SSL Sertifikası Nedir?

SSL sertifikası, web sitenizi kurarken mutlaka doğru anlamanız gereken bir kavram. Biz müşterilerimize her yeni proje başlangıcında SSL’i anlatıyoruz; çünkü zaman zaman “bu zorunlu mu?” sorusuyla karşılaşıyoruz. Kısa cevap: evet, zorunlu. Hem güvenlik hem SEO hem de ziyaretçi güveni açısından SSL artık bir seçenek olmaktan çıktı. Uzun cevabı ise aşağıda.

SSL Sertifikası Ne İşe Yarar?

SSL (Secure Sockets Layer) sertifikası, web siteniz ile ziyaretçilerin tarayıcıları arasındaki veri iletimini şifreleyen dijital bir kimlik belgesidir. Kullanıcı adı, şifre, kredi kartı bilgisi gibi hassas veriler SSL sayesinde şifreli olarak iletilir; üçüncü tarafların bu verilere erişmesi engellenir. Kısaca: SSL, siteniz ile kullanıcı arasındaki konuşmayı başkalarının duyamayacağı güvenli bir kanala taşır.

SSL sertifikası olan siteler adres çubuğunda https:// ile gösterilir; olmayan siteler ise http:// ile başlar. Google Chrome ve Firefox gibi tarayıcılar SSL’siz siteleri “Güvenli Değil” olarak işaretliyor. Bu uyarıyı gören kullanıcıların büyük bölümü siteyi anında terk ediyor. Özellikle form dolduran veya satın alma yapan ziyaretçiler için bu uyarı dönüşümü fiilen sıfıra indiriyor.

Teknik olarak bugün SSL’nin yerini TLS (Transport Layer Security) almıştır; ancak sektörde hâlâ “SSL” terimi kullanılmaya devam ediyor. Her ikisi de aynı amaca hizmet ediyor: veri güvenliği ve kimlik doğrulama. Biz bu yazıda “SSL” terimini, sektördeki yaygın kullanıma uygun biçimde kullanıyoruz.

SSL Sertifikası Nasıl Çalışır?

SSL, tarayıcı ile sunucu arasında şifreli bir tünel oluşturur. Bu tünel sayesinde iletilen veriler dışarıdan okunamaz hale gelir. Tüm süreç milisaniyeler içinde tamamlanır; kullanıcı hiçbir şey fark etmez ama arka planda kritik bir güvenlik katmanı devreye girer. Şifreleme yöntemi olarak AES-256 standardı kullanılıyor; bu standart, mevcut hesaplama güçleriyle kırılması imkânsız kabul edilen bir koruma seviyesi sunuyor.

TLS El Sıkışması (Handshake) Süreci

Bir kullanıcı HTTPS ile başlayan bir siteye girdiğinde arka planda şu adımlar gerçekleşir. Tüm bu süreç kullanıcı fark etmeden, genellikle 100 ila 200 milisaniye içinde tamamlanıyor:

1. Tarayıcı sunucudan SSL sertifikasını talep eder.
2. Sunucu sertifikasını tarayıcıya gönderir.
3. Tarayıcı sertifikayı doğrular — güvenilir bir sertifika otoritesi tarafından imzalanmış mı?
4. Doğrulama başarılıysa şifreli bağlantı kurulur.
5. Tüm veri alışverişi bu şifreli kanal üzerinden yapılır.

Bu süreç — “TLS handshake” — genellikle 100–200 milisaniye sürer. Modern TLS 1.3 protokolüyle bu süre yarıya kadar düşebiliyor. Kullanıcı açısından neredeyse sıfır gecikme anlamına geliyor.

HTTP ile HTTPS Arasındaki Fark

HTTP, verileri düz metin olarak iletir; yani araya giren biri bu verileri okuyabilir. HTTPS ise aynı iletimi şifreli yaparak bu riski ortadan kaldırır. Performans açısından aralarında anlamlı bir fark yok; hatta tam tersi. HTTP/2 protokolü yalnızca HTTPS üzerinde çalışıyor — paralel veri yükleme sayesinde HTTPS siteleri HTTP sitelerinden daha hızlı yüklenebiliyor. Tarayıcı adres çubuğundaki kilit simgesi ise ziyaretçiye bağlantının güvenli olduğunu gösteriyor.

SSL Sertifikası Türleri Nelerdir?

SSL sertifikaları doğrulama düzeyine ve kapsam genişliğine göre farklı kategorilere ayrılır. Hangi türün size uygun olduğu, sitenizin amacına ve kurumsal ihtiyaçlarınıza göre değişiyor. Biz müşterilerimize projeye göre bu türlerden birini öneriyoruz. Yanlış tür seçmek hem para kaybına hem de güven sorununa yol açabiliyor; o yüzden bu ayrımı net anlamak önemli.

DV (Domain Validated) — Temel Doğrulama

DV sertifikaları yalnızca alan adı sahipliğini doğrular. Birkaç dakika ile birkaç saat içinde alınabiliyor. Let’s Encrypt gibi ücretsiz kaynaklar da DV sertifikası sağlıyor. Blog, portfolyo veya tanıtım sitesi gibi kişisel ve küçük kurumsal projeler için yeterli. Hassas kişisel veri toplamayan sitelerde ilk önerimiz her zaman bu tür oluyor. Yeni web sitesi kurulumlarının büyük çoğunluğu DV sertifikasıyla başlıyor ve bu onlar için fazlasıyla yeterli oluyor.

OV (Organization Validated) — Kurumsal Doğrulama

OV sertifikaları hem alan adı hem de şirket bilgilerini doğrular. Sertifika otoritesi, başvuran şirketin varlığını teyit eder; süreç genellikle 1–3 iş günü alıyor. Kurumsal web siteleri, üyelik sistemleri ve B2B platformlar için tercih edilir. Kullanıcılar tarayıcıda şirket bilgilerini görebilir; bu ek güven katmanı dönüşüm oranlarına da olumlu yansıyor. Fintech, hukuk, sağlık gibi güvene dayalı sektörlerde OV bir tercih değil, standart haline geldi.

EV (Extended Validation) — Gelişmiş Doğrulama

EV sertifikaları en kapsamlı doğrulama sürecine sahip tür. Şirket kimliği, yasal varlık ve fiziksel adres doğrulanır; süreç 3–7 iş günü sürebilir. Bankalar, büyük e-ticaret siteleri ve kurumsal platformlar EV sertifikası kullanır. Tarayıcı adres çubuğunda şirket adının görünmesi EV’nin en belirgin özelliği. Yıllık maliyeti DV sertifikasından belirgin biçimde yüksek; ancak yüksek güven gerektiren sektörlerde bu yatırımın karşılığı alınıyor.

Wildcard ve Multi-Domain SSL

Wildcard SSL, ana alan adı ve tüm alt alan adlarını tek sertifikayla kapsar (örn: *.siteadi.com). Birden fazla alt etki alanı kullananlar için maliyet açısından avantajlı. Multi-Domain SSL ise farklı alan adlarını tek sertifikayla yönetmenizi sağlar. Birden fazla sitesi olan ajans ve kurumsal yapılar için pratik ve ekonomik bir çözüm. Biz kendi altyapımızda da Wildcard sertifika kullanıyoruz; hem yönetim kolaylığı hem maliyet açısından mantıklı bir tercih.

SSL Sertifikası SEO’ya Etkisi Var mı?

Evet, doğrudan etkisi var. Google, 2014’ten bu yana HTTPS’i bir sıralama sinyali olarak kullanıyor. İçerik ve hız açısından eşit iki siteden SSL kullanan her zaman daha üst sıralarda görünüyor. Bu fark küçük gibi görünse de rekabetçi anahtar kelimelerde belirleyici olabiliyor.

Dolaylı etki ise daha büyük. “Güvenli Değil” uyarısı gören kullanıcılar siteyi terk ediyor; bu da hemen çıkma oranını artırıyor. Yüksek hemen çıkma oranı, Google’a “bu sayfa kullanıcı ihtiyacını karşılamıyor” sinyali veriyor. Zamanla sıralama kayıpları başlıyor. SSL yokluğunun SEO’ya zararı hem teknik hem davranışsal kanallardan geliyor.

Biz projelerimizde SSL kurulumunu sitenin canlıya geçmesinden önce tamamlıyoruz. Google Search Console’da HTTPS versiyonunu birincil olarak tanımlamak, yönlendirmelerin doğru kurulu olduğunu kontrol etmek ve SEO eklentisinde canonical etiketleri HTTPS’e ayarlamak — bunlar SSL kurulumunun SEO tarafındaki zorunlu adımları. Eksik bırakıldığında duplicate content sorunları kaçınılmaz biçimde ortaya çıkıyor.

SSL Sertifikası Olmayan Sitede Ne Olur?

Temmuz 2018’den beri Google Chrome, SSL’siz her siteyi açıkça “Güvenli Değil” uyarısıyla işaretliyor. Google ve Harris Poll’un araştırmasına göre bu uyarıyı gören kullanıcıların %85’inden fazlası siteyi terk ediyor. E-ticaret sitelerinde bu oran daha da yüksek; hiç kimse “Güvenli Değil” yazan bir siteye kart bilgisi girmiyor.

Güvenlik açısından bakıldığında SSL’siz bir sitede iletilen veriler açık metin olarak gidiyor. Aynı ağdaki kötü niyetli biri — örneğin halka açık bir Wi-Fi ortamında — bu verileri kolayca okuyabilir. Form dolduran, kullanıcı adı giren veya herhangi bir bilgi ileten her ziyaretçi risk altında. Bu, teorik değil; gerçek ve yaygın bir saldırı yöntemi.

SEO açısından da olumsuz sinyaller birikmeye başlıyor: yüksek hemen çıkma oranı, kısa oturum süresi, düşük sayfa görüntüleme sayısı. Bunların tamamı arama motorlarının kalite değerlendirmesini etkileyen metrikler. SSL yoksa hem ziyaretçi kaybı hem sıralama düşüşü kaçınılmaz hale geliyor.

Ücretsiz SSL Sertifikası Nasıl Alınır?

Let’s Encrypt, 2016’dan beri milyonlarca siteye ücretsiz DV sertifikası sağlıyor. Mozilla, Google, Cisco ve Akamai gibi büyük teknoloji şirketlerinin desteğiyle kurulan bu platform, web genelinde HTTPS benimsenmesini hızlandırmak amacıyla kuruldu. Bugün dünya genelinde 400 milyonun üzerinde aktif sertifika yönetiyor.

Büyük hosting firmalarının çoğu kontrol panelinde tek tıkla Let’s Encrypt kurulumu sunuyor. cPanel, Plesk veya hPanel üzerinden birkaç adımda aktif edebilirsiniz. Sertifika her 90 günde bir otomatik yenileniyor; yenileme sürecini yönetmenize gerek yok.

WordPress siteleri için Cloudflare da ücretsiz SSL seçeneği sunuyor; hem CDN hem SSL aynı anda aktif oluyor. Biz müşteri sitelerini kurarken önce hosting panelinden SSL’i aktif ediyoruz, ardından WordPress’te HTTPS yönlendirmelerini ve mixed content sorunlarını çözüyoruz. Çoğu proje için ücretsiz SSL fazlasıyla yeterli; ücretli sertifikaya geçmek yalnızca OV veya EV doğrulaması gerektiğinde mantıklı oluyor. Ücretsiz ile ücretli SSL arasında şifreleme gücü açısından hiçbir fark yok; fark yalnızca doğrulama kapsamında.

SSL Kurulumunda Bizim Yaklaşımımız

SSL sertifikasını aktif etmek yalnızca başlangıç; asıl iş ardından geliyor. Bu ayrıntı rakip içeriklerin çoğunda yer almıyor ama pratikte kritik önemde.

Biz bir siteye SSL kurduğumuzda şu adımları sırayla uyguluyoruz:

• HTTP’den HTTPS’e 301 yönlendirmesi kurmak (.htaccess veya hosting paneli üzerinden)
• WordPress adres ayarlarını HTTPS’e güncellemek (Genel Ayarlar → Site Adresi)
• Mixed content hatalarını temizlemek — sayfada hâlâ HTTP’den yüklenen resim veya script kalmamalı
• Google Search Console’a HTTPS versiyonunu eklemek ve sitemap’i güncellemek
• Rank Math veya Yoast’ta canonical etiketlerin HTTPS’e işaret ettiğini doğrulamak

Bu adımların atlanması durumunda SSL teknik olarak aktif ama tarayıcı hâlâ sarı kilit veya “Bağlantı tam olarak güvenli değil” uyarısı veriyor. Özellikle eski WordPress sitelerini HTTPS’e geçirirken veritabanında kalan HTTP referanslarını da toplu değiştirmek gerekiyor. Bu işlem için Search Replace DB aracını kullanıyoruz. Doğru yapıldığında sıralama kaybı yaşanmadan geçiş tamamlanıyor. Biz şimdiye kadar kurduğumuz hiçbir sitede SSL geçişi nedeniyle sıralama kaybı yaşamadık; doğru adımları takip ettiğinizde bu süreç risksiz biçimde tamamlanıyor.

Sıkça Sorulan Sorular

SSL ile TLS aynı şey midir?

Teknik olarak değil. SSL artık kullanımdan kalktı; yerine TLS geçti. Ancak “SSL sertifikası” terimi sektörde yaygın kullanılmaya devam ediyor. Aldığınız sertifika aslında TLS protokolü üzerinde çalışıyor. Bu tamamen normal; endişelenmenize gerek yok.

SSL sertifikası siteyi yavaşlatır mı?

Hayır, aksine hızlandırabilir. TLS handshake süreci milisaniyeler içinde tamamlanıyor. Üstelik HTTP/2 yalnızca HTTPS üzerinde çalışıyor; bu protokol paralel veri yüklemesiyle sayfa hızını önemli ölçüde artırıyor. Doğru yapılandırılmış bir HTTPS sitesi, HTTP sitesinden daha hızlı yüklenebiliyor.

SSL sertifikası ne kadar sürede kurulur?

DV sertifikaları için genellikle birkaç dakika ila birkaç saat yeterli. Let’s Encrypt ücretsiz sertifikalar hosting panelinden dakikalar içinde kurulabiliyor. OV sertifikaları 1–3 iş günü, EV sertifikaları ise daha kapsamlı doğrulama nedeniyle birkaç iş gününü bulabiliyor.

SSL olmadan Google’da üst sıraya çıkılabilir mi?

Düşük rekabetli anahtar kelimelerde zaman zaman mümkün. Ancak Google HTTPS’i sıralama faktörü olarak kullandığından giderek zorlaşıyor. Üstelik tarayıcıların “Güvenli Değil” uyarısı, sıralamada yer bulunsa bile ziyaretçilerin siteye güvenmesini engelliyor. Kurumsal veya e-ticaret projelerinde SSL’siz kalmak artık bir seçenek değil.