SSL, iki sistem ortasındaki irtibatın güvenliğini sağlayan, bu sistemler ortasında aktarılan dataları şifreleyerek üçüncü şahısların dataları okumasını engelleyen bir teknoloji standardı. Kelam konusu iki sistem, çoklukla kullanıcının web tarayıcısı (browser) ve bağlandığı web sitesi oluyor. Yani siteniz SSL teknolojisini destekliyorsa, ziyaretçilerinizin bu inançlı irtibat üzerinden sitenize gönderdiği kredi kartı numarası, parola vb. hassas bilgiler hacker’ların eline geçemiyor. Bir ilişkiyi SSL ile korumak için siteye yüklenmesi gereken küçük evraklara “SSL sertifikası” deniyor. Bu sertifikaları sırf SSL sertifikası oluşturmak için yetkilendirilmiş kuruluşlar (sertifika makamları) üretebiliyor.
Ücretsiz SSL nedir?
Eskiden SSL sertifikaları az talep gören, kıymetli eserlerdi. Lakin güvenlik riskleri arttıkça tüm siteleri SSL sertifikasıyla müdafaa muhtaçlığı doğdu. Google, SSL kullanan siteleri arama sonuçlarında yükseltmeye başladı. Chrome ve Firefox üzere tarayıcılar SSL kullanmayan siteleri “güvensiz” olarak işaretleme kararı aldı. Bu gelişmelere ayak uydurmak isteyen, fakat bütçesi kısıtlı site sahipleri için ise fiyatsız SSL sertifikası veren kuruluşlar doğdu.
Kısacası, ömür uzunluğu fiyatsız SSL sertifikası almak artık mümkün. Üstelik bu sertifikalar, fiyatlı alternatifleriyle büsbütün tıpkı güvenlik seviyesini sunuyor. Lakin yeniden de “Ücretli mi fiyatsız mi?” tercihini yaparken dikkat etmeniz gereken birtakım noktalar var.
Ücretsiz SSL’nin avantajları ve dezavantajları
Önce fiyatsız SSL sertifikası kullanmanın artılarına bakalım.
Bedava: En kıymetli avantajının bu olduğunu söyleyebiliriz. Bu sertifikaları almak için hiçbir bedel ödemiyorsunuz.
Güvenli: Fiyatsız SSL sertifikalarıyla fiyatlı SSL sertifikaları tıpkı şifreleme seviyesine sahip. Çoklukla 256 bit sertifika şifrelemesi ve 2048 bit anahtar şifrelemesi kullanılıyor. Sertifikanın parasız, ucuz yahut kıymetli olması bu durumu değiştirmiyor. Ücretsiz sertifikaları da tüm çağdaş tarayıcılar destekliyor ve adres çubuğunda kilit simgesi görünüyor.
Güvenilir: Günümüzün en tanınan fiyatsız SSL sağlayıcısı, kâr gayesi gütmeyen Let’s Encrypt projesi. Projenin destekçileri ortasında Mozilla, Chrome, Cisco, Facebook, Akamai üzere dal başkanları var.
Tabii ücretsiz bir sertifika tercih etmenin eksileri de yok değil.
Yalnızca DV doğrulaması: SSL sertifikalarının doğrulama cinslerine nazaran üçe ayrıldığından bahsetmiştik. Fiyatsız sertifikalar otomatik olarak oluşturulduğu için sırf DV (Domain Validation: Alan İsmi Doğrulaması) cinsinde sertifika alabiliyorsunuz. Elle doğrulama gerektiren, daha emniyetli OV ve KONUT tiplerine parasız sahip olmak mümkün değil.
E-ticaret için uygun değil: Kredi kartı bilgilerinin aktarıldığı e-ticaret sitelerinde fiyatsız SSL sertifikası kullanmak önerilen bir durum değil. Müşterilerinize inanç aşılamak için fiyatlı bir OV yahut KONUT sertifikası tercih etmenizi öneririz.
Kısa ömürlü: Fiyatlı SSL sertifikaları 1 yahut 2 yıllığına satılırken, fiyatsız sertifikalar genelde 90 gün üzere kısa bir müddet boyunca geçerli oluyor. 90 gün sonra sertifikanızı yine oluşturup kurmanız gerekiyor.
Teknik dayanak yok: Parasız SSL sağlayıcılarının müşteri hizmetleri yok, yani birebir teknik takviye alamazsınız. Yardıma gereksiniminiz olduğunda teknik dokümanları okumanız yahut forumlarda yardım aramanız gerekir.
Ücretsiz SSL sertifikası hangi siteler için mantıklı olabilir?
Küçük siteler ve bloglar için fiyatsız SSL bir sertifikası kâfi olabilir. Genelleme yapacak olursak, rastgele bir şey satmayan ve hassas datalar toplamayan, ticari maksat gütmeyen siteleri fiyatsız bir sertifikayla muhafaza altına almak mantıklı olabilir.
Ücretsiz SSL sertifikası hangi siteler için uygun değil?
“Güven” faktörünün daha fazla rol oynadığı sitelerde fiyatlı sertifikaları tercih etmek daha doğrudur. Örneğin, ticaretle uğraşmasına karşın SSL sertifikasına para harcamak isteyen bir firmaya müşteriler de kuşkuyla yaklaşabilir.
Ücretsiz sertifikanızı yenilemeyi unutursanız, otomatik yenilemeyi gerçek halde yapılandıramazsanız yahut otomatik yenilemede rastgele bir sorun çıkarsa siteniz bir anda “güvenilir değil” olarak işaretlenebilir. Üstelik acil durumlarda kimseyi arayıp dayanak de alamazsınız. Bu türlü riskleri alamayacağınız bir siteyi yönetiyorsanız tercihinizi fiyatlı SSL sertifikasından yana kullanmalısınız.
E-ticaret sitelerinde ücretsiz SSL sertifikası kullanılabilir mi?
Teknik olarak mümkün, lakin neredeyse hiçbir e-ticaret sitesinin fiyatsız sertifika kullanmadığını göreceksiniz. Sertifikanızı muteber bir firmadan fiyatlı olarak almak, müşterilerinize paha verdiğinizi ve onları korumak ismine bir yatırım yaptığınızı gösterir. Üstelik ticari emelli sitelerde OV (Organization Validation: Kurumsal Doğrulama) SSL sertifikası kullanmanız sitenizin daha da sağlam görünmesini sağlar. Sitenin hakikaten firmanıza ilişkin olduğunu doğrulayan OV SSL sertifikasına sahip olmak için firmanızla ilgili kimi dokümanlar sunmanız gerekir. Bu tıp sertifikaları fiyatsız olarak alamazsınız.
Ücretsiz SSL sertifikası nasıl alınır?
En tanınan fiyatsız SSL sertifikası sağlayıcısının Let’s Encrypt olduğundan bahsetmiştik, fakat direkt Let’s Encrypt’in sitesine girip sertifikanızı oluşturamazsınız.
Son vakitlerde kimi hosting firmaları paylaşımlı hosting paketlerinde Let’s Encrypt dayanağı vermeye başladılar. Bu türlü bir hosting firmasıyla çalışıyorsanız tek tıklamayla fiyatsız SSL sertifikanızı otomatik olarak oluşturabilir, kurabilir ve yenileyebilirsiniz.
Hosting firmanız bu türlü bir özellik sunmuyorsa ve SSL sertifikasını elle kurmanız gerekiyorsa en az 90 günde bir sertifikanızı elle yenilemeniz, sonra da hosting denetim panelinize girip kurmanız gerekir.
VPS yahut kiralık sunucu sahibiyseniz, yani kendi sunucunuzu yönetiyorsanız sertifika yenilemeyi otomatik hale getirebilirsiniz. Sunucunuzda cPanel, Plesk, DirectAdmin üzere bir idare paneli kullanıyorsanız bu paneller için geliştirilmiş fiyatsız Let’s Encrypt eklentileri de bulunuyor.
SSL sertifikası nasıl yenilenir? Yenileme fiyatsız mi?
Ücretsiz SSL sertifikalarının çoklukla kısa mühlet olduğundan bahsetmiştik. Örneğin Let’s Encrypt tarafından verilen sertifikalar 90 gün geçerli ve mühleti bitmeden yenilenmeleri gerekiyor. Lakin işi son güne bırakmadan, 60 günde bir yenileme yapmakta yarar var. Sertifikayı yenilemek sonsuza dek fiyatsız, fakat her yenilemeden sonra hosting denetim panelinize girip aktüel sertifikayı tekrar yüklemeniz gerekiyor.
Ücretsiz SSL nasıl kurulur?
SSL sertifikanızı nasıl kuracağınız, kullandığınız idare paneli yazılımına yahut web sunucusuna nazaran değişiyor. Lakin yapacağınız iş temel olarak üç adımdan oluşuyor:
CSR (sertifika imzalama talebi) oluşturmak
Bu CSR’ye nazaran oluşturulan sertifika belgesini indirmek
Sertifika evrakını sunucunuza yüklemek
Eğer GoDaddy üzerinde cPanel denetim paneli kullanıyorsanız manuel SSL sertifikası yükleme talimatlarını uygulayabilirsiniz.
VPS yahut kiralık sunucu sahibiyseniz tanınan sunuculara yönelik talimatları inceleyebilirsiniz.
Unutmayın ki GoDaddy’nin WordPress planlarından birini kullanıyorsanız ve fiyatlı SSL sertifikası almayı tercih ederseniz sertifikanız otomatik olarak kuruluyor ve vakti geldiğinde yenileniyor. Buna ek olarak Hazır Web Sitesi’nin tüm planlarında SSL sertifikası fiyatsız olarak plana dahil edilmiş ve kurulmuş olarak geliyor.
Sonuç
Ücretsiz SSL sertifikaları, küçük çaplı web sitelerinin güvenliğini sağlamak için ülkü bir tahlil. Fakat hassas bilgilerin işlendiği yahut satış yaptığınız bir siteniz varsa fiyatlı SSL sertifikasını sitenize yapacağınız bir yatırım olarak görmelisiniz. (GoDaddy, Simay Yıldız)