SSL / TLS Güvenlik Checklist’i: Kurulumdan Sonra Atlanmaması Gereken Kontroller
SSL veya TLS yapılandırması yapıldıktan sonra birçok site sahibi sürecin tamamlandığını düşünür. Ancak SSL’nin gerçekten güvenli, hatasız ve uzun vadede sorunsuz çalışması için kurulumdan sonra yapılması gereken kritik kontroller vardır.
Bu checklist, SSL ve TLS yapılandırmasının doğru yapılıp yapılmadığını hızlı ve net şekilde kontrol etmek için hazırlanmıştır.
HTTPS Erişim Kontrolü
Siteye hem HTTP hem HTTPS üzerinden erişim denenmelidir. HTTPS çalışırken HTTP hâlâ erişilebilir durumdaysa yapılandırma eksiktir.
Tüm HTTP isteklerinin kalıcı olarak HTTPS’ye yönlendirildiğinden emin olunmalıdır.
WWW ve Non-WWW Tutarlılığı
Sitenin hangi versiyonunun kullanılacağı net olmalıdır. www ve non-www versiyonlarından yalnızca biri aktif olmalı, diğeri 301 yönlendirme ile ana sürüme bağlanmalıdır.
Bu tercih hem güvenlik hem SEO açısından önemlidir.
SSL Sertifikası Alan Adı Uyumu
SSL sertifikasında yer alan alan adları ile sitenin açıldığı adres birebir uyuşmalıdır. Sertifika www içeriyorsa site de www ile açılmalıdır.
Alan adı uyumsuzluğu tarayıcı uyarılarına neden olur.
Certificate Chain Kontrolü
SSL sertifikası tek başına yeterli değildir. Sertifika zincirinin eksiksiz yüklendiği doğrulanmalıdır.
Eksik chain, özellikle mobil cihazlar ve mail istemcilerinde SSL hatalarına yol açar.
Mixed Content Taraması
Site HTTPS olsa bile içeride HTTP kaynaklar bulunabilir. Bu durum tarayıcının siteyi kısmen güvensiz olarak işaretlemesine neden olur.
Tüm görsellerin, scriptlerin ve harici kaynakların HTTPS üzerinden yüklendiği kontrol edilmelidir.
Canonical Etiket Kontrolü
Canonical etiketlerin HTTPS URL’leri işaret ettiğinden emin olunmalıdır. HTTP canonical’lar Google’a yanlış sinyal gönderir.
Bu kontrol özellikle SSL geçişi sonrası kritik öneme sahiptir.
HSTS Durumu
HSTS (HTTP Strict Transport Security) kullanılıyorsa doğru yapılandırıldığı kontrol edilmelidir. Yanlış HSTS ayarı siteye erişimi tamamen engelleyebilir.
HSTS uygulanmadan önce tüm HTTPS kontrollerinin eksiksiz tamamlanması gerekir.
TLS Sürümleri Kontrolü
Sunucuda aktif TLS sürümleri kontrol edilmelidir. TLS 1.0 ve TLS 1.1 devre dışı bırakılmalı, TLS 1.2 ve TLS 1.3 aktif olmalıdır.
Bu yapılandırma hem güvenlik hem uyumluluk açısından idealdir.
Zayıf Şifreleme Algoritmaları
Eski ve zayıf şifreleme algoritmalarının devre dışı bırakıldığından emin olunmalıdır. Güçlü cipher suite’ler tercih edilmelidir.
Bu adım genellikle gözden kaçar ancak güvenlik açısından kritiktir.
CDN ve Güvenlik Katmanları
CDN, firewall veya WAF kullanılıyorsa SSL ayarlarının sunucu ile uyumlu olduğu doğrulanmalıdır.
CDN tarafındaki yanlış SSL modu, sertifika hatalarına ve yönlendirme sorunlarına yol açabilir.
Cache ve Tarayıcı Testleri
SSL yapılandırması sonrası site:
Farklı tarayıcılarda
Mobil cihazlarda
Farklı ağlarda
test edilmelidir. Bazı SSL hataları yalnızca belirli ortamlarda ortaya çıkar.
Mail Server ve Alt Servisler
Web SSL kurulduktan sonra mail server, API servisleri ve alt alan adları unutulmamalıdır.
Mail server SSL sertifikası, web SSL’den bağımsız olabilir ve ayrıca kontrol edilmelidir.
Search Console Kontrolleri
HTTPS site sürümü Search Console’a eklenmeli, tarama ve güvenlik hataları kontrol edilmelidir.
Site haritası HTTPS olarak tanımlanmalıdır.
Yenileme ve Takip Planı
SSL sertifikasının bitiş tarihi mutlaka takip edilmelidir. Otomatik yenileme varsa çalıştığı doğrulanmalı, yoksa manuel takip planı oluşturulmalıdır.
SSL, kurulduktan sonra unutulacak bir yapı değildir.
Bu Checklist Neden Önemlidir?
Bu kontroller yapılmadığında:
Tarayıcı uyarıları ortaya çıkar
Kilit simgesi kaybolur
SEO performansı düşer
Kullanıcı güveni zedelenir
Birçok SSL sorunu, aslında kurulum sonrası kontrollerin atlanmasından kaynaklanır.
SSL ve TLS yapılandırması yalnızca sertifika kurulumundan ibaret değildir. Gerçek güvenlik, doğru yapılandırma ve düzenli kontrollerle sağlanır.
Bu checklist, SSL ve TLS altyapısının eksiksiz ve sürdürülebilir şekilde çalışmasını sağlamak için temel bir rehber niteliğindedir.
