SSL, iki sistem arasındaki bağlantının güvenliğini sağlayan, bu sistemler arasında aktarılan verileri şifreleyerek üçüncü şahısların verileri okumasını engelleyen bir teknoloji standardı. Söz konusu iki sistem, genellikle kullanıcının web tarayıcısı (browser) ve bağlandığı web sitesi oluyor. Yani siteniz SSL teknolojisini destekliyorsa, ziyaretçilerinizin bu güvenli bağlantı üzerinden sitenize gönderdiği kredi kartı numarası, parola vb. hassas bilgiler hacker’ların eline geçemiyor. Bir bağlantıyı SSL ile korumak için siteye yüklenmesi gereken küçük dosyalara “SSL sertifikası” deniyor. Bu sertifikaları yalnızca SSL sertifikası oluşturmak için yetkilendirilmiş kuruluşlar (sertifika makamları) üretebiliyor.
Ücretsiz SSL nedir?
Eskiden SSL sertifikaları az talep gören, pahalı ürünlerdi. Ancak güvenlik riskleri arttıkça tüm siteleri SSL sertifikasıyla koruma ihtiyacı doğdu. Google, SSL kullanan siteleri arama sonuçlarında yükseltmeye başladı. Chrome ve Firefox gibi tarayıcılar SSL kullanmayan siteleri “güvensiz” olarak işaretleme kararı aldı. Bu gelişmelere ayak uydurmak isteyen, ancak bütçesi kısıtlı site sahipleri için ise ücretsiz SSL sertifikası veren kuruluşlar doğdu.
Kısacası, ömür boyu ücretsiz SSL sertifikası almak artık mümkün. Üstelik bu sertifikalar, ücretli alternatifleriyle tamamen aynı güvenlik düzeyini sunuyor. Ancak yine de “Ücretli mi ücretsiz mi?” tercihini yaparken dikkat etmeniz gereken bazı noktalar var.
Ücretsiz SSL’nin avantajları ve dezavantajları
Önce ücretsiz SSL sertifikası kullanmanın artılarına bakalım.
Bedava: En önemli avantajının bu olduğunu söyleyebiliriz. Bu sertifikaları almak için hiçbir bedel ödemiyorsunuz.
Güvenli: Ücretsiz SSL sertifikalarıyla ücretli SSL sertifikaları aynı şifreleme düzeyine sahip. Genellikle 256 bit sertifika şifrelemesi ve 2048 bit anahtar şifrelemesi kullanılıyor. Sertifikanın bedava, ucuz veya pahalı olması bu durumu değiştirmiyor. Bedava sertifikaları da tüm modern tarayıcılar destekliyor ve adres çubuğunda kilit simgesi görünüyor.
Güvenilir: Günümüzün en popüler ücretsiz SSL sağlayıcısı, kâr amacı gütmeyen Let’s Encrypt projesi. Projenin destekçileri arasında Mozilla, Chrome, Cisco, Facebook, Akamai gibi sektör liderleri var.
Tabii bedava bir sertifika tercih etmenin eksileri de yok değil.
Yalnızca DV doğrulaması: SSL sertifikalarının doğrulama türlerine göre üçe ayrıldığından bahsetmiştik. Ücretsiz sertifikalar otomatik olarak oluşturulduğu için yalnızca DV (Domain Validation: Alan Adı Doğrulaması) türünde sertifika alabiliyorsunuz. Elle doğrulama gerektiren, daha güvenilir OV ve EV türlerine bedava sahip olmak mümkün değil.
E-ticaret için uygun değil: Kredi kartı bilgilerinin aktarıldığı e-ticaret sitelerinde ücretsiz SSL sertifikası kullanmak önerilen bir durum değil. Müşterilerinize güven aşılamak için ücretli bir OV veya EV sertifikası tercih etmenizi öneririz.
Kısa ömürlü: Ücretli SSL sertifikaları 1 veya 2 yıllığına satılırken, ücretsiz sertifikalar genelde 90 gün gibi kısa bir süre boyunca geçerli oluyor. 90 gün sonra sertifikanızı yeniden oluşturup kurmanız gerekiyor.
Teknik destek yok: Bedava SSL sağlayıcılarının müşteri hizmetleri yok, yani birebir teknik destek alamazsınız. Yardıma ihtiyacınız olduğunda teknik belgeleri okumanız veya forumlarda yardım aramanız gerekir.
Ücretsiz SSL sertifikası hangi siteler için mantıklı olabilir?
Küçük siteler ve bloglar için ücretsiz SSL bir sertifikası yeterli olabilir. Genelleme yapacak olursak, herhangi bir şey satmayan ve hassas veriler toplamayan, ticari amaç gütmeyen siteleri ücretsiz bir sertifikayla koruma altına almak mantıklı olabilir.
Ücretsiz SSL sertifikası hangi siteler için uygun değil?
“Güven” faktörünün daha fazla rol oynadığı sitelerde ücretli sertifikaları tercih etmek daha doğrudur. Örneğin, ticaretle uğraşmasına rağmen SSL sertifikasına para harcamak isteyen bir firmaya müşteriler de şüpheyle yaklaşabilir.
Ücretsiz sertifikanızı yenilemeyi unutursanız, otomatik yenilemeyi doğru şekilde yapılandıramazsanız veya otomatik yenilemede herhangi bir sorun çıkarsa siteniz bir anda “güvenilir değil” olarak işaretlenebilir. Üstelik acil durumlarda kimseyi arayıp destek de alamazsınız. Böyle riskleri alamayacağınız bir siteyi yönetiyorsanız tercihinizi ücretli SSL sertifikasından yana kullanmalısınız.
E-ticaret sitelerinde bedava SSL sertifikası kullanılabilir mi?
Teknik olarak mümkün, ama neredeyse hiçbir e-ticaret sitesinin ücretsiz sertifika kullanmadığını göreceksiniz. Sertifikanızı güvenilir bir firmadan ücretli olarak almak, müşterilerinize değer verdiğinizi ve onları korumak adına bir yatırım yaptığınızı gösterir. Üstelik ticari amaçlı sitelerde OV (Organization Validation: Kurumsal Doğrulama) SSL sertifikası kullanmanız sitenizin daha da güvenilir görünmesini sağlar. Sitenin gerçekten firmanıza ait olduğunu doğrulayan OV SSL sertifikasına sahip olmak için firmanızla ilgili bazı belgeler sunmanız gerekir. Bu tür sertifikaları ücretsiz olarak alamazsınız.
Ücretsiz SSL sertifikası nasıl alınır?
En popüler ücretsiz SSL sertifikası sağlayıcısının Let’s Encrypt olduğundan bahsetmiştik, ama doğrudan Let’s Encrypt’in sitesine girip sertifikanızı oluşturamazsınız.
Son zamanlarda bazı hosting firmaları paylaşımlı hosting paketlerinde Let’s Encrypt desteği vermeye başladılar. Böyle bir hosting firmasıyla çalışıyorsanız tek tıklamayla ücretsiz SSL sertifikanızı otomatik olarak oluşturabilir, kurabilir ve yenileyebilirsiniz.
Hosting firmanız böyle bir özellik sunmuyorsa ve SSL sertifikasını elle kurmanız gerekiyorsa en az 90 günde bir sertifikanızı elle yenilemeniz, sonra da hosting kontrol panelinize girip kurmanız gerekir.
VPS veya kiralık sunucu sahibiyseniz, yani kendi sunucunuzu yönetiyorsanız sertifika yenilemeyi otomatik hale getirebilirsiniz. Sunucunuzda cPanel, Plesk, DirectAdmin gibi bir yönetim paneli kullanıyorsanız bu paneller için geliştirilmiş ücretsiz Let’s Encrypt eklentileri de bulunuyor.
SSL sertifikası nasıl yenilenir? Yenileme ücretsiz mi?
Ücretsiz SSL sertifikalarının genellikle kısa süre olduğundan bahsetmiştik. Örneğin Let’s Encrypt tarafından verilen sertifikalar 90 gün geçerli ve süresi bitmeden yenilenmeleri gerekiyor. Ancak işi son güne bırakmadan, 60 günde bir yenileme yapmakta fayda var. Sertifikayı yenilemek sonsuza dek ücretsiz, ama her yenilemeden sonra hosting kontrol panelinize girip güncel sertifikayı tekrar yüklemeniz gerekiyor.
Ücretsiz SSL nasıl kurulur?
SSL sertifikanızı nasıl kuracağınız, kullandığınız yönetim paneli yazılımına veya web sunucusuna göre değişiyor. Ancak yapacağınız iş temel olarak üç adımdan oluşuyor:
CSR (sertifika imzalama talebi) oluşturmak
Bu CSR’ye göre oluşturulan sertifika dosyasını indirmek
Sertifika dosyasını sunucunuza yüklemek
Eğer GoDaddy üzerinde cPanel kontrol paneli kullanıyorsanız manuel SSL sertifikası yükleme talimatlarını uygulayabilirsiniz.
VPS veya kiralık sunucu sahibiyseniz popüler sunuculara yönelik talimatları inceleyebilirsiniz.
Unutmayın ki GoDaddy’nin WordPress planlarından birini kullanıyorsanız ve ücretli SSL sertifikası almayı tercih ederseniz sertifikanız otomatik olarak kuruluyor ve zamanı geldiğinde yenileniyor. Buna ek olarak Hazır Web Sitesi’nin tüm planlarında SSL sertifikası ücretsiz olarak plana dahil edilmiş ve kurulmuş olarak geliyor.
Sonuç
Ücretsiz SSL sertifikaları, küçük çaplı web sitelerinin güvenliğini sağlamak için ideal bir çözüm. Ancak hassas verilerin işlendiği veya satış yaptığınız bir siteniz varsa ücretli SSL sertifikasını sitenize yapacağınız bir yatırım olarak görmelisiniz. (GoDaddy, Simay Yıldız)