logo
GeekFormat

SSL Sertifika Denetleyicisi

Sertifika araştırması

Sertifikayı okumak, protokolü müzakere etmek ve kalan geçerliliği almak için doğrudan sunucudan TLS el sıkışması başlatın.

Çevrimiçi SSL/TLS sertifikalarını denetleyin, bir alan adı girerek sertifikanın geçerli olup olmadığını, alan adının eşleşip eşleşmediğini, kalan günleri, TLS sürümünü, şifreleme paketlerini ve SAN listesini görün, arka uç el sıkışma başlatır CORS sorunu yok.

İlgili Öneriler

Kullanım senaryoları

  • Web sitesi lansmanından önce/sertifika yenilemesinden sonra HTTPS'nin düzgün çalışıp çalışmadığını hızlıca doğrulama
  • Sertifika sona erme uyarısı: Kalan günleri düzenli olarak kontrol ederek beklenmedik sona erme nedeniyle erişim kesintilerini önleme
  • Tarayıcı HTTPS hatalarını giderme: Sona erme, alan adı eşleşmemesi veya sertifika zinciri sorunu olup olmadığını belirleme
  • CDN/ters proxy dağıtımından sonra uç düğüm sertifikalarının doğru yüklenip yüklenmediğini doğrulama
  • TLS protokol sürümü ve şifreleme paketlerinin güvenlik ve uyumluluk gereksinimlerini karşılayıp karşılamadığını kontrol etme
  • Çoklu alan adı sertifikası dağıtımından sonra SAN listesinin tüm hedef alan adlarını kapsayıp kapsamadığını doğrulama

Özellikler

  • Arka uç TLS el sıkışması: Doğrudan sunucudan TLS bağlantısı başlatır, tarayıcı CORS kısıtlaması yok, herhangi bir genel alan adını denetleyebilir
  • Yetkilendirme durumunun anında değerlendirilmesi: Sertifikanın geçerli olup olmadığı, alan adının eşleşip eşleşmediği ve yetkilendirme hata bilgileri bir bakışta görülebilir
  • Kalan günler için renkli uyarılar: >30 gün yeşil, 7-30 gün sarı, <7 gün kırmızı, yenileme zamanını hızlıca değerlendirin
  • Temel yapılandırma bir bakışta: TLS protokol sürümü, Cipher, ALPN anlaşma sonuçları doğrudan görülebilir
  • Tam SAN liste görüntüleme: Tüm Subject Alternative Name'ler etiket olarak listelenir, 8'den fazlası tümünü görmek için genişletilebilir
  • Çift parmak izi tek tıklamayla kopyalama: SHA-1 ve SHA-256 parmak izleri ayrı ayrı görüntülenir ve tek tıklamayla kopyalamayı destekler
  • Tam JSON dışa aktarma: Sertifikanın tam JSON yapısını görmek için genişletebilir, derinlemesine inceleme ve arşivleme için tek tıklamayla kopyalamayı destekler

Nasıl Kullanılır

  1. Denetlenecek alan adını girin (örneğin geekformat.com, https:// öneki olmadan)
  2. 'Sertifikayı Denetle' düğmesini tıklayın, TLS el sıkışma sonuçlarını almak için 1-3 saniye bekleyin
  3. Önce yetkilendirme durumunu (yeşil geçerli/kırmızı geçersiz) ve kalan günlerin rengini kontrol edin
  4. TLS sürümü, Cipher, ALPN anlaşmasının beklentilere uygun olup olmadığını kontrol edin
  5. Sertifika bilgilerinin doğru olduğunu onaylamak için Subject/Issuer, geçerlilik süresi, SAN listesini inceleyin
  6. Derinlemesine inceleme için, tam sertifika yapısını görmek ve arşivlemek üzere kopyalamak için JSON ayrıntılarını genişletin

Sık Sorulan Sorular

Neden SSL sertifikalarını denetlemeliyim?

Sona eren SSL sertifikaları, alan adı eşleşmemeleri ve yapılandırma hataları HTTPS web sitelerinin en yaygın arıza türleridir. Bir sertifika sona erdikten sonra tarayıcılar 'güvensiz' uyarısı gösterir ve bu da ziyaretçilerin uzaklaşmasına neden olur, ayrıca Google arama sıralaması da etkilenir. Düzenli denetim ve erken yenileme HTTPS'nin düzgün çalışmasını sağlamak için temel bakım görevleridir.

Sertifika denetimi ile SSL Labs arasındaki fark nedir?

SSL Labs derinlemesine puanlama yapar (protokoller, paketler, güvenlik açıkları vb. kapsamlı testler dahil, yaklaşık 2 dakika sürer), bu araç hızlı temel denetim yapar (sonuçlar 1-3 saniyede döner), sertifika geçerliliği, geçerlilik süresi, TLS sürümü, şifreleme paketleri, SAN listesi gibi temel bilgileri kapsar, lansman öncesi hızlı doğrulama, yenileme onayı, hata ayıklama için uygundur.

Neden tarayıcılar doğrudan erişebiliyor ama bu araçla denetim başarısız oluyor?

Olası nedenler: 1) Web sitesi yabancı IP adreslerini engelliyor (denetim sunucusu yurtdışında); 2) Sunucu SNI ayrımı yapıyor ancak yapılandırma eksik; 3) Kurumsal intranet için kendinden imzalı sertifika kullanılıyor; 4) Güvenlik duvarı denetim düğümlerini engelliyor. Denetimin başarısız olması sertifikada bir sorun olduğu anlamına gelmez, belirli hata bilgilerine göre değerlendirilmelidir.

TLS 1.2 ve TLS 1.3 arasındaki fark nedir?

TLS 1.3 (2018, RFC 8446) en son sürümdür, el sıkışma hızı TLS 1.2'deki 2-RTT'den 1-RTT'ye hatta 0-RTT'ye yükseltildi, RSA anahtar değişimi, RC4, SHA-1 gibi güvensiz algoritmalar kaldırıldı, Forward Secrecy varsayılan olarak etkinleştirildi, güvenlik ve performansta belirgin iyileştirmeler var. Yeni dağıtımlarda tercihen TLS 1.3 desteklenmeli ve eski istemcilerle uyumluluk için TLS 1.2 korunmalıdır.

Sertifika kaç gün önce yenilenmeli?

Sona ermeden 30 gün önce yenileme hazırlıklarına başlanması ve dağıtımın en az 7 gün önce tamamlanması önerilir. Araç renkli uyarılar kullanır: >30 gün yeşil (normal), 7-30 gün sarı (yenilenmeli), <7 gün kırmızı (acil). Let's Encrypt sertifikaları 90 gün geçerlidir, otomatik yenileme önerilir.

Let's Encrypt

SAN listesi nedir? Neden önemli?

SAN (Subject Alternative Name), sertifikada kullanılmasına izin verilen alan adı/IP listesidir. Modern tarayıcılar (Chrome 58+) artık Common Name(CN) alanına güvenmiyor ve yalnızca SAN'ı kontrol ediyor. Ziyaret edilen alan adı SAN listesinde değilse, tarayıcılar 'alan adı eşleşmiyor' hatası verir. Bir sertifika SAN aracılığıyla birden fazla alan adını kapsayabilir (örneğin example.com, www.example.com, api.example.com).

Neden sertifika parmak izlerini görüntülemeliyim?

Sertifika parmak izleri (SHA-1/SHA-256) sertifika içeriğinin karma değerleridir, HPKP (kullanımdan kaldırıldı), Certificate Pinning ve dağıtılan sertifikanın beklenenle eşleşip eşleşmediğini manuel olarak doğrulamak için kullanılabilir, örneğin CDN'nin yeni sertifikayı doğru yükleyip yüklemediğini onaylamak veya birden fazla sunucu arasında sertifikaları karşılaştırmak için. Not: SHA-1 parmak izleri yalnızca tanımlama için kullanılır, güvenlik doğrulaması için kullanılmamalıdır.

SSL/TLS sertifika denetimi nedir?

SSL/TLS sertifika denetimi, istemciden bir TLS el sıkışması başlatarak hedef sunucunun döndürdüğü sertifika bilgilerini alma ve analiz etme, böylece HTTPS yapılandırmasının doğru olup olmadığını belirleme sürecidir. Temel denetim noktaları şunları içerir: sertifikanın geçerlilik süresi içinde olup olmadığı, ziyaret edilen alan adının sertifikanın izin verilenler listesinde olup olmadığı (SAN eşleşmesi), sertifika zincirinin eksiksiz ve güvenilir olup olmadığı, kullanılan TLS protokol sürümü ve şifreleme paketlerinin güvenli olup olmadığı vb.

**Sertifika denetimi neden bu kadar önemlidir?** SSL sertifikaları HTTPS'nin güven temelidir. Bir sertifikada bir sorun olduğunda (en yaygın olarak sona erme), tarayıcılar erişimi hemen engeller ve 'Bağlantınız gizli değil' kırmızı uyarı sayfası gösterir, bu da web sitesi trafiğine, dönüşüm oranlarına, SEO sıralamasına ve marka güvenine doğrudan zarar verir. İzlemeye göre, sertifika sona ermesi HTTPS arızalarının en yaygın nedenidir ve tüm HTTPS olaylarının %40'ından fazlasını oluşturur.

**Doğrudan tarayıcıdan erişmekten ne farkı var?** Tarayıcı erişimi önbellek, HSTS, kurumsal proxy'ler, istemci sertifikaları ve sapmalara neden olan diğer faktörlerden etkilenebilir; sertifika denetleme araçları ise bağımsız bir düğümden standart bir TLS el sıkışması başlatır ve nesnel, standartlaştırılmış sertifika bilgileri döndürür, operasyonel doğrulama senaryoları için uygundur. Bu araç, arka uç sunucusundan doğrudan TLS el sıkışmaları başlatır, **tarayıcı CORS kısıtlaması yoktur** ve genel olarak erişilebilen herhangi bir HTTPS alan adını denetleyebilir.

**Bu aracın denetlediği temel bilgiler**: Sertifika yetkilendirme durumu (geçerli olup olmadığı), belirli authorizationError hata bilgileri, TLS protokol sürümü (TLS 1.2/1.3), anlaşılan şifreleme paketi (Cipher), ALPN protokol anlaşma sonucu (h2/http/1.1), sertifikayı veren (Subject/Issuer), geçerlilik tarihleri (validFrom/validTo), kalan günler (renkli uyarılarla), SAN Subject Alternative Name listesi, SHA-1/SHA-256 parmak izleri, yanıt süresi ve tam JSON ayrıntıları.

Sonuçlar genellikle 1-3 saniye içinde döner, lansman öncesi hızlı doğrulama, yenileme onayı, hata ayıklama vb. senaryolar için uygundur. Derinlemesine puanlama için (SSL Labs'ın A+-F sınıflandırması gibi, yeniden anlaşma, güvenlik açığı testleri, protokol desteği vb. dahil), SSL Labs Server Test ile birlikte kullanılması önerilir.

术语表

SSL/TLS
SSL (Secure Sockets Layer) 1990'larda Netscape tarafından geliştirilen bir şifreleme protokolüdür, daha sonra IETF tarafından standartlaştırılarak TLS (Transport Layer Security) olarak yeniden adlandırılmıştır. SSL 3.0 ve önceki sürümlerin tümü kullanımdan kaldırılmıştır, şu anda gerçekte kullanılanlar TLS 1.2 ve TLS 1.3'tür, ancak geleneksel olarak hala genellikle 'SSL sertifikası' olarak adlandırılır.
HTTPS
HTTP over TLS, HTTP ile TCP arasına bir TLS şifreleme katmanı ekler, veri şifreleme, sunucu kimlik doğrulaması ve içerik bütünlüğü koruması sağlar. Google arama HTTPS sitelerine ağırlık verir, Chrome HTTPS olmayan siteleri 'güvensiz' olarak işaretler.
SAN (Subject Alternative Name)
X.509 sertifika uzantı alanı, bu sertifika ile kullanılmasına izin verilen tüm alan adlarını ve IP adreslerini listeler. Modern tarayıcılar (Chrome 58+) yalnızca SAN'ı kontrol eder ve artık Common Name(CN)'ye bakmaz. Bir SAN sertifikası aynı anda birden fazla alan adını koruyabilir.
Sertifika Zinciri (Certificate Chain)
Yaprak sertifikadan (sunucu sertifikası) ara CA sertifikasına ve ardından kök CA sertifikasına kadar olan güven zinciri. Sunucu yaprak sertifika + ara sertifikaları göndermelidir, tarayıcılar önceden yüklenmiş kök sertifikalar aracılığıyla zincirin bütünlüğünü doğrular. Eksik ara sertifikalar yaygın bir yapılandırma hatasıdır.
ALPN (Application-Layer Protocol Negotiation)
TLS uzantısı, TLS el sıkışması sırasında uygulama katmanı protokollerinin anlaşılmasına izin verir (örneğin HTTP/2 için h2, HTTP/1.1 için http/1.1, HTTP/3 için h3). El sıkışma tamamlandıktan sonra anlaşılan protokol doğrudan kullanılır, ek gidiş-dönüş gerekmez.
Cipher Suite (şifreleme paketi)
TLS el sıkışması sırasında anlaşılan bir dizi şifreleme algoritması, anahtar değişim algoritması, kimlik doğrulama algoritması, simetrik şifreleme algoritması ve karma algoritmadan oluşur, örneğin TLS_AES_256_GCM_SHA384. Güvenli yapılandırmalarda tercihen AEAD paketleri (GCM, ChaCha20-Poly1305 gibi) kullanılmalıdır.
Let's Encrypt
ISRG tarafından işletilen ücretsiz, otomatikleştirilmiş, açık bir sertifika yetkilisidir (CA), 2016'da resmen başlatıldı, 3 milyardan fazla sertifika verdi ve HTTPS dağıtım eşiğini önemli ölçüde düşürdü. Sertifikalar 90 gün geçerlidir, ACME protokolü aracılığıyla otomatik olarak yenilenir.Let's Encrypt web sitesi
Sertifika Parmak İzi (Fingerprint)
Sertifikanın DER kodlu içeriği üzerinden hesaplanan karma değer, genellikle SHA-1 ve SHA-256. Parmak izleri bir sertifikayı benzersiz olarak tanımlamak için kullanılır, Certificate Pinning ve birden fazla düğüm arasında tutarlılık doğrulaması için kullanılır. SHA-1 çakışma riski nedeniyle güvenlik amaçları için önerilmez, ancak tanımlama için hala yaygın olarak kullanılır.
SNI (Server Name Indication)
TLS uzantısı, istemci el sıkışma aşamasında ziyaret edeceği alan adını zaten gönderir, böylece aynı IP'deki bir sunucu birden fazla farklı alan adı için sertifika dağıtabilir (HTTP'nin Host başlığına benzer). SNI modern sanal ana bilgisayar HTTPS'nin temelidir, SNI yapılandırması olmayan sunucular varsayılan sertifikayı döndürür ve bu da alan adı eşleşmemesi hatalarına neden olabilir.
Forward Secrecy (PFS)
Bir güvenlik özelliği: sunucunun özel anahtarı gelecekte sızdırılsa bile, daha önce kaydedilmiş şifreli oturum trafiğinin şifresi çözülemez. Bu, ECDHE gibi geçici anahtar değişim algoritmaları aracılığıyla elde edilir, TLS 1.3'te zorunludur ve modern güvenlik yapılandırmaları için önerilen bir standarttır.

TLS protokol sürümü geçmişi ve durumu

Protokol sürümüYayın yılıMevcut durumNotlar
SSL 1.0-3.01995-1996❌ Kullanımdan kaldırıldı/güvensizPOODLE gibi ciddi güvenlik açıkları var, tüm modern tarayıcılar devre dışı bıraktı
TLS 1.01999❌ Kullanımdan kaldırıldıBEAST, CRIME gibi açıklar, PCI DSS 2018'den beri kullanımı yasak
TLS 1.12006❌ Kullanımdan kaldırıldıRFC 8996 ile resmi olarak kullanımdan kaldırıldı, Chrome/Firefox 2020'den beri desteği kaldırdı
TLS 1.22008⚠️ Yaygın olarak destekleniyor (geçiş)Şu anda en yaygın dağıtılan, en iyi uyumluluğa sahip, ancak bazı zayıf şifreleme paketleri riski var
TLS 1.32018 (RFC 8446)✅ ÖnerilenDaha hızlı el sıkışma (1-RTT/0-RTT), zayıf algoritmalar kaldırıldı, modern tarayıcıların ilk tercihi

Sertifika sona erme renk uyarıları ve işlem önerileri

Kalan günlerDurum rengiÖnerilen işlem
>30 gün🟢 Yeşil (normal)İşlem gerekmez, düzenli olarak kontrol edin
7-30 gün🟡 Sarı (uyarı)Yenileme sürecini en kısa sürede başlatın, sona ermeden değiştirmeyi tamamladığınızdan emin olun
<7 gün🔴 Kırmızı (acil)Hemen yenileyin, sona erdikten sonra tarayıcılar erişimi engeller
0 gün/sona erdi🔴 Kırmızı (sona ermiş)Sertifika geçersiz, kullanıcılar güvenlik uyarısı görür, hemen işlem yapılmalı

Yaygın SSL hata türleri için sorun giderme

Hata türüYaygın nedenÇözüm yönü
Sertifika sona erdi (expired)Sertifika validTo tarihinden sonra yenilenmediZamanında yenileyin ve yeni sertifikayı dağıtın
Alan adı eşleşmiyor (name mismatch)Geçerli alan adı sertifikanın SAN listesinde yokHedef alan adını içeren yeni bir sertifika düzenleyin veya CDN kaynak yapılandırmasını kontrol edin
Eksik sertifika zinciri (incomplete chain)Sunucu ara sertifikaları doğru yapılandırmadıAra sertifikaları yaprak sertifikayla birleştirerek dağıtın
Kendinden imzalı sertifika (self-signed)Sertifika özel bir CA tarafından imzalanmış, herkese açık olarak güvenilir değilLet's Encrypt gibi herkese açık bir CA tarafından verilen sertifika kullanın
Güvenilmeyen veren (untrusted issuer)CA kök sertifikası tarayıcının güven deposunda değilGüvenilir bir CA tarafından verilen sertifikayla değiştirin

Authoritative References