Bu rehber neyi çözer, neyi çözmez?

Bir web sitesine https:// ile bağlandığınızda, tarayıcınız aslında HTTP’yi TLS üzerinden (yani HTTPS) kullanır. TLS doğrulaması başarılı olduğunda iki temel fayda sağlar: trafik şifreleme ve sunucunun sertifika ile kimlik doğrulaması. (Bkz. RFC 8446)

Bu rehber; e-posta, banka, abonelik paneli, şirket içi uygulama gibi hesapla giriş yapılan servislerde doğru siteye girdiğinizi ve tarayıcının sertifikayı doğru doğruladığını anlamaya odaklanır.

Önemli not: Bu içerik yalnızca web güvenliği eğitimi içindir. Yasal/kurumsal kısıtları, coğrafi engelleri veya platform erişim kontrollerini aşmaya yönelik yönlendirme içermez.

TLS 1.3 nedir ve size ne sağlar?

TLS 1.3, modern tarayıcıların yaygın olarak desteklediği güncel TLS sürümüdür. Doğru sertifika doğrulamasıyla birlikte, ağ üzerindeki dinlemeye karşı iletişimi şifrelemeye ve bağlandığınız sunucunun kimliğini doğrulamaya yardımcı olur. (Kaynak: RFC 8446)

TLS önemli bir temel katmandır; ancak yanlış alan adına gitmeyi, cihazınızın ele geçirilmesini veya zayıf parola kullanımını tek başına çözmez.

Sertifika doğrulama nasıl çalışır? (Basit ama teknik olarak doğru)

Tarayıcı, sunucudan gelen sertifikayı başlıca şu noktalarda kontrol eder:

• Alan adı (site kimliği) eşleşmesi: Sertifika, ziyaret ettiğiniz alan adını kapsıyor mu? Modern tarayıcılarda bu eşleşme pratikte Subject Alternative Name (SAN) üzerinden yapılır. (Kaynak: RFC 6125)
• Geçerlilik süresi: Sertifika “henüz geçerli değil” veya “süresi dolmuş” mu?
• Güven zinciri: Sertifika, tarayıcının/işletim sisteminin güvendiği bir kök sertifikaya kadar doğrulanabiliyor mu? (Arka plan: RFC 5280)

Bu kontrollerden biri başarısız olursa tarayıcı genellikle bir uyarı sayfası (interstitial) gösterir. Bu uyarıları “görmezden gelmek”, kimlik avı (phishing) ve araya girme (MITM) riskini büyütür.

Sertifika zinciri (certificate chain) nedir?

Sertifikalar çoğu zaman tek başına değil, bir zincir olarak doğrulanır:

• Site sertifikası (leaf): Ziyaret ettiğiniz alan adına ait sertifika.
• Ara sertifika(lar) (intermediate): Leaf sertifikayı imzalayan ara CA(lar).
• Kök sertifika (root): Tarayıcı/işletim sistemi deposunda güvenilir olan kök CA.

Tarayıcı leaf’ten root’a kadar imza doğrulaması yaparak güveni kurar; zincir kopuksa veya güvenilmeyen bir köke dayanıyorsa uyarı görürsünüz. (Genel arka plan: MDN: TLS)

İptal (revocation) kontrolü ve OCSP stapling: Ne beklemelisiniz?

Sertifikalar, örneğin özel anahtarın ele geçirildiği şüphesinde iptal edilebilir. İptal bilgisini iletmek için mekanizmalardan biri OCSP; sunucunun OCSP yanıtını TLS el sıkışmasına “eklemesi” yaklaşımı ise OCSP stapling olarak bilinir. (Kaynak: RFC 6961)

Netleştirme (kullanıcı açısından): Son kullanıcılar, tarayıcı arayüzünden OCSP stapling’in kullanılıp kullanılmadığını veya iptal durumunun her koşulda kontrol edilip edilmediğini tutarlı ve güvenilir biçimde doğrulayamayabilir. Tarayıcıların ve işletim sistemlerinin iptal kontrol stratejileri (ör. ağ hatalarında farklı davranışlar) değişebilir. Bu yüzden pratikte en güvenilir sinyal şudur: Tarayıcı sertifika/bağlantı uyarısı gösteriyorsa devam etmeyin; uyarı yoksa bile alan adını ayrıca doğrulayın.

HSTS nedir, neden önemlidir?

HSTS (HTTP Strict Transport Security), bir sitenin tarayıcıya “beni yalnızca HTTPS ile aç” demesidir. Bu, yanlışlıkla HTTP’ye düşme (downgrade) riskini azaltır. (Kaynak: RFC 6797, MDN: Strict-Transport-Security)

HSTS etkinse tarayıcı, bazı sertifika hatalarında daha “katı” uyarılar gösterebilir; bu genellikle güvenlik amaçlıdır.

VPN kullanmadan HTTPS/TLS güvenli mi? Pratik kontrol listesi

Amaç şudur: doğru alan adına girmek ve tarayıcının sertifika doğrulamasını hatasız tamamladığını görmek.

1) Alan adını (domain) doğrulayın

• Adresi arama sonuçlarından değil, mümkünse resmi kaynaklardan kopyalayın.
• Sık ziyaret ediyorsanız yer imi (bookmark) kullanın.
• Benzer yazımlara dikkat edin (ekstra tire/harf, farklı uzantı).

2) Tarayıcı göstergelerine bakın (ama tek başına yeterli saymayın)

• Adres https:// ile başlamalı.
• Tarayıcı “Güvenli değil / Not secure” gibi bir ifade gösteriyorsa işlem yapmayın.

3) Sertifikayı görüntüleyin (Chrome/Chromium, Firefox, Safari)

Aşağıdaki adlar sürüme ve dile göre küçük değişiklik gösterebilir; hedef “sertifika ayrıntıları” ekranına ulaşmaktır.

• Chrome/Chromium (masaüstü): Adres çubuğunun solundaki Site bilgisi simgesi (kilit/tune) > Bağlantı güvenli (veya benzeri) > Sertifika geçerli / Certificate ayrıntıları. (Tarayıcı güvenlik göstergeleri için: Chrome Help: Check if a connection is secure)
• Firefox (masaüstü): Kilit simgesi > Bağlantı güvenli > Daha fazla bilgi > Sertifikayı görüntüle. (Kaynak: Mozilla Support: secure connection)
• Safari (macOS): Adres çubuğundaki kilit simgesi > Sertifikayı Göster / Show Certificate.

Kontrol etmeniz gerekenler:

• SAN (Subject Alternative Name): Ziyaret ettiğiniz alan adı listede olmalı. (Kaynak: RFC 6125)
• Geçerlilik tarihleri: Süresi dolmuş veya “henüz geçerli değil” olmamalı.
• Veren (Issuer) ve zincir: Zincir güvenilir bir köke bağlanmalı; aksi durumda tarayıcı genellikle uyarı verir. (Arka plan: RFC 5280)

4) Sertifika/TLS uyarısı görürseniz ne yapmalısınız?

Uyarı nedenleri arasında yanlış alan adı, sahte site, ağ yönlendirmesi, kurumsal TLS denetimi veya cihaz saatinin yanlış olması gibi durumlar olabilir. Güvenli yaklaşım:

1. Devam etmeyin; oturum açmayın, bilgi girmeyin.
2. URL’yi yeniden kontrol edin (yer imiyle karşılaştırın).
3. Farklı bir ağda tekrar deneyin (ör. mobil veri).
4. Cihazınızın tarih-saat ayarını kontrol edin.
5. Sorun sürerse sitenin resmi destek kanallarından durum kontrolü yapın.

5) Kamuya açık Wi‑Fi’da ekstra temkin

• Önce gerekiyorsa Wi‑Fi giriş ekranını (captive portal) tamamlayın; sonra hedef siteye gidin.
• Uyarı varken giriş yapmayın.
• Hassas işlemlerde mümkünse kendi mobil bağlantınızı tercih edin.

Hızlı tablo: Hangi sinyaller gerçekten işe yarar?

TLS neyi çözer, neyi çözmez?

• Çözer: Sertifika doğrulaması başarılıysa, ağ üzerindeki pasif dinlemeye karşı şifreleme ve (sertifika ile) sunucu kimlik doğrulaması sağlar. (Kaynak: RFC 8446)
• Çözmez: Sahte alan adına gitme, kötü amaçlı eklentiler/zararlı yazılım, zayıf parola veya yeniden kullanılan şifre gibi riskler.

SSS (FAQ)

Sertifika uyarısı neden çıkar?

En yaygın nedenler: alan adı uyumsuzluğu (SAN eşleşmemesi), sertifikanın süresinin dolması, güven zincirinin kurulamaması, cihaz saatinin yanlış olması veya ağda denetim/yönlendirme. Uyarı varsa en güvenlisi işlem yapmadan çıkmaktır.

HSTS nedir?

HSTS, sitenin “yalnızca HTTPS kullan” politikasını tarayıcıya bildiren bir mekanizmadır ve HTTP’ye düşmeyi zorlaştırır. (Kaynak: RFC 6797)

OCSP stapling’i kullanıcı olarak kontrol edebilir miyim?

Çoğu kullanıcı, tarayıcı arayüzünden OCSP stapling/iptal durumunu net ve tutarlı şekilde doğrulayamaz; tarayıcı davranışları değişebilir. Bu nedenle temel sinyal, tarayıcının verdiği güvenlik uyarılarıdır. (Arka plan: RFC 6961)

HTTPS varsa site kesin güvenli midir?

Hayır. HTTPS/TLS, bağlantıyı korur; ancak yanlış alan adına giderseniz veya hesabınız zayıf parolalarla korunuyorsa risk devam eder. Yine de hesap girişi yapılan sitelerde HTTPS/TLS bir gerekliliktir.

Kaynaklar

1. IETF RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3
2. IETF RFC 6125: Service Identity in TLS
3. IETF RFC 5280: Internet X.509 PKI Certificate and CRL Profile
4. IETF RFC 6797: HTTP Strict Transport Security (HSTS)
5. IETF RFC 6961: TLS Certificate Status Request Extension (OCSP stapling)
6. MDN Web Docs: Transport Layer Security (TLS)
7. MDN Web Docs: Strict-Transport-Security header
8. Google Chrome Help: Check if a connection to a site is secure
9. Mozilla Support: How do I tell if my connection to a website is secure?

Son not: Güvenlik uyarısı gördüğünüzde en düşük riskli seçenek, sayfadan çıkmak ve resmi kanallar üzerinden doğrulamaktır.