SSL Sertifikalarınızı İzlemiyorsanız, Güvenlik Planınız Eksik Kalıyor

SSL Sertifikalarınızı İzlemiyorsanız, Güvenlik Planınız Eksik Kalıyor

Tem 09, 2026 certificate-transparency tls-ssl security certificate-management dns-security web-security devops monitoring

Görmediğiniz Saldırı Yüzeyi: Sertifika Şeffaflığı

Bir CA'nın (Certificate Authority) alan adınız için bir TLS sertifikası çıkarması, o sertifikanın herkes tarafından görülebilir olması demek. Bu bir hata değil, Certificate Transparency (CT) diye adlandırılan bir özellik. Ama güvenlik profesyonellerini asıl korkutan şey şu: alan adınız için herkes sertifika talep edebilir ve eğer kötü niyetli ya da ele geçirilmiş bir CA bunu yaparsa, çok geç olana kadar fark edemeyebilirsiniz.

Certificate Transparency tam olarak bu görünürlük sorununu çözmek için tasarlandı. Herkese güvenilen CA'lar, çıkardıkları tüm sertifikaları herkese açık CT loglarına göndermek zorundalar. Böylece sertifika çıkarma işlemlerinin izlenebilir bir kaydı oluşuyor. Mesele CT loglarının var olup olmadığı değil — mesele bu logları aktif olarak izleyip izlemediğiniz.

CT Aramalarında Tam Olarak Ne Görüyorsunuz?

CT loglarında arama yaparken sadece kendi talep ettiğiniz sertifikaları görmüyorsunuz. Tüm tabloyu görüyorsunuz:

DNS SAN (kesin eşleşme), tam olarak eşleşen ana makine adlarını içeren sertifikaları bulur — *.example.com gibi düz wildcard'lar dahil. Bu temel kontrolünüz: bu sertifikayı biz gerçekten biz mi talep ettik?

DNS host kapsamı, alan adınızı doğrudan kapsayan sertifikaları yakalar, wildcard üst domainler dahil. Birisi erişim yetkisi olmaması gereken bir wildcard sertifikası almışsa bunu tespit etmenize yardımcı olur.

DNS host ve alt domainler daha derine iniyor ve ana makinenizin altında yer alan isimler için çıkarılan sertifikaları gösteriyor. Birisi api.example.com, staging.example.com veya başka alt domainler için sessizce sertifika topluyorsa, burada fark edersiniz.

Hız Kritik: Yeni Sertifikalar Dakikalar İçinde Görünüyor

Herkese güvenilen TLS sertifikaları normalde çıkarıldıktan 10 dakika içinde CT loglarında yer alıyor. Gece yarısı çalışan bir toplu işlem değil bu — neredeyse anlık bir süreç. Güvenlik izleme açısından bu hız çok önemli. Kötü niyetli bir aktör phishing veya man-in-the-middle saldırıları için sertifika almaya çalışıyorsa, tespit edilmeden önceki pencere çok dar.

İşte bu yüzden sürekli izleme, belirli aralıklarla kontrol etmekten çok daha iyidir. Alan adınız bugün kaydedilir, yarın sertifika çıkarılır ve haftalık bir denetim bunu tamamen kaçırabilir.

Pre-Sertifikalar ve Final Sertifikalar: Neden Tekilleştirme Önemli?

CT logları yalnızca son sertifikaları depolamıyor — pre-sertifikalar da içerebiliyor. Pre-sertifika, bazı CA'ların gerçek sertifikayı çıkarmadan önce gönderdiği geçici bir yapı. Aynı mantıksal sertifika, farklı ikili temsillerle CT loglarında iki kez görünebilir.

Modern CT arama araçları bunu akıllı bir teknikle çözüyor: TBS-no-CT SHA-256 hash'i ile Issuer SPKI SHA-256 hash'ini karşılaştırarak sonuçları tekilleştiriyor. "TBS-no-CT" kısmı, Certificate Transparency uzantıları çıkarıldıktan sonra sertifikanın imzalanacak verisini ifade ediyor. Bu sayede pre-sertifikalar ve karşılık gelen final sertifikalar eşleşiyor ve her gerçek sertifika için kafa karıştırıcı tekrarlar yerine tek bir temiz sonuç alıyorsunuz.

Geliştirici ve Güvenlik Ekipleri İçin Pratik Kullanım Alanları

Geliştiriciler için: CT izlemeyi altyapı kurulum betiklerinize entegre edin. Yeni ortamlar oluştururken, o domainler için CT loglarında yalnızca beklediğiniz sertifikaların göründüğünü otomatik olarak doğrulayın.

Güvenlik ekipleri için: CT logları tehdit istihbaratı için paha biçilmez. Phishing kampanyaları genellikle meşru görünen sertifikalar kullanır. Typosquatting domainlerini (örneğin examp1e.com yerine example.com) izlemek, marka taklit girişimlerini ortaya çıkarabilir.

Girişimler için: Rekabetçi bir alanda faaliyet gösteriyorsanız, CT izlemesi hedef alma veya keşif faaliyetini gösterebilecek şüpheli sertifika çıkarılması konusunda sizi uyarabilir.

İzlemenin Ötesinde: Sertifika Yaşam Döngüsü Yönetimi

CT araması, sağlam bir sertifika yönetim stratejisinin sadece bir parçası. Alan adlarınız için hangi sertifikaların var olduğunu öğrendikten sonra, sona erme tarihlerini, yenileme pencerelerini takip etmeniz ve uygun anahtar yönetimini sağlamanız gerekiyor. Sertifika sona erme hataları gerçek üretim kesintilerine neden oluyor — ve herkesin itiraf ettiğinden çok daha sık yaşanıyor.

CertObserver gibi modern sertifika izleme platformları, CT verilerini bir araya getirir, yenileme riskini takip eder ve sertifikalar sona ermeden önce uyarı sağlar. Bu, Certificate Transparency'yi pasif bir logdan aktif bir güvenlik kontrolüne dönüştürür.

Son Söz

Certificate Transparency, daha önce imkansız olan sertifika çıkarma görünürlüğünü size sunuyor. Bir avuç proje yöneten bağımsız bir geliştirici olun ya da binlerce domaini koruyan kurumsal bir güvenlik ekibi, CT izleme güvenlik araç kutunuzun bir parçası olmalı.

İyi haber mi? Veriler herkesin erişimine açık, aramalar hızlı ve araçlar hızla gelişiyor. Sertifika çıkarma işlemlerini körü körüne takip etmemek için artık mazeret yok.

Sertifika ayak izinizi izlemeye bugün başlayın. Kullanıcılarınızın bağlantı kuramamasının nedeninin kimsenin haberi olmayan süresi dolmuş bir sertifika olduğunu debug etmek zorunda kalmadığınızda, gelecekteki kendiniz size teşekkür edecek.


NameOcean olarak, geliştiricilerin ve girişimlerin altyapılarını entegre SSL yönetimi ve domain güvenlik araçlarıyla güvence altına almalarına yardımcı oluyoruz. Çünkü sertifikalarınızla ilgili neler olup bittiğini anlamak için güvenlik doktorası gerekmemeli.

Read in other languages:

RU BG EL CS UZ SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN