DV (Domain Validation) seviyesinde wildcard verir. Şifreleme açısından ücretli DV sertifikalardan farkı yoktur; tarayıcıda aynı kilit simgesini gösterir. 90 günlük geçerlilik ve otomatik yenileme ile pratik bir çözümdür.
    • Ticari wildcard sertifikalar (ücretli): Genellikle 1 yıllık geçerlilik, teknik destek ve bazı durumlarda ek garanti sunar. OV (Organization Validation) seviyesinde kurum kimliği doğrulaması da isteyebilirsiniz. Not: Wildcard sertifikalar EV (Extended Validation) olarak sunulmaz.

    Çoğu proje için Let's Encrypt wildcard fazlasıyla yeterlidir. Kurumsal bir uyumluluk gereksinimi veya sağlayıcı garantisi arıyorsanız ticari bir seçenek değerlendirilebilir. Farklı sertifika seçeneklerini ve kurulum desteğini SSL hizmetleri sayfamızda inceleyebilirsiniz.

    Yönetimi Kolaylaştıran Alışkanlıklar#

    • Yenilemeyi otomatikleştirin. certbot renew komutunu bir cron görevine bağlayın; süresi dolan sertifika, tüm subdomainlerinizi aynı anda "güvenli değil" uyarısına düşürür.
    • Özel anahtarı güvende tutun. Anahtar dosyalarına yalnızca root erişebilmeli (chmod 600), yedeklerde de şifreli tutulmalı. Güçlü, benzersiz kimlik bilgileri için şifre üreticimizden yararlanabilirsiniz.
    • Kapsamı belgeleyin. Hangi wildcard'ın hangi seviyeyi kapsadığını (*.ornek.com mı, *.blog.ornek.com mı) bir yerde not edin; ekip büyüdükçe bu bilgi karışıklığı önler.
    • Sertifikayı düzenli test edin. Kurulumdan sonra rastgele bir-iki subdomaine tarayıcıdan girip kilit simgesini ve sertifika kapsamını doğrulayın.

    Yönettiğiniz sunucu sayısı arttıkça bu işlemleri kendiniz üstlenmek istemeyebilirsiniz; bu durumda kurulum ve yenilemeyi sizin adınıza takip eden sunucu yönetimi hizmetleri veya WordPress tarafında WordPress bakım paketleri işinizi kolaylaştırır.

    Sıkça Sorulan Sorular#

    Wildcard SSL kök alan adını (ornek.com) korur mu?#

    Hayır, *.ornek.com ifadesi yalnızca subdomainleri kapsar; çıplak kök alan olan ornek.com kapsam dışıdır. Bu nedenle sertifikaya ayrıca ornek.com SAN girdisi eklenmelidir. Let's Encrypt dahil çoğu CA bu iki girdiyi birlikte verir.

    *.ornek.com sertifikası panel.blog.ornek.com adresini kapsar mı?#

    Hayır. Yıldız yalnızca tek bir seviyeyi temsil eder, bu yüzden iç içe (iki seviye) subdomainleri korumaz. panel.blog.ornek.com için ayrıca *.blog.ornek.com şeklinde ikinci bir wildcard sertifikaya ihtiyacınız olur.

    Let's Encrypt ile ücretsiz wildcard SSL alabilir miyim?#

    Evet. Let's Encrypt, certbot üzerinden ücretsiz wildcard sertifika verir. Tek koşul, doğrulamanın DNS-01 yöntemiyle yapılmasıdır; yani alan adınızın DNS bölgesine geçici bir TXT kaydı eklemeniz gerekir. DNS sağlayıcı eklentileriyle bu adım tamamen otomatikleştirilebilir.

    Wildcard yerine SAN (multi-domain) sertifika ne zaman daha uygun?#

    Elinizde ornek.com, ornek.com.tr, baskasite.com gibi farklı alan adları varsa SAN sertifika daha uygundur. Wildcard ise aynı alan adı altındaki çok sayıda subdomain için idealdir. İki ihtiyaç birlikteyse, bir SAN sertifikaya birden fazla wildcard girdisi de eklenebilir.

    Wildcard SSL güvenlik açısından tekil sertifikadan zayıf mı?#

    Şifreleme gücü aynıdır; fark, tek bir özel anahtarın tüm subdomainleri kapsamasıdır. Bu yüzden anahtar sızarsa etki alanı daha geniş olur. Riski azaltmak için özel anahtarı sıkı dosya izinleriyle saklamak ve mümkünse merkezi bir TLS sonlandırma katmanı kullanmak önerilir.

    Özetle Wildcard SSL, aynı alan adı altında büyüyen projeler için sertifika yönetimini tek bir noktaya indiren güçlü bir araçtır: yeni subdomain eklediğinizde tarayıcı uyarılarıyla uğraşmaz, tek yenileme ile tüm alt adresleri güvende tutarsınız. İhtiyacınızın tekil, SAN mı yoksa wildcard mı olduğuna karar verdikten sonra kurulumu birkaç dakikada tamamlayabilirsiniz. Doğru sertifika seçiminde ya da DNS-01 doğrulamasında takılırsanız, SSL hizmetlerimiz ve barındırma çözümlerimiz üzerinden kurulumu adım adım halletmeniz mümkün.

    SSLWildcardSubdomain

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.