Çok Alanlı Wildcard SSL Sertifikaları

Çok alan adlı wildcard SSL sertifikası, iki ürünü tek bir çatı altında birleştirir: çok alan adlı (SAN) sertifika ve wildcard sertifika. Her ikisini ayrı ayrı satın almak ya da altyapınızda birden fazla sertifika çalıştırmak yerine, tek bir düzenlenmiş sertifikayla birbirinden farklı birçok alan adını ve bunların altındaki alt alan adlarını kapsarsınız.

Mekanizmanın temeli SAN alanına dayanır. SAN yani Subject Alternative Name, tek bir sertifikanın kapsadığı her alan adını listeleyen bir X.509 uzantısıdır. Bu alan içindeki girişler; normal alan adları, wildcard girişleri ya da her ikisinin karışımı olabilir.

Tipik bir yapılandırma şu şekilde görünür:

• example.com
• *.example.com
• *.brand.net

Bu tek sertifika; çıplak example.com adresini, altındaki her birinci düzey alt alan adını (shop.example.com, blog.example.com vb.) ve brand.net altındaki her birinci düzey alt alan adını güvence altına alır.

Bu kategorideki ürünlerin büyük çoğunluğu toplamda 250 SAN’a kadar destek sunar; ancak bazı markalar varsayılan olarak daha düşük bir sınır belirlerken bazıları daha yükseğe çıkabilir. Wildcard karakteri * yalnızca tek bir alt alan adı düzeyini kapsadığını unutmayın.

Üç seçenek arasındaki tercih, alan adı yapınıza bağlıdır:

• Çok sayıda alt alan adına sahip tek bir web siteniz mi var? Wildcard sertifika bu işi görür.
• Alt alan adı yapısıyla uğraşmanıza gerek kalmayan birkaç ayrı web siteniz mi var? Çok alan adlı (SAN) sertifika daha ucuz ve daha basittir.
• Birden fazla web siteniz ve her birinin altında alt alan adlarınız varsa, çok alan adlı wildcard her iki deseni tek bir sertifikada kapsayan tek üründür; bu nedenle marka portföyüne veya barındırılan müşteri alan adlarına sahip alıcılar bu seçeneğe yönelir.

Çok alan adlı wildcard sertifikaları iki doğrulama seviyesinde düzenlenir: Alan Adı Doğrulama (DV) ve Kuruluş Doğrulama (OV). Her biri, sertifika düzenlenmeden önce başvuru sahibi hakkında farklı bir şeyi doğrular.

• DV yalnızca başvuru sahibinin listelenen alan adlarını kontrol ettiğini doğrular.
  Doğrulama; e-posta, DNS kaydı veya HTTP dosya kontrolü olmak üzere üç yöntemden biriyle gerçekleştirilir ve sertifikalar dakikalar içinde düzenlenir. Kişisel siteler, geliştirme/test ortamları, dahili araçlar ve görüntülenen kuruluş kimliğinden çok hızın önemli olduğu SaaS platformları bu kategoriye girer.
• OV, başvuran işletmeyi resmi kayıtlar aracılığıyla doğrular:
  Ticaret sicili kaydı, tescilli adres ve doğrulanmış bir telefon numarasına geri arama. Düzenleme süresi 1-2 iş günüdür. Doğrulanmış işletme adı, alıcıların ve güvenlik ekiplerinin (büyük anlaşmalarda tedarik inceleyicilerinin de) görebileceği sertifika ayrıntılarında yer alır. E-ticaret siteleri, düzenlenmiş sektörler ve sertifikanın kimlik iddiasının ticari değer taşıdığı her mülk, OV doğrulamasından fayda sağlar.

Genişletilmiş Doğrulama (EV), hiçbir çok alan adlı wildcard ürünü için hiçbir yerde sunulmamaktadır.

CA/Browser Forum’un Temel Gereksinimleri, EV sertifikalarında wildcard SAN girişlerini yasaklamaktadır; bu kural, tek bir wildcard girişi bile içeren her sertifika için geçerlidir. Bu durum, EV ilk tanımlandığından bu yana böyledir ve değişmemiştir. “EV çok alan adlı wildcard” sertifikasının var olduğunu iddia eden sayfalar yanıltıcıdır. Belirli bir alan adı için EV’ye ihtiyaç duyuyorsanız, çok alan adlı wildcard sertifikanızın yanı sıra ayrı bir EV tek alan adlı sertifika satın alın.

Doğrudan belirtmeye değer son bir nokta: şifreleme gücü DV, OV ve EV’de birbirinin aynısıdır. Her üçü de TLS el sıkışması sırasında aynı 256-bit simetrik şifrelemeyi müzakere eder. Doğrulama seviyesi, CA’nın başvuru sahibi hakkında neyi doğruladığını değiştirir; iletim sırasında neyin şifrelendiğini değil.

11 Nisan 2025’te CA/Browser Forum, her genel TLS sertifikasının maksimum geçerlilik süresini 47 güne indiren aşamalı bir takvim olan Ballot SC-081v3’ü onayladı. Takvim üç aşamadan oluşmaktadır:

• Aşama 1 – 15 Mart 2026’dan itibaren yürürlükte: maksimum genel TLS sertifikası geçerlilik süresi artık 200 gündür.
• Aşama 2 – 15 Mart 2027: sınır 100 güne düşer.
• Aşama 3 – 15 Mart 2029: sınır 47 güne düşer.

Bu kural; tüm genel TLS sertifikaları, her doğrulama seviyesi (DV, OV, EV) ve wildcard, çok alan adlı ve çok alan adlı wildcard dahil her ürün türü için geçerlidir.

Çok alan adlı wildcard alıcıları bu değişikliği tek sertifika alıcılarına kıyasla daha ağır hisseder. Buradaki yenileme işlemi daha zahmetlidir; çünkü yalnızca bir alan adı için değil, SAN listesindeki her alan adı için kontrolü yeniden kanıtlamanız gerekir. Geçerlilik tavanı düştükçe bu operasyonel maliyet katlanarak artar. 2029 itibarıyla bu yenileme döngüsünü yaklaşık her 6-7 haftada bir çalıştırıyor olacaksınız. Bir alan adı portföyünde çok yıllı operasyon planlayan herkesin otomasyonu 2029’u beklemeden şimdiden düşünmesi gerekir.

Otomasyona hazırsanız ACME sayfamızdan başlayın. Dürüst bir uyarı: piyasadaki her çok alan adlı wildcard ürünü otomasyon açısından eşit derecede elverişli değildir. Basit alan adı kontrol doğrulamalarına sahip DV ürünleri otomasyona sorunsuz uyum sağlar; kuruluş yeniden doğrulama döngüleri gerektiren OV ürünleri ise ACME’nin tek başına gideremeyeceği bir sürtünme yaratır.

SSL Dragon, dört Sertifika Otoritesinden EV sertifikaları sunmaktadır.

• Çok markalı kurumsal portföyler
  Birden fazla marka alan adına ve her birinin altında alt alan adlarına sahip bir şirket (brandA.com, *.brandA.com, brandB.net, *.brandB.net), dört veya daha fazla ayrı sertifika satın alımını tek bir düzenlenmiş sertifikayla değiştirebilir.
• Kiracı alt alan adlarına sahip SaaS platformları
  Her müşterinin customer1.app.com ve customer2.app.com gibi özel bir alt alan adı aldığı durumlarda, uygulama alan adındaki wildcard kapsamı sınırsız sayıda kiracıyı karşılar. Kalan SAN slotları ise farklı alan adlarındaki pazarlama sitesini, durum sayfasını ve API’yi kapsar.
• Hosting sağlayıcıları ve ajanslar
  Paylaşılan altyapıdan sunulan birçok marka genelindeki müşteri alan adlarını yönetmek bu ürüne tam olarak uygundur. Tek sertifika, tek yenileme döngüsü, döndürülecek tek özel anahtar.
• Microsoft Exchange ve İletişim ortamları
  Çok alan adlı wildcard sertifikaları, Birleşik İletişim Sertifikaları (UCC) olarak işlev görür; Exchange, aynı sertifikada autodiscover, mail, webmail ve diğerleri gibi birden fazla hizmet ana bilgisayar adına ihtiyaç duyduğunda tam olarak bunu gerektirir.

1. Listelenen tüm alan adları sertifikada herkese açıktır. Kilide tıklayıp sertifika ayrıntılarını inceleyen herkes SAN listesindeki her alan adını okuyabilir. İki markanızın birbirleriyle kamuoyu önünde ilişkilendirilmesini istemiyorsanız bunun yerine ayrı sertifikalar kullanın.
2. Wildcard SAN girişi, çıplak alan adını otomatik olarak kapsamaz. *.example.com SAN girişi; mail.example.com ve shop.example.com’u kapsar, ancak example.com’un kendisini kapsamaz. Buna ihtiyaç duyuyorsanız çıplak alan adını ayrı bir SAN olarak ekleyin.
3. Standart wildcard’lar yalnızca tek bir alt alan adı düzeyini kapsar. *.example.com; mail.example.com’u kapsar ancak dev.mail.example.com’u kapsamaz. Daha derin seviyeleri güvence altına almak için *.mail.example.com gibi daha derin wildcard’ı ayrı bir SAN girişi olarak ekleyin.
4. Yeniden düzenlemeler ücretsizdir, ancak son kullanma tarihi değişmez. Dönem ortasında SAN eklemek veya kaldırmak saati sıfırlamaz; yeni sertifika orijinal son kullanma tarihini devralır. DV ürünleri için SAN değişikliği yapmak üzere yeniden doğrulama gerekmez; OV ürünleri için ise değişiklik geçerlilik penceresi içinde gerçekleşiyorsa mevcut kuruluş doğrulaması genellikle yeniden kullanılabilir.