SSL, iki sistem ortasındaki irtibatın güvenliğini sağlayan, bu sistemler ortasında aktarılan bilgileri şifreleyerek üçüncü şahısların bilgileri okumasını engelleyen bir teknoloji standardı. Kelam konusu iki sistem, çoklukla kullanıcının web tarayıcısı (browser) ve bağlandığı web sitesi oluyor. Yani siteniz SSL teknolojisini destekliyorsa, ziyaretçilerinizin bu inançlı temas üzerinden sitenize gönderdiği kredi kartı numarası, parola vb. hassas bilgiler hacker’ların eline geçemiyor. Bir ilişkiyi SSL ile korumak için siteye yüklenmesi gereken küçük evraklara “SSL sertifikası” deniyor. Bu sertifikaları sırf SSL sertifikası oluşturmak için yetkilendirilmiş kuruluşlar (sertifika makamları) üretebiliyor.
Ücretsiz SSL nedir?
Eskiden SSL sertifikaları az talep gören, değerli eserlerdi. Fakat güvenlik riskleri arttıkça tüm siteleri SSL sertifikasıyla müdafaa gereksinimi doğdu. Google, SSL kullanan siteleri arama sonuçlarında yükseltmeye başladı. Chrome ve Firefox üzere tarayıcılar SSL kullanmayan siteleri “güvensiz” olarak işaretleme kararı aldı. Bu gelişmelere ayak uydurmak isteyen, lakin bütçesi kısıtlı site sahipleri için ise fiyatsız SSL sertifikası veren kuruluşlar doğdu.
Kısacası, ömür uzunluğu fiyatsız SSL sertifikası almak artık mümkün. Üstelik bu sertifikalar, fiyatlı alternatifleriyle büsbütün birebir güvenlik seviyesini sunuyor. Lakin yeniden de “Ücretli mi fiyatsız mi?” tercihini yaparken dikkat etmeniz gereken kimi noktalar var.
Ücretsiz SSL’nin avantajları ve dezavantajları
Önce fiyatsız SSL sertifikası kullanmanın artılarına bakalım.
Bedava: En kıymetli avantajının bu olduğunu söyleyebiliriz. Bu sertifikaları almak için hiçbir bedel ödemiyorsunuz.
Güvenli: Fiyatsız SSL sertifikalarıyla fiyatlı SSL sertifikaları tıpkı şifreleme seviyesine sahip. Ekseriyetle 256 bit sertifika şifrelemesi ve 2048 bit anahtar şifrelemesi kullanılıyor. Sertifikanın ücretsiz, ucuz yahut değerli olması bu durumu değiştirmiyor. Parasız sertifikaları da tüm çağdaş tarayıcılar destekliyor ve adres çubuğunda kilit simgesi görünüyor.
Güvenilir: Günümüzün en tanınan fiyatsız SSL sağlayıcısı, kâr emeli gütmeyen Let’s Encrypt projesi. Projenin destekçileri ortasında Mozilla, Chrome, Cisco, Facebook, Akamai üzere bölüm başkanları var.
Tabii ücretsiz bir sertifika tercih etmenin eksileri de yok değil.
Yalnızca DV doğrulaması: SSL sertifikalarının doğrulama çeşitlerine nazaran üçe ayrıldığından bahsetmiştik. Fiyatsız sertifikalar otomatik olarak oluşturulduğu için sadece DV (Domain Validation: Alan İsmi Doğrulaması) çeşidinde sertifika alabiliyorsunuz. Elle doğrulama gerektiren, daha emniyetli OV ve MESKEN cinslerine parasız sahip olmak mümkün değil.
E-ticaret için uygun değil: Kredi kartı bilgilerinin aktarıldığı e-ticaret sitelerinde fiyatsız SSL sertifikası kullanmak önerilen bir durum değil. Müşterilerinize itimat aşılamak için fiyatlı bir OV yahut KONUT sertifikası tercih etmenizi öneririz.
Kısa ömürlü: Fiyatlı SSL sertifikaları 1 yahut 2 yıllığına satılırken, fiyatsız sertifikalar genelde 90 gün üzere kısa bir müddet boyunca geçerli oluyor. 90 gün sonra sertifikanızı yine oluşturup kurmanız gerekiyor.
Teknik takviye yok: Parasız SSL sağlayıcılarının müşteri hizmetleri yok, yani birebir teknik takviye alamazsınız. Yardıma gereksiniminiz olduğunda teknik dokümanları okumanız yahut forumlarda yardım aramanız gerekir.
Ücretsiz SSL sertifikası hangi siteler için mantıklı olabilir?
Küçük siteler ve bloglar için fiyatsız SSL bir sertifikası kâfi olabilir. Genelleme yapacak olursak, rastgele bir şey satmayan ve hassas bilgiler toplamayan, ticari emel gütmeyen siteleri fiyatsız bir sertifikayla muhafaza altına almak mantıklı olabilir.
Ücretsiz SSL sertifikası hangi siteler için uygun değil?
“Güven” faktörünün daha fazla rol oynadığı sitelerde fiyatlı sertifikaları tercih etmek daha doğrudur. Örneğin, ticaretle uğraşmasına karşın SSL sertifikasına para harcamak isteyen bir firmaya müşteriler de kuşkuyla yaklaşabilir.
Ücretsiz sertifikanızı yenilemeyi unutursanız, otomatik yenilemeyi gerçek formda yapılandıramazsanız yahut otomatik yenilemede rastgele bir sorun çıkarsa siteniz bir anda “güvenilir değil” olarak işaretlenebilir. Üstelik acil durumlarda kimseyi arayıp takviye de alamazsınız. Bu türlü riskleri alamayacağınız bir siteyi yönetiyorsanız tercihinizi fiyatlı SSL sertifikasından yana kullanmalısınız.
E-ticaret sitelerinde parasız SSL sertifikası kullanılabilir mi?
Teknik olarak mümkün, ancak neredeyse hiçbir e-ticaret sitesinin fiyatsız sertifika kullanmadığını göreceksiniz. Sertifikanızı sağlam bir firmadan fiyatlı olarak almak, müşterilerinize kıymet verdiğinizi ve onları korumak ismine bir yatırım yaptığınızı gösterir. Üstelik ticari emelli sitelerde OV (Organization Validation: Kurumsal Doğrulama) SSL sertifikası kullanmanız sitenizin daha da muteber görünmesini sağlar. Sitenin nitekim firmanıza ilişkin olduğunu doğrulayan OV SSL sertifikasına sahip olmak için firmanızla ilgili kimi dokümanlar sunmanız gerekir. Bu çeşit sertifikaları fiyatsız olarak alamazsınız.
Ücretsiz SSL sertifikası nasıl alınır?
En tanınan fiyatsız SSL sertifikası sağlayıcısının Let’s Encrypt olduğundan bahsetmiştik, lakin direkt Let’s Encrypt’in sitesine girip sertifikanızı oluşturamazsınız.
Son vakitlerde birtakım hosting firmaları paylaşımlı hosting paketlerinde Let’s Encrypt takviyesi vermeye başladılar. Bu türlü bir hosting firmasıyla çalışıyorsanız tek tıklamayla fiyatsız SSL sertifikanızı otomatik olarak oluşturabilir, kurabilir ve yenileyebilirsiniz.
Hosting firmanız bu türlü bir özellik sunmuyorsa ve SSL sertifikasını elle kurmanız gerekiyorsa en az 90 günde bir sertifikanızı elle yenilemeniz, sonra da hosting denetim panelinize girip kurmanız gerekir.
VPS yahut kiralık sunucu sahibiyseniz, yani kendi sunucunuzu yönetiyorsanız sertifika yenilemeyi otomatik hale getirebilirsiniz. Sunucunuzda cPanel, Plesk, DirectAdmin üzere bir idare paneli kullanıyorsanız bu paneller için geliştirilmiş fiyatsız Let’s Encrypt eklentileri de bulunuyor.
SSL sertifikası nasıl yenilenir? Yenileme fiyatsız mi?
Ücretsiz SSL sertifikalarının çoklukla kısa mühlet olduğundan bahsetmiştik. Örneğin Let’s Encrypt tarafından verilen sertifikalar 90 gün geçerli ve müddeti bitmeden yenilenmeleri gerekiyor. Lakin işi son güne bırakmadan, 60 günde bir yenileme yapmakta yarar var. Sertifikayı yenilemek sonsuza dek fiyatsız, fakat her yenilemeden sonra hosting denetim panelinize girip şimdiki sertifikayı tekrar yüklemeniz gerekiyor.
Ücretsiz SSL nasıl kurulur?
SSL sertifikanızı nasıl kuracağınız, kullandığınız idare paneli yazılımına yahut web sunucusuna nazaran değişiyor. Fakat yapacağınız iş temel olarak üç adımdan oluşuyor:
CSR (sertifika imzalama talebi) oluşturmak
Bu CSR’ye nazaran oluşturulan sertifika evrakını indirmek
Sertifika belgesini sunucunuza yüklemek
Eğer GoDaddy üzerinde cPanel denetim paneli kullanıyorsanız manuel SSL sertifikası yükleme talimatlarını uygulayabilirsiniz.
VPS yahut kiralık sunucu sahibiyseniz tanınan sunuculara yönelik talimatları inceleyebilirsiniz.
Unutmayın ki GoDaddy’nin WordPress planlarından birini kullanıyorsanız ve fiyatlı SSL sertifikası almayı tercih ederseniz sertifikanız otomatik olarak kuruluyor ve vakti geldiğinde yenileniyor. Buna ek olarak Hazır Web Sitesi’nin tüm planlarında SSL sertifikası fiyatsız olarak plana dahil edilmiş ve kurulmuş olarak geliyor.
Sonuç
Ücretsiz SSL sertifikaları, küçük çaplı web sitelerinin güvenliğini sağlamak için ülkü bir tahlil. Lakin hassas bilgilerin işlendiği yahut satış yaptığınız bir siteniz varsa fiyatlı SSL sertifikasını sitenize yapacağınız bir yatırım olarak görmelisiniz. (GoDaddy, Simay Yıldız)