Apache mod_ssl ile SSL/TLS Yapılandırması ve HTTPS Hardening
Apache mod_ssl kurulumu, TLSv1.2/1.3 protokol seçimi, cipher suite hardening, HSTS, OCSP Stapling ve SNI yapılandırması. VDS ve cPanel hosting bağlamıyla SSL Labs A+ rehberi.
Apache mod_ssl ile SSL/TLS Hardening: Güvenli HTTPS Yapılandırması
Apache üzerinde HTTPS açmak bir satırlık iş — ama gerçekten güvenli bir yapılandırma ayrı bir konu. mod_ssl'i doğru kurmak, TLS protokol versiyonlarını 2026 standartlarına göre kısıtlamak, cipher suite'leri forward secrecy öncelikli seçmek, HSTS başlığını preload'a hazır hale getirmek ve OCSP Stapling'i etkinleştirmek hepsinin toplamı SSL Labs'tan A+ notu demek. Bu rehber tam olarak o adımları ele alıyor: Apache 2.4+ mod_ssl, OpenSSL backend, TLSv1.2/1.3, cipher hardening, HSTS, SNI, OCSP Stapling, HTTP→HTTPS yönlendirme, Mixed Content, performans ve test araçları.
Daha önce cPanel AutoSSL ile sertifika kurulumunu ele aldık; certbot ile HTTP-01 challenge ve Let's Encrypt yenileme otomasyonunu da ayrı yazılarda anlattık. Bu yazı onların devamı değil, bağımsız bir Apache yapılandırma odaklı rehber. VDS'te root erişiminiz varsa ve Apache'yi kendiniz yönetiyorsanız bu yazı tam size göre.
mod_ssl Modülü: Apache 2.4+ ve OpenSSL Backend
Apache'nin SSL/TLS desteği mod_ssl modülü üzerinden çalışır. Şifreleme işlemlerinin tamamı OpenSSL kütüphanesi tarafından yapılır; mod_ssl bu kütüphaneyi Apache'ye bağlayan köprüdür.
Apache 2.4 kurulu sistemlerde mod_ssl çoğunlukla dinamik modül olarak gelir. Modülün yüklenip yüklenmediğini kontrol etmek:
# Yüklü modülleri listele
apachectl -M | grep ssl
# Çıktı: ssl_module (shared) → modül aktif
# Açık değilse: RHEL/Rocky/AlmaLinux
dnf install mod_ssl
systemctl restart httpd
# Açık değilse: Ubuntu/Debian
a2enmod ssl
a2enmod headers
a2enmod rewrite
systemctl restart apache2
mod_ssl dinamik yüklemesini httpd.conf veya /etc/httpd/conf.modules.d/ altındaki modül dosyasında doğrudan görebilirsiniz:
LoadModule ssl_module modules/mod_ssl.so
Ubuntu/Debian'da bu satır /etc/apache2/mods-available/ssl.load içindedir; a2enmod ssl sembolik link oluşturarak bunu etkinleştirir.
SSL Config Dosya Yapısı: RHEL vs Debian
Dağıtıma göre konfigürasyon dosyaları farklı yerde:
| Dağıtım | Ana SSL config dosyası | Virtual host dizini |
|---|---|---|
| RHEL / Rocky / AlmaLinux | /etc/httpd/conf.d/ssl.conf |
/etc/httpd/conf.d/ |
| Ubuntu / Debian | /etc/apache2/mods-available/ssl.conf |
/etc/apache2/sites-available/ |
| cPanel (WHM) | /etc/apache2/conf.d/ssl.conf veya auto-generated |
/etc/apache2/conf.d/userdata/ |
RHEL sistemde global SSL ayarları /etc/httpd/conf.d/ssl.conf içinde yer alır; bu dosya httpd.conf tarafından otomatik Include edilir. Ubuntu'da ise a2enmod ssl ile sembolik link oluşturulur ve /etc/apache2/mods-enabled/ssl.conf olarak devreye girer.
Siteye özel SSL yapılandırması ayrı dosyalarda tutulması önerilir — global ssl.conf'u doğrudan düzenlemek yerine:
# Ubuntu — yeni site config dosyası
sudo nano /etc/apache2/sites-available/sitem-ssl.conf
sudo a2ensite sitem-ssl.conf
sudo apache2ctl configtest && sudo systemctl reload apache2
# RHEL — conf.d altında
sudo nano /etc/httpd/conf.d/sitem-ssl.conf
sudo apachectl configtest && sudo systemctl reload httpd
HTTPS VirtualHost Yapılandırması
Temel bir <VirtualHost *:443> bloğunda olması gereken minimum direktifler:
<VirtualHost *:443>
ServerName sitem.com
ServerAlias www.sitem.com
DocumentRoot /var/www/sitem/public
# SSL etkinleştir
SSLEngine On
# Sertifika dosyaları
SSLCertificateFile /etc/letsencrypt/live/sitem.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sitem.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/sitem.com/chain.pem
# Not: fullchain.pem = cert.pem + chain.pem — ikisini de kullanmak gerekmez
# TLS protokol kısıtlaması (aşağıda detaylı anlatılıyor)
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# Cipher suite (aşağıda detaylı)
SSLCipherSuite ECDHE+AESGCM:ECDHE+CHACHA20:DHE+AESGCM:!aNULL:!eNULL:!MD5:!RC4:!DSS
SSLHonorCipherOrder Off
# HSTS (aşağıda detaylı)
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# Güvenlik başlıkları
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# DocumentRoot izinleri
<Directory /var/www/sitem/public>
Options -Indexes +FollowSymLinks
AllowOverride All
Require all granted
</Directory>
ErrorLog /var/log/apache2/sitem-ssl-error.log
CustomLog /var/log/apache2/sitem-ssl-access.log combined
</VirtualHost>
SSLCertificateChainFile notu: Apache 2.4.8+ sürümlerinde SSLCertificateFile olarak fullchain.pem dosyası verilirse ayrıca SSLCertificateChainFile direktifine gerek yok. Let's Encrypt'te fullchain.pem zaten cert + chain zincirini içeriyor; iki direktifi birlikte kullanmak ise çakışmaya neden olabilir.
SNI: Tek IP'de Çoklu SSL Sitesi
SNI (Server Name Indication, RFC 6066), tek bir IP adresi üzerinde birden fazla SSL sitesi çalıştırmayı mümkün kılar. TLS el sıkışması sırasında istemci "hangi hostname'e bağlanmak istiyorum" bilgisini gönderir; sunucu buna göre doğru sertifikayı seçer.
Apache mod_ssl SNI desteğini varsayılan olarak etkinleştirir; özel bir direktife gerek yoktur. Gereken tek şey birden fazla <VirtualHost *:443> bloğunu aynı port üzerinde tanımlamak:
# Birinci site
<VirtualHost *:443>
ServerName sitem-a.com
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/sitem-a.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sitem-a.com/privkey.pem
</VirtualHost>
# İkinci site — aynı port, farklı sertifika
<VirtualHost *:443>
ServerName sitem-b.com
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/sitem-b.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sitem-b.com/privkey.pem
</VirtualHost>
Modern tarayıcıların tamamına yakını (%99+) SNI destekliyor. Eski sorun olan Windows XP / IE8 kombinasyonu artık istatistiksel sıfıra yakın. Tek IP ile çoklu SSL artık standart pratik.
TLS Protokol Seçimi 2026
2026 itibarıyla güvenli TLS yapılandırması şu protokolleri desteklemeli:
| Protokol | Durum | Açıklama |
|---|---|---|
| SSLv2, SSLv3 | Devre dışı bırakılmalı | Kritik güvenlik açıkları (POODLE, DROWN) |
| TLSv1.0 | Devre dışı bırakılmalı | RC4, BEAST güvenlik açıkları; PCI DSS uyumsuz |
| TLSv1.1 | Devre dışı bırakılmalı | TLSv1.0 ile benzer sorunlar; RFC 8996 ile deprecated |
| TLSv1.2 | Aktif | Güvenli; AEAD cipher zorunlu |
| TLSv1.3 | Aktif + Önerilir | RFC 8446 (2018); daha hızlı handshake, 0-RTT |
Apache direktifi:
# Global ssl.conf veya VirtualHost içinde
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# Sonuç: TLSv1.2 + TLSv1.3
Alternatif (daha açık yazım):
SSLProtocol -all +TLSv1.2 +TLSv1.3
TLSv1.3 Apache 2.4.41+ ile desteklenir. Kullandığınız OpenSSL sürümü de 1.1.1+ olmalıdır. TLSv1.3 desteğini kontrol etmek:
openssl version
# OpenSSL 1.1.1 veya 3.x → TLS 1.3 destekli
openssl ciphers -v | grep TLSv1.3
Cipher Suite Hardening
Cipher suite, SSL/TLS el sıkışmasında kullanılacak şifreleme algoritmalarını tanımlar. Zayıf cipher'lar kabul edilirse eski ve kırılabilir algoritmalar kullanılarak şifrelenmiş trafik tehlikeye girebilir.
Mozilla SSL Config Generator (https://ssl-config.mozilla.org) üç profil sunar:
- Modern: TLSv1.3 only, sadece ECDHE + AESGCM + ChaCha20; IE11 ve eski tarayıcılar bağlanamaz
- Intermediate: TLSv1.2 + TLSv1.3; Firefox/Chrome son 1 yıl, mobil dahil kapsar — çoğu durumda tercih edilmeli
- Old: Geriye dönük uyumluluk, TLSv1 dahil — kaçınılmalı
Apache için önerilen Intermediate cipher suite konfigürasyonu:
# Cipher suite (Intermediate profil, ECDHE öncelikli, forward secrecy)
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305
# Sunucu cipher sırasını uygulatma (TLS 1.3'te etkisiz — istemci seçer)
SSLHonorCipherOrder Off
# Session ticket'larını kapat (perfect forward secrecy için)
SSLSessionTickets Off
SSLHonorCipherOrder Off neden? TLS 1.3'te cipher müzakeresi istemci tarafında belirleniyor; sunucunun cipher önceliği yalnızca TLS 1.2 için geçerli. TLSv1.3 aktifken On olarak ayarlanması uyumsuzluk riski yaratıyor. Mozilla'nın güncel önerisine göre Off tercih edilmeli.
Forward Secrecy (FS): ECDHE önekli cipher'lar ephemeral (tek kullanımlık) anahtar kullanır; oturum anahtarı sunucunun özel anahtarından türetilmez. Özel anahtarınız ilerleyen bir zamanda ele geçirilse bile geçmiş oturumlar çözülemez.
HSTS: HTTP Strict Transport Security
HSTS başlığı, tarayıcıya "bu domain'e bir daha HTTP üzerinden bağlanma, direkt HTTPS kullan" talimatını verir. SSL stripping ve protokol düşürme saldırılarını engeller.
# mod_headers aktif olmalı: a2enmod headers
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Direktiflerin açıklaması:
| Direktif | Değer | Anlamı |
|---|---|---|
max-age |
63072000 | 2 yıl (saniye cinsinden); HSTS Preload List minimum gerekliliği |
includeSubDomains |
— | Tüm subdomainlere de HSTS uygulanır |
preload |
— | Tarayıcı preload listesine başvuru |
HSTS Preload List: Chrome, Firefox, Edge gibi tarayıcılar belirli domain'leri önceden kodlanmış HSTS listesine dahil eder. Böylece ilk ziyaret bile HTTP üzerinden gerçekleşmiyor. Başvuru adresi: hstspreload.org
Uyarı: includeSubDomains ile birlikte preload'a başvurmadan önce tüm subdomainlerin HTTPS üzerinden erişilebilir olduğundan emin olun. Henüz HTTPS olmayan bir subdomain varsa HSTS Preload ciddi erişim sorununa yol açar.
max-age kademeli artışı: Preload'a başvurmadan önce önce max-age=300 ile test edin, sonra max-age=86400, ardından max-age=2592000 ve son olarak 63072000 değerine çıkın.
OCSP Stapling
Tarayıcı SSL bağlantısı kurduğunda sertifikanın hâlâ geçerli olup olmadığını kontrol etmek için sertifika otoritesinin (CA) OCSP sunucusuna ayrı bir istek atar. Bu ek round-trip sayfa yüklenme süresini uzatır.
OCSP Stapling ile sunucu CA'dan OCSP yanıtını önceden alır ve TLS el sıkışmasına "zımbalar (staples)". Tarayıcı CA ile ayrıca iletişime geçmek zorunda kalmaz; hem bağlantı hızlanır hem de kullanıcı OCSP sunucusuna hangi siteyi ziyaret ettiğini sızdırmaz.
# Global ssl.conf içinde (VirtualHost dışı)
SSLUseStapling On
SSLStaplingCache shmcb:/run/apache2/stapling_cache(150000)
# RHEL için: shmcb:/run/httpd/stapling_cache(150000)
# VirtualHost içinde (opsiyonel, hata yönetimi)
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors Off
OCSP Stapling etkin mi kontrol etmek:
openssl s_client -connect sitem.com:443 -status -servername sitem.com 2>/dev/null | grep -A 10 "OCSP response"
# "OCSP Response Status: successful" çıktısı beklenir
HTTP → HTTPS Yönlendirme
HTTP üzerinden gelen tüm istekleri HTTPS'e yönlendirmek için <VirtualHost *:80> bloğu gerekiyor:
<VirtualHost *:80>
ServerName sitem.com
ServerAlias www.sitem.com
# mod_rewrite ile yönlendirme
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>
Alternatif — daha basit ama daha az esneklik sunan Redirect direktifi:
<VirtualHost *:80>
ServerName sitem.com
ServerAlias www.sitem.com
Redirect permanent / https://sitem.com/
</VirtualHost>
.htaccess ile (mod_rewrite ve AllowOverride All gerekli):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
HTTP/2 ve Redirect direktifi: Apache'de HTTP/2 (mod_http2) etkinse VirtualHost düzeyinde yönlendirme tercih edilmeli; .htaccess ile yönlendirme bazen http2 isteğinde sorun çıkarabiliyor.
Mixed Content Sorunu
HTTPS sertifikanızı kurduktan sonra tarayıcı konsolu Mixed Content uyarısı veriyorsa sayfanız HTTP kaynaklar (resim, CSS, JS, iframe) yükliyor demektir. HTTPS sayfa içinde HTTP kaynak hem güvenlik açığı hem SEO sorunudur.
Çözüm yöntemleri:
1. CSP başlığı ile otomatik yükseltme:
Header always set Content-Security-Policy "upgrade-insecure-requests"
Bu direktif tarayıcıya "HTTP kaynak isteklerini otomatik olarak HTTPS'e çevir" der. Geçici çözüm olarak işe yarar; ama asıl URL'leri düzeltmek tercih edilmeli.
2. WordPress / CMS'de toplu güncelleme:
WordPress'te tüm HTTP URL'leri HTTPS'e güncellemek için WP-CLI veya veritabanı araçlarıyla doğrudan SQL güncelleme:
# WP-CLI ile
wp search-replace 'http://sitem.com' 'https://sitem.com' --all-tables
3. Nginx proxy önünde ise: X-Forwarded-Proto başlığına göre yönlendirme yapılandırın; Apache bu başlığı okuyarak HTTPS algılaması yapabilir.
SSL Labs ile A+ Testi
SSL Labs (ssllabs.com/ssltest) HTTPS yapılandırmanızı puanlar. A+ almak için kontrol listesi:
| Kategori | A+ için Gerekli |
|---|---|
| Protokol | TLSv1.2 + TLSv1.3 only; eski protokoller kapalı |
| Cipher | ECDHE + AESGCM / ChaCha20; RC4, NULL, anon cipher yok |
| Forward Secrecy | ECDHE öncelikli tüm cipher'larda |
| HSTS | max-age >= 15768000 |
| OCSP Stapling | Aktif |
| Heartbleed | Yok (OpenSSL 1.0.1g+ veya OpenSSL 3.x) |
| POODLE | Yok (SSLv3 kapalı) |
| BEAST | Yok (TLSv1.0 kapalı + TLS_RSA_WITH_RC4 cipher yok) |
| CRIME | Yok (TLS sıkıştırma kapalı: SSLCompression Off) |
Testi çalıştırmak ücretsiz; sonuçlar ~2 dakikada hazır. "Do not show the results on the boards" seçeneğiyle gizli test yapılabilir.
SSLCompression Off direktifini global ssl.conf'a eklemek iyi pratik:
SSLCompression Off
Performans: TLS 1.3, HTTP/2 ve Session Cache
TLS 1.3 ve 0-RTT (Early Data)
TLS 1.3 (RFC 8446, 2018), TLS 1.2'ye göre handshake round-trip sayısını azaltır: 1-RTT standart, 0-RTT mümkün (daha önce bağlanılan sunucularla). Apache 2.4.41+ ve OpenSSL 1.1.1+ ile TLS 1.3 otomatik aktif olur; ekstra direktif gerekmez.
0-RTT Early Data replay saldırısına açık olduğundan POST isteği gibi tekrarsız (non-idempotent) işlemlerde dikkatli kullanılmalı.
HTTP/2 (mod_http2)
Apache'de HTTP/2, mod_http2 modülü ile etkinleştirilir. HTTPS üzerinden HTTP/2 için ALPN protokol müzakeresi kullanılır:
a2enmod http2
# /etc/apache2/conf-available/http2.conf veya VirtualHost içinde
Protocols h2 http/1.1
HTTP/2 çoğaltma (multiplexing), çoklu isteğin tek TCP bağlantısı üzerinden taşınmasını sağlar; sayfa yükleme süresi özellikle çok kaynakta belirgin şekilde iyileşir.
Session Cache
TLS oturum özgeçmişi (session resumption) yeni handshake yerine önceki oturumu yeniden kullanır:
SSLSessionCache shmcb:/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLSessionTickets Off ayarı ile session ticket mekanizması devre dışı bırakılır (forward secrecy için önerilir); bunun yerine sunucu taraflı session cache kullanılır.
Buyukweb Hosting Bağlamı
cPanel Hosting (LiteSpeed Web Server):
Buyukweb'in paylaşımlı hosting paketleri Apache değil LiteSpeed Web Server (LSWS) üzerinde çalışır. LiteSpeed, Apache'nin .htaccess ve httpd.conf direktiflerini okuyabildiğinden Apache uyumlu yapılandırmalar büyük oranda geçerlidir — ancak mod_ssl direktifleri doğrudan çalışmaz; LSWS kendi SSL yönetimini cPanel → AutoSSL arayüzü üzerinden yapar.
cPanel AutoSSL, Let's Encrypt sertifikalarını HTTP-01 challenge ile otomatik kurar ve yeniler. LSWS + cPanel ortamında kullanıcıların Apache ssl.conf dosyalarını elle düzenlemesi gerekmiyor; SSL ayarları cPanel "SSL/TLS" menüsünden yönetilir.
Plesk Hosting (Apache + Nginx Hibrit):
Plesk kurulu sunucularda Nginx ön planda (reverse proxy) çalışır; Apache arka planda PHP işleyicisi olarak konumlanır. SSL terminasyonu Nginx tarafında gerçekleşir; Apache ssl.conf doğrudan kullanılmaz. Plesk "SSL/TLS Sertifikaları" arayüzünden yönetim yapılır.
VDS (root erişimli):
Buyukweb VDS paketlerinde işletim sistemi ve web sunucusunu siz seçiyorsunuz. Apache kurduysanız bu rehberdeki tüm direktifler doğrudan geçerli; root erişiminizle tam yapılandırma esnekliğiniz var. VDS teknik sorularınız için 0850 302 60 70 destek hattına ulaşabilirsiniz.
SSL Test Araçları
Yapılandırmanın doğruluğunu komut satırından doğrulamak için:
# OpenSSL ile bağlantı testi — sunucunun hangi sertifikayı sunduğunu göster
openssl s_client -connect sitem.com:443 -servername sitem.com
# TLS versiyonunu zorla (TLS 1.2 test)
openssl s_client -connect sitem.com:443 -servername sitem.com -tls1_2
# TLS 1.3 desteği testi
openssl s_client -connect sitem.com:443 -servername sitem.com -tls1_3
# Sertifika bilgilerini listele (geçerlilik tarihi, CN, SAN)
echo | openssl s_client -connect sitem.com:443 2>/dev/null | openssl x509 -noout -subject -issuer -dates -ext subjectAltName
# OCSP Stapling kontrolü
openssl s_client -connect sitem.com:443 -status -servername sitem.com 2>/dev/null | grep -A 10 "OCSP response"
# Desteklenen cipher'ları listele (nmap gerekli)
nmap --script ssl-enum-ciphers -p 443 sitem.com
# Apache yapılandırma sözdizimi kontrolü
apache2ctl configtest
apachectl configtest
Online araçlar:
- SSL Labs: ssllabs.com/ssltest — kapsamlı A-F notlama, güvenlik açığı tarama
- Mozilla Observatory: observatory.mozilla.org — güvenlik başlıkları, CSP, HSTS kontrolü
Sık Sorulan Sorular
TLS 1.3 2026'da zorunlu mu?
TLS 1.3 zorunlu değil ama güçlü tavsiye. TLS 1.2 hâlâ güvenli kabul ediliyor; PCI DSS 4.0 da TLS 1.2'yi minimum olarak kabul ediyor. Ancak TLS 1.3 daha hızlı handshake, daha iyi forward secrecy ve daha az saldırı yüzeyi sunuyor. Apache 2.4.41+, OpenSSL 1.1.1+ ile TLS 1.3 zaten varsayılan aktif — ekstra çaba gerektirmiyor.
HSTS preload için risk var mı?
Var. HSTS Preload listesine girdikten sonra geri dönmek için tarayıcıların güncellenmesi gerekiyor; bu süreç aylar alabilir. includeSubDomains ile birlikte preload'a başvurduğunuzda tüm subdomainlerin HTTPS üzerinde çalışıyor olması şart. Bir subdomain HTTP'de kalmış veya sertifikası olmayan bir sunucuya işaret ediyorsa o subdomain tamamen erişilemez hale gelebilir. Test: önce max-age=300 küçük değerle başlayın, büyüterek ilerleyin, her şey tamam olduğundan emin olduktan sonra preload başvurusu yapın.
Wildcard ve SAN sertifika mod_ssl'de nasıl kullanılır?
Wildcard (*.sitem.com) ve SAN (Subject Alternative Name) sertifikalar SSLCertificateFile direktifine aynı şekilde verilir; özel direktif gerekmez. Sertifikayı oluştururken doğru domainleri eklemek yeterli; Apache mod_ssl SNI ile doğru sertifikayı otomatik seçer.
Buyukweb'de Apache mı LiteSpeed mı kullanılıyor?
Paylaşımlı cPanel hosting paketlerinde LiteSpeed Web Server (LSWS) kullanılıyor; Apache değil. LSWS, Apache yapılandırma formatını okuyor ama mod_ssl direktifleri doğrudan çalışmıyor — SSL yönetimi cPanel AutoSSL üzerinden yapılıyor. VDS paketlerinde web sunucusunu siz seçiyorsunuz; Apache, Nginx veya LiteSpeed kurabilirsiniz.
OCSP Stapling neden önemli?
Her TLS bağlantısında tarayıcı sertifikanın iptal edilip edilmediğini CA'nın OCSP sunucusuna sorarak kontrol eder. Bu ek HTTP isteği bağlantı kurulumunu yavaşlatır (50-200ms) ve kullanıcının hangi siteyi ziyaret ettiğini CA'ya ifşa eder. OCSP Stapling ile sunucu bu yanıtı önceden alıp imzalayarak TLS el sıkışmasına ekler; tarayıcı CA'ya gitmek zorunda kalmaz.
SSL Labs'tan A+ nasıl alınır?
Özetle: TLSv1.2+TLSv1.3 (eski protokoller kapalı), ECDHE öncelikli cipher suite (SSLHonorCipherOrder Off), SSLSessionTickets Off, SSLCompression Off, HSTS max-age ≥ 15768000, OCSP Stapling aktif. Bu altı ayarı doğru yapılandırdığınızda A+ almak için başka engel kalmıyor.
İlgili Büyükweb Hizmetleri
- VDS Sunucu — root erişim, tam Apache mod_ssl yapılandırma esnekliği
- cPanel Web Hosting — AutoSSL Let's Encrypt, LiteSpeed, SSL otomatik yönetimi
- Fiziksel Dedicated Sunucu — tam altyapı kontrolü, özel SSL yapılandırma
- İletişim — SSL/TLS yapılandırma desteği
VDS veya hosting SSL yapılandırması için 0850 302 60 70 numaralı destek hattımıza yazabilirsiniz.
Güvenlik & SSL İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler:
