Bloga geri dön

SSL sertifikası süresi doldu - ne yapmalı

· 6 dk okuma

Süresi dolmuş SSL sertifikası erişimi güvensiz bağlantı mesajıyla engeller ve dönüşüm sıfıra düşer. Hemen ne yapmalı ve nasıl önlenir.

SSL sertifikası süresi doldu - ne yapmalı

Ziyaretçinin gördüğü

Süresi dolmuş sertifika tarayıcıda tam ekran bir uyarı tetikler:

  • Chrome / Edge: "Your connection is not private" (NET::ERR_CERT_DATE_INVALID)
  • Firefox: "Warning: Potential Security Risk Ahead" (SEC_ERROR_EXPIRED_CERTIFICATE)
  • Safari: "This Connection Is Not Private"

Sıradan bir ziyaretçi "Geri" tıklar. Ziyaretçilerin büyük çoğunluğu böyle bir uyarı karşısında sayfayı terk eder. Arama motoru crawler'ları (Googlebot, Bingbot) indekslemeyi durdurur ve birkaç gün sonra aramada pozisyon kaybetmeye başlarsınız.

Şu an süresi dolduysa prosedür

  1. Sertifikayı kimin verdiğini belirleyin. Terminalde: openssl s_client -connect mywebsite.com:443 -servername mywebsite.com < /dev/null 2>/dev/null | openssl x509 -noout -issuer -dates
  2. Let's Encrypt (ücretsiz, 90 günlük geçerlilik): genellikle certbot renew ile veya hosting panelinden (One-click renewal).
  3. Ticari sertifika (DigiCert, Sectigo, GlobalSign): yayınlayıcının admin paneline giriş yapın, yeni bir CSR oluşturun ve domain validasyonundan geçin (DNS TXT kaydı veya email).
  4. Yeni sertifikayı dağıtın reverse proxy'ye (nginx, Caddy, Traefik) ve süreci yeniden başlatın veya reload edin.
  5. SSL Labs veya bizim SSL check aracımız ile sertifikanın doğru sunulduğunu ve sertifika zincirinin tam olduğunu doğrulayın.

Dikkat: Ara sertifikayı unutmayın - onsuz modern tarayıcılar AIA üzerinden chain'i çekebilir, ancak eski istemciler ve bazı API kütüphaneleri başarısız olur.

Otomatik yenileme: Let's Encrypt + certbot

En basit önleme, yenilemeyi tamamen otomatikleştirmektir. Let's Encrypt sertifikası certbot ile her 90 günde bir yenilenir:

# /etc/cron.d/certbot-renew
0 3 * * * root certbot renew --quiet --deploy-hook "systemctl reload nginx"

Bu cron her gün sabah 3:00'te çalışır. Certbot dahili olarak sertifikanın sona ermeye yaklaşıp yaklaşmadığını kontrol eder (ömrünün üçte birinden azı kaldığında, ki bu 90 günlük bir Let's Encrypt sertifikası için yaklaşık olarak bitişten 30 gün önceye denk gelir). Eğer öyleyse, sertifikayı yeniler ve başarı durumunda nginx'i reload eder. Aksi takdirde hiçbir şey yapmaz.

Caddy ve Traefik: tamamen otomatik

Reverse proxy olarak Caddy veya Traefik kullanıyorsanız, ACME challenge doğrudan binary'ye gömülüdür. Config'de domaini işaretlemeniz yeterli ve sunucu sertifikayı kendisi talep eder ve yeniler:

# Caddyfile
mywebsite.com {
  reverse_proxy localhost:3000
}

Certbot yok, cron yok. Caddy arka planda Let's Encrypt API'sını çağırır ve tüm yenileme döngüsünü yönetir.

Ticari sertifikalar: 1-3 yıl geçerlilik

Eylül 2020'den beri tüm halka açık güvenilir sertifikaların maksimum ömrü 398 gündür (CA/B Forum baseline). Bazı şirketler yine de ticari CA'ları tercih ediyor, ve bunun nedenleri şunlar:

  • Extended Validation (EV) organizasyonu adres çubuğunda gösterir (Chrome 2019'dan beri onu artık prominent olarak göstermiyor).
  • Çok sayıda subdomain için Wildcard Let's Encrypt artık wildcard'ları DNS-01 üzerinden destekliyor olsa da.
  • Garanti compromise durumunda CA'nın finansal sorumluluğu.
  • Compliance / audit bazı endüstrilerin harici gereksinimleri var.

Çoğu site için Let's Encrypt veya başka ücretsiz bir CA (ZeroSSL, Buypass) yeterli.

Güvenlik ağı olarak süre sonu izleme

Otomatik yenileme olsa bile süre sonu izleme sigorta olarak çalışır. Yenileme nitekim çeşitli sebeplerden başarısız olabilir:

  • CA tarafındaki rate limit (Let's Encrypt: 5 duplicate / 7 gün)
  • ACME challenge'ı kıran DNS değişikliği
  • port 80'i engelleyen firewall kuralı (HTTP-01 challenge)
  • kimsenin fark etmediği certbot işlemi veya cron çöküşü

ePulz.io her izlenen endpoint'in expiry'ını takip eder ve geçerlilik bitiminden 30, 14, 7, 3 ve 1 gün önce alert gönderir. Sertifikanın zamanında yenilendiğine dair tek bir yeşil sinyal yeterli - ve otomasyonun çalıştığından emin olursunuz.

SSL izlemeyi etkinleştirin

Sona ermeden 30/14/7/3/1 gün önce uyarılar. Konfigürasyon yok, DNS değişikliği yok. 7 gün ücretsiz.

İzlemeyi başlat →

Paylaş: Bağlantı kopyalandı

ePulz.io'yu ücretsiz deneyin - 7 gün, kredi kartı gerekmez.

Hesap oluştur