Yukarıdaki SSL checker, kamuya açık herhangi bir SSL/TLS sertifikası üzerinde tam bir tanılama çalıştırır ve güvenlik derecelendirmesi, sertifika zinciri, şifre paketleri, güvenlik açığı taramaları ve tarayıcı uyumluluğunu kapsayan ayrıntılı bir rapor sunar. Aşağıdaki bölümler, raporun her bir bölümünün nasıl okunacağını açıklamaktadır.
SSL Güvenlik Derecelendirmenizi Anlamak
Her SSL checker taraması, 100 üzerinden sayısal bir puanın yanı sıra A+‘dan F‘ye kadar bir harf notu üretir.
- A veya A+ notu, sertifikanın doğru şekilde kurulduğunu, modern kriptografi kullandığını ve sunucuda gerekli güvenlik özelliklerinin etkinleştirildiğini gösterir.
- B notundaki sertifikalar işlevsel olmakla birlikte güçlendirme için alan bırakır.
- C ve altı notlar genellikle kullanımdan kaldırılmış bir TLS sürümüne, eksik bir güvenlik özelliğine veya süresi dolmak üzere olan bir sertifikaya işaret eder.
Puan, beş kategori üzerinden ağırlıklı olarak hesaplanır:
- Sertifika (geçerlilik ve algoritma)
- Güven (tanınan Sertifika Otoritesi ve zincir bütünlüğü)
- Protokol (desteklenen TLS sürümleri, kullanımdan kaldırılmış protokollerin devre dışı bırakılması)
- Özellikler (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
- Geçerlilik (sona ermeye kalan süre)
Derecelendirme düşüşlerinin büyük çoğunluğu Özellikler kategorisinden kaynaklanır. Sertifika çalışıyor, zincir sorunsuz, protokol güncel; ancak HSTS yapılandırılmamış ya da bir CAA kaydı yayımlanmamış. Bunlar sertifika sorunları değil, sunucu tarafı ve DNS tarafı düzeltmeleridir.
Sertifika ayrıntılarınızı okumak
SSL checker, zincirdeki her sertifikayı alan alan ayrıştırır.
Common Name — sertifikanın düzenlendiği birincil alan adı. Kontrol edilen URL ile eşleşmesi gerekir; aksi takdirde tarayıcı bağlantıyı reddeder.
Issued By — düzenleyen ara sertifika ile üst Sertifika Otoritesi. Sectigo, DigiCert, GeoTrust veya Google Trust Services gibi tanınan isimler otomatik olarak güvenilir kabul edilir. Bilinmeyen düzenleyiciler veya “self-signed” olarak görünen her şey bir uyarı tetikler.
Valid From / Valid To — sertifikanın geçerlilik penceresi. Valid From, çoğu kişinin düşündüğünden daha önemlidir: sunucunun saati yanlışsa veya sertifika erken kurulmuşsa, tarayıcılar onu henüz geçerli değil olarak reddeder.
Signature Algorithm — modern sertifikalar SHA-256, SHA-384 veya ecdsa-with-SHA256 kullanır. SHA-1 yıllar önce kullanımdan kaldırıldı ve hâlâ kullanan sertifikaların yeniden düzenlenmesi gerekir.
Public Key — RSA 2048-bit veya üzeri standarttır. ECC 256-bit ise modern alternatiftir ve daha küçük, daha hızlı sertifikalar üretir.
SAN (Subject Alternative Name) — sertifikanın kapsadığı ek ana bilgisayar adları. *.example.com gibi Wildcard‘lar tüm tek düzeyli alt alan adlarını kapsar. Çok alan adlı sertifikalar korunan her ana bilgisayar adını burada listeler. DV, OV veya EV sertifikaları için SAN listesi, sertifikanın hangi alan adlarını doğrulayacağını tam olarak tanımlar.
SSL sertifikası güvenlik özellikleri açıklandı
SSL checker, sertifikanın kendisinin ötesinde altı güvenlik özelliğinden oluşan bir panel hakkında da rapor sunar.
OCSP Stapling — sunucu, CA’dan kendi iptal durumunu önceden alır ve 443 numaralı bağlantı noktasındaki TLS el sıkışmasına dahil eder. “Not Supported” her bağlantıya gecikme ekler. Genellikle Apache, Nginx veya IIS’te tek satırlık bir yapılandırma değişikliğiyle çözülür.
Perfect Forward Secrecy (PFS) — her oturum benzersiz bir anahtar kullanır; bu sayede gelecekteki bir özel anahtar ihlali geçmiş trafiği şifreleyemez. “Not Supported”, kaydedilen oturumların geriye dönük olarak şifresinin çözülebileceği anlamına gelir. ECDHE şifre paketlerini tercih ederek etkinleştirin.
Certificate Transparency (CT) — düzenlenen sertifikalar, alan adı sahiplerinin hatalı düzenlemeyi tespit etmesine olanak tanıyan genel CT günlüklerine kaydedilir. Genel bir sertifikada “Not Supported” görülmesi alışılmadık bir durumdur.
HSTS (HTTP Strict Transport Security) — tarayıcılara düz HTTP bağlantılarını reddetmelerini söyleyen bir sunucu yanıt başlığı. HSTS olmadan, bir saldırgan ziyaretçiyi HTTPS’den düşürerek trafiği ele geçirebilir. Web sunucusu yapılandırmasına bir Strict-Transport-Security başlığı ekleyin.
Certificate Revocation Status — checker, sertifikanın iptal edilmediğini doğrulamak için OCSP ve CRL’yi sorgular. “Good” = aktif. “Revoked” = tarayıcılar reddeder, hemen yeniden düzenleyin. CRL’de “Unknown” yaygındır ve OCSP Good döndürüyorsa sorun değildir.
DNS CAA Record — alan adı için hangi Sertifika Otoritelerinin sertifika düzenleyebileceğini listeleyen bir DNS kaydı. Bu kayıt olmadan herhangi bir CA teknik olarak sertifika düzenleyebilir. DNS sağlayıcısında CA’larınızı listeleyen bir CAA kaydı ekleyin.
TLS güvenlik açığı tarama sonuçları
Beş adlandırılmış TLS güvenlik açığı taranır. Çoğu sunucu yıllar önce yama uyguladığından, SSL checker genellikle temiz olduğunu doğrular.
Heartbleed (CVE-2014-0160) — özel anahtarları açığa çıkaran bir OpenSSL bellek okuma hatası. “Safe”, sunucunun yamalı bir OpenSSL derlemesi çalıştırdığı anlamına gelir.
POODLE (CVE-2014-3566) — SSLv3’e karşı bir dolgu-oracle saldırısı. “Safe”, SSLv3’ün devre dışı bırakıldığı anlamına gelir.
BEAST (CVE-2011-3389) — bir TLS 1.0 şifre blok zincirleme açığı. “Safe”, TLS 1.0’ın devre dışı bırakıldığı veya sunucunun güvenlik açığı olmayan şifre paketleri kullandığı anlamına gelir.
ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. Birçok satıcı uygulamasında yeniden ortaya çıkan bir RSA dolgu açığı. “Safe”, sunucunun güvenlik açığı bulunan anahtar değişimini açığa çıkarmadığı anlamına gelir.
Ticketbleed (CVE-2016-9244) — TLS oturum biletleri aracılığıyla F5 BIG-IP’ye özgü bellek ifşası. “Safe”, yamasız bir F5 cihazı olmadığı anlamına gelir.
Şifre paketleri ve protokol desteği
SSL checker, desteklenen şifre paketlerini TLS 1.3, TLS 1.2 ve Zayıf başlıkları altında gruplandırır.
- TLS 1.3, tasarım gereği güçlü küçük bir paket listesine sahiptir.
- TLS 1.2 şifre kalitesi değişkendir; bu nedenle her paket ayrı ayrı listelenir.
- Zayıf sütunu, devre dışı bırakılması gereken kullanımdan kaldırılmış protokolleri veya şifreleri işaretler: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES ve NULL ya da EXPORT şifreleri.
Şifre paketi adları öngörülebilir bir yapıya sahiptir. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384’te:
- ECDHE anahtar değişimidir (Perfect Forward Secrecy sağlar)
- ECDSA imza algoritmasıdır
- AES_256_GCM simetrik şifredir
- SHA384 karma fonksiyonudur
Hem 128-bit hem de 256-bit AES güvenlidir.
Sertifika zinciri doğrulaması
Rapor, tam sertifika zincirini üç katman olarak gösterir:
- Sunucu sertifikası
- Ara sertifika
- Kök sertifika
Her katman bir üstündeki tarafından imzalanır ve zincirin tarayıcının zaten güvendiği bir kökte sonlanması gerekir.
“Chain Complete”, tarayıcıların sunucudan köke sorunsuz şekilde ilerleyebildiği anlamına gelir.
“Incomplete”, sunucunun gönderdiği pakette bir veya daha fazla ara sertifikanın eksik olduğu anlamına gelir; bu durumda tarayıcılar sertifikayı güvenilir bir köke bağlayamaz ve ziyaretçiler bir güvenlik uyarısı görür.
Eksik zincirler, en yaygın SSL kurulum sorunlarından biridir ve SSL checker bunları raporun en üstünde işaretler. Çözüm neredeyse her zaman CA’nın sağladığı tam zincir paketini kullanarak yeniden kurmaktır. Sunucuya özgü yollar farklılık gösterir: Apache bir zincir dosyası yönergesi kullanırken Nginx bir fullchain.pem bekler. IIS, zincir yeniden oluşturmayı sertifika içe aktarma sihirbazı aracılığıyla gerçekleştirir.
SSL sertifikası son kullanma tarihini kontrol etmek
SSL checker, son kullanma tarihini iki yerde gösterir: üst özet kalan günleri ve Valid To tarihini görüntüler; zincirdeki her sertifika ise kendi geçerlilik penceresini gösterir.
CA/Browser Forum Ballot SC-081v3 kapsamında, genel SSL/TLS sertifikalarının geçerlilik süreleri aşamalı olarak kısaltılmaktadır. 15 Mart 2026 itibarıyla maksimum geçerlilik süresi 398 günden 200 güne düşürüldü. 15 Mart 2027’den itibaren 100 güne, 15 Mart 2029’dan itibaren ise 47 güne inecek.
200 günlük bir sertifikada, aylık kontroller ve 30 günlük işarette bir hatırlatıcı işe yarar. 47 günlük sertifikalar geldiğinde ise manuel yenileme pratik olmaktan çıkar. Standart çözüm, sunucunun manuel müdahale olmaksızın sertifika talep edip yenilemesine olanak tanıyan ACME tabanlı otomasyondur.
Tarayıcı uyumluluğu — ne zaman önemlidir
SSL checker, sertifikayı 13 tarayıcı ve cihaz kombinasyonuna karşı test eder. Modern tarayıcılar (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) güncel bir sertifikada her zaman Destekleniyor göstermelidir.
Android 5-7 ve iOS 12 gibi eski mobil platformlar çoğunlukla kısmi destek gösterir. Bunun önem taşıyıp taşımadığı hedef kitleye bağlıdır. Internet Explorer 10 ve 11 gibi eski masaüstü tarayıcılar, varsayılan olarak TLS 1.2’yi desteklemediklerinden modern sertifikalarda neredeyse her zaman başarısız olur. 2026’da tüm modern tarayıcılar yeşil gösterirken 9/13 puan almak normaldir.
SSL kontrolü ne zaman çalıştırılmalı
Kurulumdan sonra tek bir kontrol yeterli değildir. SSL checker’ı şu durumlarda çalıştırın:
- Yeni bir sertifika kurduktan sonra
- 200 günlük döngüde son kullanma tarihinden 30 gün önce
- Her yenileme veya yeniden düzenlemeden sonra
- Sunucu taşıma veya IP değişikliğinden sonra
- Sertifika Otoritesi değiştirdikten sonra
- Wildcard veya çok alan adlı yapıya geçtikten sonra
- HSTS, OCSP Stapling veya herhangi bir TLS yapılandırma değişikliği etkinleştirildikten sonra
Sıkça Sorulan Sorular
A veya A+ hedefleyin. B notu her tarayıcıda çalışır, ancak boşluk genellikle düzeltilebilir sorunlara işaret eder. Çoğu derecelendirme düşüşü, SSL checker’ın güvenlik özellikleri panelinde işaretlediği iki öğeye kaynaklanır: eksik HSTS başlığı veya yapılandırılmamış CAA kaydı. İkisi de sertifikaya dokunmayı gerektirmez.
Bağlantıyı Kopyala
Hayır, genel kontrol araçları güvenlik duvarının arkasındaki dahili ana bilgisayarlara erişemez. Aynı ağdaki bir makineden, eşdeğer çıktı için openssl s_client -connect host:443 -servername host komutunu çalıştırın. OpenSSL komut satırı aracı çoğu Linux dağıtımıyla birlikte gelir ve Windows için de mevcuttur.
Bağlantıyı Kopyala
Evet. Sunucunun sunduğu sertifikayı okur; Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services ve diğerlerinden gelen sertifikaları destekler. SSL Dragon’un SSL sertifikası kataloğu bu CA’lardan altısını yan yana kapsar.
Bağlantıyı Kopyala
Aylık kontrol makul bir temel oluşturur. 200 günlük sertifikalar artık maksimum olduğundan, sona erme tarihinden 30 gün önce tam bir kontrol çalıştırmak için kesin bir hatırlatıcı ayarlayın. Yenileme sonrasında ekstra bir kontrol çalıştırın, çünkü zincir paketi hataları yenileme sonrasında en yaygın sorunlardır.
Bağlantıyı Kopyala
Sunucunuz tarayıcıların ihtiyaç duyduğu tüm ara sertifikaları göndermiyordur. Kısa çözüm: Apache SSLCertificateChainFile veya birleştirilmiş bir paket kullanır, Nginx fullchain.pem dosyasını bekler ve IIS sertifika içe aktarma sihirbazı aracılığıyla zinciri yeniden oluşturur.
Bağlantıyı Kopyala
HSTS bir sunucu yanıt başlığıdır, sertifikanın bir parçası değildir. Sertifika tamamen geçerli olabilirken HSTS yapılandırılmamış kalabilir. Web sunucusu yapılandırmasına ekleyin: Apache Header always set Strict-Transport-Security kullanır, Nginx add_header Strict-Transport-Security kullanır.
Bağlantıyı Kopyala
