SSL sertifikası süresi doldu - ne yapmalı

Kısaca: SSL sertifikasının süresinin dolması, tarayıcıların erişimi "Bağlantınız gizli değil" mesajıyla engellemesine neden olur. Sertifikayı yenileyene kadar dönüşüm sıfıra düşer. Bu makale, hemen ne yapacağınız ve nasıl önleyeceğiniz için hızlı bir prosedürdür.

Ziyaretçinin gördüğü

Süresi dolmuş sertifika tarayıcıda tam ekran uyarı tetikler:

• Chrome / Edge: "Your connection is not private" (NET::ERR_CERT_DATE_INVALID)
• Firefox: "Warning: Potential Security Risk Ahead" (SEC_ERROR_EXPIRED_CERTIFICATE)
• Safari: "This Connection Is Not Private"

Sıradan bir ziyaretçi "Geri" tıklar. Organik trafiğin %95'inden fazlası basitçe ayrılır. Bot crawler'lar (Googlebot, Bingbot) indekslemeyi durdurur ve birkaç gün sonra aramada pozisyon kaybetmeye başlarsınız.

Şu an süresi dolduysa prosedür

1. Sertifikayı kimin verdiğini belirleyin. Terminalde: openssl s_client -connect mywebsite.com:443 -servername mywebsite.com < /dev/null 2>/dev/null | openssl x509 -noout -issuer -dates
2. Let's Encrypt (ücretsiz, 90 günlük geçerlilik): genellikle certbot renew ile veya hosting panelinden (One-click renewal).
3. Ticari sertifika (DigiCert, Sectigo, GlobalSign): yayınlayıcının admin paneline giriş yapın, yeni CSR oluşturun, domain validasyonundan geçin (DNS TXT veya email).
4. Yeni sertifikayı dağıtın reverse proxy'ye (nginx, Caddy, Traefik) ve süreci yeniden başlatın / reload edin.
5. SSL Labs veya bizim SSL check aracımız ile sertifikanın doğru sunulduğunu ve chain'in tam olduğunu doğrulayın.

Dikkat: Ara sertifikayı unutmayın - onsuz modern tarayıcılar AIA üzerinden chain'i çekebilir, ancak eski istemciler ve bazı API kütüphaneleri başarısız olur.

Otomatik yenileme: Let's Encrypt + certbot

En basit önleme yenilemeyi tamamen otomatikleştirmektir. Let's Encrypt sertifikası certbot ile her 90 günde bir yenilenir:

# /etc/cron.d/certbot-renew
0 3 * * * root certbot renew --quiet --deploy-hook "systemctl reload nginx"

Bu cron her gün sabah 3:00'te çalışır. Certbot dahili olarak sertifikanın sona ermeye yaklaşıp yaklaşmadığını kontrol eder (varsayılan olarak 30 gün önceden). Eğer öyleyse, yeniler ve başarı durumunda nginx'i reload eder. Aksi takdirde hiçbir şey yapmaz.

Caddy ve Traefik: tamamen otomatik

Reverse proxy olarak Caddy veya Traefik kullanıyorsanız, ACME challenge binary'ye gömülü. Configde domaini işaretlemeniz yeterli ve sunucu sertifikayı kendisi talep eder ve yeniler:

# Caddyfile
mywebsite.com {
  reverse_proxy localhost:3000
}

Certbot yok, cron yok. Caddy arka planda Let's Encrypt API'sını çağırır ve yenileme döngüsünü yönetir.

Ticari sertifikalar: 1-3 yıl geçerlilik

Eylül 2020'den beri tüm halka açık güvenilir sertifikaların maksimum ömrü 397 gündür (CA/B Forum baseline). Bazı şirketler hâlâ ticari CA'ları tercih ediyor:

• Extended Validation (EV) organizasyonu adres çubuğunda gösterir (Chrome 2019'dan beri onu artık prominent olarak göstermiyor).
• Çok sayıda subdomain için Wildcard Let's Encrypt artık wildcard'ları DNS-01 üzerinden destekliyor olsa da.
• Garanti compromise durumunda CA'nın finansal sorumluluğu.
• Compliance / audit bazı endüstrilerin harici gereksinimleri var.

Çoğu site için Let's Encrypt veya başka ücretsiz bir CA (ZeroSSL, Buypass) yeterli.

Güvenlik ağı olarak süre sonu izleme

Otomatik yenileme olsa bile süre sonu izleme sigorta olarak çalışır. Yenileme şu sebeplerden başarısız olabilir:

• CA tarafındaki rate limit (Let's Encrypt: 5 duplicate / 7 gün)
• ACME challenge'ı kıran DNS değişikliği
• Port 80'i engelleyen firewall kuralı (HTTP-01 challenge)
• Kimsenin fark etmediği certbot işlemi veya cron çöküşü

ePulz.io her izlenen endpoint'in expiry'ını takip eder ve geçerlilik bitiminden 30, 14, 7, 3 ve 1 gün önce alert gönderir. Sertifikanın zamanında yenilendiğine dair tek bir yeşil sinyal yeterli - ve otomasyonun çalıştığından emin olursunuz.

SSL izlemeyi etkinleştirin

Sona ermeden 30/14/7/3/1 gün önce uyarılar. Konfigürasyon yok, DNS değişikliği yok. 7 gün ücretsiz.

İzlemeyi başlat →