SSL Sertifikası Neden Zorunlu? SEO, Güven ve Dönüşüm Etkisi

SSL Sertifikası Neden Zorunlu? SEO, Güven ve Dönüşüm Etkisi

10 yıl önce SSL sertifikası bir "lüks" idi. Sadece kredi kartı kabul eden e-ticaret siteleri, bankalar ve giriş formu olan kurumsal panellerde aktifti. Bugün ise tek başına bir blog, statik bir kurumsal vitrin, hatta yerel bir restoranın menü sayfası bile HTTPS olmadan modern web'de yer alamaz. SSL artık opsiyonel bir güvenlik katmanı değildir; Google sıralamanız, kullanıcı güveniniz, dönüşüm oranınız, modern tarayıcı API'lerine erişiminiz ve yasal uyumluluğunuz için bir altyapı zorunluluğudur.

Bu rehber, sertifika türleri (DV, OV, EV) ya da TLS handshake protokol detayı üzerinde durmuyor — bu konular için ayrı yazılarımız var. Burada cevaplamaya çalıştığımız tek soru çok net: "SSL sertifikası neden zorunlu hale geldi?" Bu sorunun yanıtı bir tek satırlık "Google öyle istiyor" değildir; arkada SEO, kullanıcı algısı, PCI-DSS finansal regülasyon, KVKK kişisel veri koruması, modern tarayıcı API'leri ve performans protokolleri (HTTP/2, HTTP/3) zincirleri vardır. Hepsini açıyoruz, sonunda da pratik bir HTTPS geçiş yol haritası ile bitiriyoruz.

Buyukweb perspektifi: Tüm cPanel paketlerimizde ücretsiz Let's Encrypt AutoSSL standart olarak dahildir — kurulum sıfırdır, 90 günde bir otomatik yenilenir, www ve non-www ile eklediğiniz tüm domainler/subdomainler için ayrı sertifika üretir. Bursa Tier 3 veri merkezi altyapımız, TLS 1.2 + 1.3 destekler. Kurumsal OV/EV sertifikası ihtiyacı olan müşteriler için yönlendirme yapıyoruz. cPanel paketlerimiz ₺350-2.000/yıl arasında, günlük yedekleme dahil. Detay için 0850 302 60 70 destek hattımızdan veya iletişim sayfamızdan bizimle iletişime geçin.

SSL ve TLS — Kısa Kavramsal Hatırlatma

SSL (Secure Sockets Layer) ve onun modern halefi TLS (Transport Layer Security), iki bilgisayar arasında akan veriyi şifreleyen ve kimliği doğrulayan bir protokoldür. Pratikte "SSL sertifikası" dediğimizde aslında modern TLS sertifikasından bahsediyoruz; sektör jargonu "SSL" terimini koruyor olsa da arka planda TLS 1.2 veya TLS 1.3 çalışıyor (eski TLS 1.0 ve 1.1, 2020 yılında modern tarayıcılarda devre dışı bırakıldı).

Bir SSL sertifikası üç ana işi yapar:

1. Şifreleme — Tarayıcı ile sunucu arasındaki tüm trafik (form bilgisi, parola, kredi kartı, çerez, hatta sadece okuma trafiği bile) AES/ChaCha20 ile şifrelenir. Ortadaki bir ağ (kafe wifi'si, ISP, devlet kuruluşu) içeriği okuyamaz.
2. Kimlik doğrulama — Sertifika, bir Sertifika Otoritesi (CA) tarafından imzalanmıştır. Tarayıcı, "Bu siteye bağlandığım sunucu gerçekten ornek.com.tr mi?" sorusunu bu imza zinciri üzerinden doğrular.
3. Bütünlük — Aktarılan veri yolda bir saldırgan tarafından değiştirilemez; MAC (Message Authentication Code) ile her paket korunur.

Sertifika türleri (DV = Domain Validation, OV = Organization Validation, EV = Extended Validation), X.509 yapısı, TLS handshake adımları, ECDHE forward secrecy ve cipher suite detayları için ayrı rehberimiz var: SSL Sertifika Türleri: DV, OV ve EV Karşılaştırması. Bu yazıda sertifika türü değil, HTTPS'in zorunluluk olma sebebi üzerine yoğunlaşıyoruz.

Tarayıcı ve Standart Geçmişi: SSL Zorunluluğunun Kronolojisi

HTTPS'in opsiyondan zorunluluğa geçişi tek bir kararla olmadı; ardışık 10 yıllık bir politika ve teknoloji evrimidir. Önemli kilometre taşları:

2014 — Google HTTPS Ranking Sinyali Duyurusu

Ağustos 2014'te Google, Webmaster Central blog yazısında HTTPS'i bir sıralama sinyali (ranking signal) olarak duyurdu. O dönem etki "küçük bir tiebreaker" olarak tanımlandı (%1'den az sorgu için fark yaratıyor), ancak Google'ın amacı netti: "tüm web'i HTTPS'e taşımak istiyoruz; bunu teşvik için ufak da olsa sıralama avantajı veriyoruz, ileride bu etkiyi artırabiliriz."

Bu duyuru, hosting sektörü ve büyük yayıncılar için bir uyarı oldu. Bir yıl içinde Wikipedia, BBC, New York Times, Facebook gibi büyük siteler tüm trafiğini HTTPS-only'ye taşıdı.

2015-2016 — Let's Encrypt Free Sertifikası

Aralık 2015'te ISRG (Internet Security Research Group) tarafından kurulan Let's Encrypt, bir CA olarak ücretsiz, otomatik, DV (Domain Validated) sertifikalar vermeye başladı. Bu, HTTPS engelini en büyük ölçüde kaldıran adım oldu: artık kurumsal bir DV sertifikası için yıllık ücret ödemek zorunda kalmıyordunuz, kelimenin tam anlamıyla bedava ve 90 gün geçerli sertifikayı otomatik yenileyebiliyordunuz. Bugün dünyada aktif HTTPS sitelerin büyük bölümü Let's Encrypt sertifikası kullanıyor.

2017 — Chrome ve Firefox "Not Secure" Uyarısı (HTTP Login)

Ocak 2017'de Chrome 56 ve Firefox 51, HTTP üzerinden giriş formu veya kredi kartı bilgisi alan sayfalarda adres çubuğunda "Not Secure" / "Güvenli Değil" uyarısı göstermeye başladı. Bu, son kullanıcının ilk kez gözle görülür biçimde "bu site güvenli değil" mesajı aldığı andı. Form üzerinden veri toplayan tüm siteler için HTTPS artık opsiyon değil müşteri güveninin koşuluydu.

2018 — Chrome 68: Tüm HTTP Sayfalar "Not Secure"

Temmuz 2018'de Chrome 68 ile birlikte, artık form olsun olmasın TÜM HTTP sayfaları için "Not Secure" uyarısı çıkarılmaya başlandı. Bu adımla birlikte HTTPS, "kredi kartı sayfası önerisi" olmaktan çıkıp tüm web siteleri için zorunluluk haline geldi. Bir blog, bir vitrin sayfası, statik bir restoran menüsü bile HTTPS olmadan tarayıcıda "güvensiz" damgası yiyordu.

2019-2020 — TLS 1.0 ve 1.1 Devre Dışı

Mart 2020 itibariyle Chrome, Firefox, Safari ve Edge, TLS 1.0 ve TLS 1.1 protokol versiyonlarını devre dışı bıraktı. Eski sunucular ve eski sertifikalar artık modern tarayıcılarda bağlantı kuramıyordu. Yeni minimum TLS 1.2 + TLS 1.3 oldu.

2021 — Chrome 90: Adres Çubuğunda HTTPS Varsayılan

Nisan 2021'de Chrome 90 ile birlikte, adres çubuğuna yazılan URL'lerde varsayılan protokol HTTPS oldu (önceden HTTP idi). Kullanıcı ornek.com.tr yazdığında tarayıcı önce https://ornek.com.tr denedi, başarısız olursa HTTP'ye düştü. Bu, kullanıcı davranışını HTTPS'e yönlendiren önemli bir UX değişikliğiydi.

2023 — Chrome 117: HTTPS-First Mode Varsayılan

Eylül 2023'te Chrome 117, HTTPS-First Mode'u varsayılan yaptı. Artık tarayıcı, HTTP linklerine tıklandığında bile önce HTTPS deniyor; başarısız olursa kullanıcıya "Bu site HTTP üzerinden açılacak, devam etmek istiyor musunuz?" uyarısı veriyor. Firefox ve Safari de benzer evrimleri tamamladı (Firefox 91+ HTTPS-Only Mode opsiyonel, Safari Always-Use-HTTPS ayar).

2024+ — HSTS Preload, HTTPS-Only Norm

2024 sonrası gelinen noktada HTTPS-only modern web'in fiilî standardıdır. HSTS (HTTP Strict Transport Security) header'ı ve Google'ın yönettiği HSTS Preload listesi, bir domain'e tarayıcının sadece HTTPS üzerinden bağlanmasını zorunlu kılar. .dev, .app gibi gTLD'ler de HSTS Preload zorunluluğuyla geliyor.

Sonuç: Bir önceki 10 yıllık politika evriminin geldiği nokta net — modern web'de HTTPS olmayan bir site yoktur. Vardır ama kullanıcı görmez, Google sıralamaz, modern tarayıcı API'leri çalıştırmaz.

SEO Etkisi: Google Ranking ve HTTPS

SSL'in en sık duyulan zorunluluk sebebi SEO'dur, ama buradaki mekanik birden çok katmanlıdır. Sadece "Google HTTPS'i seviyor" değil, çok daha derin.

1. Doğrudan Ranking Sinyali

Yukarıda anlattığımız 2014 duyurusundan beri Google, HTTPS'i bir sıralama sinyali olarak kullanıyor. Etkinin mutlak büyüklüğü Google tarafından kamuya açıklanmıyor (Google çoğu sinyalin ağırlığını açıklamıyor), ancak SEO topluluğunun gözlemleri ve A/B testleri 2014'ten beri etkinin arttığını gösteriyor:

• 2014: "small tiebreaker, %1'den az sorgu için etkili"
• 2017-2018: form/login sayfaları için belirgin avantaj
• 2020+: HTTP siteler için görünür dezavantaj (Google'ın indexlemeye değer görmediği bir sinyal)
• 2023+: tek başına ranking faktörü değil ama diğer faktörlerin ön koşulu (mobil-first, Core Web Vitals, indekslenebilirlik HTTPS olmadan zayıf)

2. Core Web Vitals ve HTTPS

Google'ın 2021'de duyurduğu Core Web Vitals (LCP, FID/INP, CLS) sıralama sinyali, sadece HTTPS siteler için hassas ölçülebiliyor. CrUX (Chrome User Experience Report) verisi, kullanıcı bilgisayarındaki gerçek deneyimi toplar; bu veri toplama mekanizmasının çalışması modern tarayıcı API'lerine bağlıdır ve modern API'lerin çoğu (Performance Observer, Navigation Timing v2, Long Task API) HTTPS olmadan ya çalışmaz ya da kısıtlı çalışır.

Sonuç: HTTP bir site, Core Web Vitals açısından dezavantajlı veri toplamış olarak Google'a görünür. Sıralamanız bu sinyal nedeniyle gerileyebilir.

3. HTTP/2 ve HTTP/3 (QUIC) — Sadece HTTPS

Modern web performansının en büyük adımı HTTP/2 (2015 RFC 7540) ve HTTP/3 (2022 RFC 9114) protokolleridir. Her iki protokol de pratikte sadece HTTPS üzerinden çalışır. Resmi RFC'ler "HTTP/2 over plain TCP" izin verse de, tüm major tarayıcılar (Chrome, Firefox, Safari, Edge) HTTP/2'yi sadece TLS üzerinden destekler.

Bu ne anlama gelir? HTTPS olmayan siteniz HTTP/1.1'de takılır kalır:

Protokol	Aktif	HTTP Üzerinden Performans Farkı
HTTP/1.1	HTTP veya HTTPS	Baseline (sınırlı paralel istek, head-of-line blocking)
HTTP/2	Sadece HTTPS (pratikte)	Çoklu paralel stream, header compression, server push
HTTP/3 (QUIC)	Sadece HTTPS	UDP tabanlı, 0-RTT bağlantı, mobil ağda dramatik iyileşme

Aynı sayfa, HTTP/1.1 üzerinden 3-5 saniye yüklenirken, HTTP/2/3 üzerinden 1-2 saniyede yüklenebilir. Bu süre farkı direkt LCP (Largest Contentful Paint) Core Web Vitals metriği'ne yansır ve sıralamanızı etkiler.

4. Mixed Content Engellemesi

Tarayıcılar mixed content (HTTPS sayfası içinde HTTP kaynak yüklenmesi) durumunu agresif engelliyor:

• Active mixed content (script, iframe, AJAX, fetch) — Chrome tamamen engelliyor, sayfa bozuk yükleniyor
• Passive mixed content (image, audio, video) — Chrome uyarı veriyor, gelecekte engellemeye geçecek

Eğer sayfanız HTTPS ama içindeki bir görsel, CSS, JS HTTP üzerinden geliyorsa Google bunu kötü kullanıcı deneyimi olarak algılar ve sıralamanızı düşürür. Daha kritik olan: kullanıcı sayfayı bozuk görür ve hemen ayrılır → bounce rate yükselir → SEO bir kez daha düşer.

5. HSTS ve HTTPS-Only Domain'ler

HSTS (HTTP Strict Transport Security) header'ı tarayıcıya "bu domain'e bir daha sadece HTTPS üzerinden bağlan, HTTP'ye düşme" der. Bu header'ı preload listesine ekleterek (hstspreload.org) tarayıcıların ilk ziyarette bile HTTP'ye hiç bağlanmamasını sağlayabilirsiniz. Bu da SEO açısından çift yönlü avantaj sağlar: hızlı ilk bağlantı + redirect chain'i sıfırlama (Google bunu beğenir).

Kullanıcı Güveni ve Bounce Rate Etkisi

SEO sıralaması bir tarafa, gerçek müşteri davranışı için kullanıcı güveni çok daha somut bir konudur. Modern Chrome'un "Not Secure" uyarısı, ortalama bir kullanıcının siteden ayrılma kararını ciddi şekilde etkiler.

Tarayıcı Uyarısı = Bounce Rate Patlaması

Sektör analizleri ve mağaza içi A/B testleri, HTTP siteler için bounce rate'in HTTPS siteler ile karşılaştırıldığında %30-50 daha yüksek olduğunu gösteriyor. Mekanik basit: kullanıcı sayfayı açar, adres çubuğunda "Güvenli Değil" yazısını ve üstü çizili kilit ikonu görür, bilinçaltı bir refleksle geri tuşuna basar. Bilgisayar başında bekleyen bir kullanıcı için bu süre 2-3 saniyedir.

Mobil cihazlarda etki daha da yüksek: ekran küçük, "Not Secure" uyarısı görece daha büyük yer kaplıyor, kilit ikonu yok → kullanıcı algısı doğrudan "tehlikeli site" oluyor. Mobil'de bounce rate HTTPS'e göre %50+ seviyelere ulaşabiliyor.

Form ve Ödeme Adımları

Bir e-ticaret veya kurumsal site için ödeme adımı, iletişim formu, giriş formu, kredi kartı sayfası HTTP üzerinde olduğunda:

• Tarayıcı her form alanının yanında küçük "Not Secure" uyarısı gösteriyor
• Kart bilgisi giriş alanına tıklandığında "Connections to this site are not secure" pop-up çıkıyor
• Mobil tarayıcılar (özellikle Chrome Mobile) otomatik fill (parola, kart) özelliğini HTTP sayfalarda devre dışı bırakıyor

Sonuç: cart abandonment (sepet terk) e-ticaret sitelerinde HTTP üzerinde %70+'lara çıkabiliyor. Bu, ticari kayıp anlamına gelir.

Marka Algısı ve Güven

Kullanıcı bilinçli olarak "SSL nedir" bilmese de, kilit ikonu = güvenilir site algısı global olarak yerleşmiş durumdadır. Marka algısı için kilit ikonu, web'de bir temel güven göstergesidir — şirket logosu kadar görünür değil belki, ama yokluğu kesinlikle fark ediliyor.

E-ticaret siteleri için kullanıcı yorumlarına bakıldığında, "kilit yoktu, dolandırıcılık olabilir diye satın almadım" tipi yorumlar yaygındır. KOBİ web siteleri için bu güven kaybı doğrudan satış kaybına dönüşür.

Dönüşüm Oranı (Conversion Rate) Etkisi

Akademik çalışmalar ve sektör vaka analizleri, HTTPS'e geçen sitelerin dönüşüm oranlarında ölçülebilir artış kaydettiğini gösteriyor. Tipik gözlemler:

• Bounce rate %5-15 azalış
• Conversion rate %2-7 artış
• Sayfa başına oturum süresi %10-20 artış
• Form tamamlama oranı %10-25 artış (özellikle ödeme/iletişim formları)

Bu rakamlar yıllık ciroya vurulduğunda küçük yüzdeler dahi büyük rakamlara denk geliyor. Aylık 100.000 TL ciro yapan bir e-ticaret, sadece HTTPS geçişle yıllık 25.000-80.000 TL ek ciro elde edebilir. Bir Let's Encrypt sertifikasının maliyeti sıfır TL, kurulum süresi cPanel ile 5 dakikadır. ROI hesabı bir şirketin yapacağı en kolay yatırım kararıdır.

PCI-DSS Uyumu: Kredi Kartı Kabul Eden Tüm Siteler İçin Zorunlu

Eğer siteniz kredi kartı bilgisi alıyorsa (kendi sayfanızda direkt kart numarası girişi, ya da gateway'e yönlendirme yaparken kart bilgisi formu), PCI-DSS (Payment Card Industry Data Security Standard) zorunluluğu altındasınız. PCI-DSS v4.0 (2024 itibariyle aktif geçiş süreci) şunları gerektirir:

PCI-DSS Şart 4.2.1 — Şifreli İletim

"Strong cryptography and security protocols must be used to safeguard sensitive cardholder data during transmission over open, public networks."

Pratikte bu şunu söylüyor:

1. Tüm sayfalar HTTPS olmalı (sadece ödeme sayfası değil — tüm site)
2. TLS 1.2 minimum, TLS 1.3 önerilir
3. TLS 1.0 ve 1.1 yasak
4. Mixed content sıfır — kart sayfasında HTTP kaynak olamaz
5. Strong cipher suites — RC4, 3DES, MD5 gibi zayıf cipher'lar yasak
6. Forward secrecy (ECDHE) önerilir, modern A+ ratingli kurulum standart

PCI-DSS uyumlu olmayan bir site, kart sağlayıcı tarafından işleyici hesap iptaline kadar gidebilir. Banka bağlantısı kesilirse e-ticaretiniz duraksaması demektir.

Buyukweb cPanel ve PCI-DSS

cPanel paketlerimizde ücretsiz Let's Encrypt AutoSSL, TLS 1.2 + 1.3, modern cipher suite'ler default olarak aktiftir. A+ rating (SSL Labs ssllabs.com SSL Test) genelde out-of-the-box elde edilir. PCI-DSS açısından bu temel altyapı şartını karşılarız; kart sayfanızı ve uygulama tarafı logging/audit gereksinimlerini ek olarak çözmeniz gerekir.

KVKK Perspektifi: Kişisel Veri İletiminde TLS Zorunlu

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Madde 12 — Veri Güvenliği — başlığında "veri sorumlusu, kişisel verilerin korunması için uygun güvenlik düzeyini sağlayacak teknik ve idari tedbirleri alır" der. KVKK Kurulu, bu maddenin pratik yorumu için Kişisel Veri Güvenliği Rehberi'ni yayınlamıştır ve bu rehberde şu açıkça yazar:

"Web sitesi üzerinden kişisel veri toplayan veri sorumluları, SSL/TLS şifreleme kullanmalı; iletim sırasında verilerin korunmasını sağlamalıdır."

Pratik anlamı:

• İletişim formu kişisel veri (isim, e-posta, telefon) topluyorsa → HTTPS zorunlu
• Üyelik formu veya giriş formu topluyor → HTTPS zorunlu
• Yorum/blog yorum formu e-mail topluyorsa → HTTPS zorunlu
• Hatta sadece okuma sitesi olsa bile, çerez (cookie) ile pazarlama/analitik veri toplanıyorsa → KVKK kapsamı + HTTPS zorunlu

KVKK Kurulu, ihlal durumunda idari para cezası uygulayabiliyor; SSL eksikliği nedeniyle yaşanan veri sızıntılarında veri sorumlusunun gerekli güvenlik tedbirini almadığı tespit edilirse ceza yüksek olabilir. Kısacası, formu olan her Türkçe site için SSL yasal zorunluluktur.

Modern Tarayıcı API'leri: HTTPS Olmadan Çalışmayanlar

Bu, çoğu site sahibinin farkında olmadığı kritik bir madde. Modern web API'lerinin büyük bölümü secure context (yani HTTPS) zorunlu kılar. HTTP üzerinde bu API'ler ya devre dışıdır ya da kısıtlı çalışır.

Secure Context Zorunlu API'leri

API	Amaç	HTTP Üzerinde
Service Worker	Offline çalışma, push notification, PWA	Çalışmaz
Web Push Notifications	Tarayıcı push bildirim	Çalışmaz
Geolocation API	Konum erişimi	Çalışmaz (modern browser'larda)
Camera / Microphone (getUserMedia)	Webcam, mikrofon erişimi	Çalışmaz
Payment Request API	Native ödeme dialog	Çalışmaz
Web Bluetooth	Bluetooth cihaza bağlanma	Çalışmaz
Web USB	USB cihaza bağlanma	Çalışmaz
Web Authentication (WebAuthn)	FIDO2 / passkey / güvenlik anahtarı	Çalışmaz
WebRTC (peer-to-peer çağrı)	Video/ses konferans	Sınırlı
HTTP/2 server push	Performans optimizasyon	Çalışmaz
Clipboard API (modern)	navigator.clipboard.writeText	Çalışmaz
Credential Management API	Tarayıcı parola yönetimi	Çalışmaz
EME (Encrypted Media Extensions)	Premium video oynatma (Netflix tarzı DRM)	Çalışmaz

Yani PWA, push notification, harita konum kullanma, video konferans, kart ödeme, parola otomatik tamamlama gibi modern özelliklerin hiçbiri HTTP sitesinde çalışmaz. 2026 itibariyle bunlar opsiyon değil, kullanıcı beklentisidir.

Kullanıcı Beklentisi vs Geliştirici Realite

Bir restoran sitesi düşünelim:

• Müşteri sayfaya girip "konumuma yakın şubeniz hangisi" diyor → Geolocation API → HTTP'de çalışmaz, harita boş gösterir
• Müşteri rezervasyon için telefonunu camerasıyla QR okutmak istiyor → getUserMedia → HTTP'de çalışmaz
• Müşteri kart ile sipariş ödüyor → Payment Request API → HTTP'de çalışmaz, native ödeme dialog açılmaz

HTTP sitesi modern web'de özürlü bir sitedir. Site sahibi bunun farkında olmasa da kullanıcı deneyimi bozuktur.

HTTPS Uygulama Yolu — Pratik Adımlar

Yukarıda neden zorunlu olduğunu detaylıca işledik. Şimdi pratik tarafa geçelim. Bir sitenizi HTTPS'e geçirmenin yolları:

Yol 1: cPanel AutoSSL (Buyukweb cPanel Müşterileri İçin)

cPanel'in AutoSSL modülü, Let's Encrypt sertifikasını otomatik olarak üretir, kurar ve yeniler. Buyukweb cPanel paketlerinde AutoSSL default aktiftir. Manuel adıma gerek yok; yeni eklediğiniz her domain ve subdomain için:

1. cPanel → Domains → Domain ekleyin
2. AutoSSL, bir sonraki periyodik check'te (en geç 24 saat) sertifikayı üretir ve domain'e bağlar
3. 90 günde bir otomatik yenileme

Manuel tetikleme isterseniz cPanel → SSL/TLS Status → "Run AutoSSL". Hemen üretir.

Yol 2: WHM AutoSSL (Reseller / VDS Kontrol Eden Müşteriler)

VDS üzerinde WHM (Web Host Manager) yöneticisiyseniz, WHM → Manage AutoSSL üzerinden:

• Provider: Let's Encrypt (default, ücretsiz)
• "Manage Users" — hangi cPanel hesaplarına AutoSSL aktif
• "Logs" — son sertifika üretim/yenileme logları
• "Reset / Force" — tüm hesaplar için yeniden tetikleme

Yol 3: VDS Üzerinde certbot (Manuel Kurulum)

VDS sahibi olup web sunucusunu (nginx, Apache, Caddy) kendi yöneten müşteriler için certbot araç altın standarttır.

Nginx için:

```bash

Ubuntu/Debian

sudo apt install certbot python3-certbot-nginx

Tek komutla otomatik SSL + redirect HTTP→HTTPS

sudo certbot --nginx -d ornek.com.tr -d www.ornek.com.tr

Otomatik yenileme (systemd timer veya cron)

sudo systemctl status certbot.timer
```

Apache için:

```bash
sudo apt install certbot python3-certbot-apache
sudo certbot --apache -d ornek.com.tr -d www.ornek.com.tr
```

Standalone (sunucuda web server yoksa):

```bash
sudo certbot certonly --standalone -d ornek.com.tr

Sertifika dosyaları:

/etc/letsencrypt/live/ornek.com.tr/fullchain.pem

/etc/letsencrypt/live/ornek.com.tr/privkey.pem

```

Webroot (production sitede minimum downtime):

```bash
sudo certbot certonly --webroot -w /var/www/ornek.com.tr/htdocs -d ornek.com.tr
```

Yol 4: acme.sh (Bash, Light Alternatif)

Python bağımlılığı olmayan, saf bash ile yazılmış alternatif:

```bash
curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --issue -d ornek.com.tr --webroot /var/www/ornek.com.tr/htdocs
~/.acme.sh/acme.sh --install-cert -d ornek.com.tr
--key-file /etc/nginx/ssl/ornek.com.tr.key
--fullchain-file /etc/nginx/ssl/ornek.com.tr.crt
--reloadcmd "systemctl reload nginx"
```

Yol 5: Wildcard Sertifika (DNS-01 Challenge)

*.ornek.com.tr gibi wildcard sertifika için DNS-01 challenge gerekiyor (HTTP-01 wildcard veremiyor). Cloudflare API entegrasyonu ile otomatik:

```bash

certbot-dns-cloudflare plugin

sudo certbot certonly --dns-cloudflare
--dns-cloudflare-credentials ~/.cloudflare.ini
-d ornek.com.tr -d *.ornek.com.tr
```

Wildcard sertifikalar için ayrı detaylı rehberimiz var: Wildcard SSL Sertifikası: Tek Sertifika ile Subdomain Yönetimi.

WordPress Sitesi HTTPS'e Geçiş Prosedürü

WordPress yaygın kullanıldığı için ayrı bir bölüm. Tipik adımlar:

Adım 1: SSL Sertifikasını Aktif Et

cPanel AutoSSL otomatik üretti; eğer manuel yapacaksanız Let's Encrypt veya başka CA üzerinden sertifika alın ve cPanel/Plesk'e yükleyin.

Adım 2: WordPress Site URL'ini HTTPS'e Çevir

İki yöntem:

A) WP Admin üzerinden:

```
Settings → General
WordPress Address (URL): https://ornek.com.tr
Site Address (URL): https://ornek.com.tr
Save
```

B) wp-config.php üzerinden (admin'e giremiyorsanız):

```php
// wp-config.php başında
define('WP_HOME','https://ornek.com.tr');
define('WP_SITEURL','https://ornek.com.tr');
```

Adım 3: Database Search-Replace (Eski HTTP Linkleri Düzelt)

Eski içeriklerde http://ornek.com.tr/wp-content/... şeklinde sabit link'ler vardır. Bunları toplu olarak HTTPS'e çevirmek için iki seçenek:

A) WP CLI (önerilir):

```bash
wp search-replace 'http://ornek.com.tr' 'https://ornek.com.tr' --skip-columns=guid --dry-run

Doğrulayın, sonra:

wp search-replace 'http://ornek.com.tr' 'https://ornek.com.tr' --skip-columns=guid
```

B) Better Search Replace eklentisi:

WP Admin → Plugins → Add New → "Better Search Replace" → kur → Tools → Better Search Replace → "Search for: http://ornek.com.tr" → "Replace with: https://ornek.com.tr" → tüm tablolar → Run.

Adım 4: .htaccess (Apache) — Force HTTPS Redirect 301

```apache

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

```

Nginx için (server block içinde):

```nginx
server {
listen 80;
server_name ornek.com.tr www.ornek.com.tr;
return 301 https://$host$request_uri;
}
```

Adım 5: HSTS Header Ekle

Tüm sitenin HTTPS-only olmasını zorlamak için:

```apache

.htaccess

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" \`\`\`

Veya nginx:

```nginx
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
```

Uyarı: HSTS preload "kesin" bir taahhüttür. Bir kez preload listesine girip de domain'inizi HTTP'ye düşürmeniz gerekirse, kullanıcı tarayıcılarında bağlanılamaz olur (cache temizlenene kadar). Sitenizin uzun vadeli HTTPS-only kalacağından emin olmadan preload aktive etmeyin.

Adım 6: Mixed Content Audit

Sayfanızda HTTP kaynak kaldı mı? Tespit:

• Chrome DevTools → Console → "Mixed Content" uyarıları
• ssllabs.com SSL Test → sayfa içerik tarama
• Why No Padlock (whynopadlock.com) → tek sayfa içerik tarama

Eğer hala HTTP kaynak varsa: tema/eklenti CSS/JS dosyaları, görsel hotlink, embed iframe (eski YouTube linki vs.), Google Fonts (artık HTTPS default), CDN linkleri. Hepsini HTTPS'e çevirin.

Adım 7: Internal Link Audit

İçeriklerinizdeki "..." şeklinde yazılı linkler hala HTTP olabilir. WP CLI search-replace bunu yakalar ama bir kez daha kontrol için:

```bash
wp db search 'http://ornek.com.tr' --all-tables
```

Adım 8: Sitemap ve robots.txt

• sitemap.xml içindeki URL'ler HTTPS olmalı (Yoast/Rank Math otomatik günceller)
• robots.txt → Sitemap: https://ornek.com.tr/sitemap.xml
• Google Search Console'a HTTPS property ayrıca ekleyin (HTTP property'den ayrı), eski HTTP property'yi izleyebilirsiniz ama yeni HTTPS property birincil olacak

Adım 9: Doğrulama

• Adres çubuğunda kilit ikonu görüyor musun?
• "Not Secure" uyarısı yok mu?
• HTTP linkler 301 ile HTTPS'e redirect olarak Google'a bildiriliyor mu?
• ssllabs.com SSL Test → A veya A+ rating mı?

SSL Test Araçları: A+ Rating Hedefi

Sertifika kurduktan sonra yapılandırmanın gücünü ölçmek için kullanılan araçlar:

SSL Labs (ssllabs.com SSL Test)

Sektör standart araç. A+'dan F'e sıralı not verir. Detaylı kontrol:

• Protocol versiyon desteği (TLS 1.2, 1.3 olmalı; 1.0, 1.1 kapalı olmalı)
• Cipher suites (modern ECDHE forward secrecy)
• Sertifika zinciri (intermediate cert'ler eksiksiz mi)
• HSTS aktif mi
• OCSP Stapling aktif mi
• Certificate Transparency log'larında mı

A+ rating için tipik gereksinimler:

1. TLS 1.2 + 1.3 only (1.0 ve 1.1 devre dışı)
2. Strong cipher suites — RC4, 3DES, MD5 yasak
3. Forward Secrecy — ECDHE bazlı cipher
4. HSTS aktif, max-age >= 6 ay
5. OCSP Stapling aktif
6. Certificate Transparency log'larında (Let's Encrypt default)
7. SNI destekleyen modern setup

Security Headers (securityheaders.com)

Yan bir test, HTTPS header'larının kapsamlı durumunu ölçer:

• Strict-Transport-Security (HSTS)
• Content-Security-Policy (CSP)
• X-Frame-Options
• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy

A+ veya A hedef.

Mozilla Observatory

Genel güvenlik header'ları + TLS + diğer kontroller bir arada. Eğitim odaklı, başlangıç seviyesi.

Hardenize

Modern web güvenliği detaylı tarama: SSL, DNS, e-mail (SPF/DKIM/DMARC), CSP, mixed content audit. Tam profilleme.

E-Ticaret Özel: PCI-DSS HTTPS Gereksinimleri

E-ticaret yapıyorsanız HTTPS yapılandırmanız sektör standardına ulaşmalı:

1. Tüm sayfalar HTTPS — ödeme sayfası özelinde değil, tüm site
2. Mixed content sıfır — her sayfa Chrome DevTools temiz olmalı
3. TLS 1.2 minimum, 1.3 önerilir — eski TLS protokol devre dışı
4. Strong cipher suites — ECDHE forward secrecy, AES-GCM veya ChaCha20-Poly1305
5. HSTS preload önerilir — ödeme akışı boyunca downgrade saldırı engeli
6. OCSP Stapling — sertifika revocation hızlı kontrol
7. DV minimum, OV/EV opsiyonel — büyük kurumsal e-ticaret OV/EV ile marka güveni artırabilir (yeşil isim eski Chrome'larda kaldırılsa da iç sayfalarda sertifika detayı görünür)

Buyukweb cPanel paketlerimizde default kurulum A+ rating elde edecek şekilde optimize edilmiştir. Ek özelleştirme isteyen müşteriler için destek hattımız üzerinden Apache/Nginx config müdahalesi yapılabilir.

KVKK Açısından Form ve Veri Toplayan Sayfalar

KVKK Madde 12 + Kişisel Veri Güvenliği Rehberi pratik uygulaması:

Site Tipi	Veri Topluyor mu?	HTTPS Zorunlu mu?
Statik vitrin (sadece info)	Çerez/analytics → KVKK kapsamı	Evet
İletişim formu	İsim, e-posta, telefon	Evet
Üyelik / hesap oluşturma	İsim, e-posta, parola, T.C.	Evet
E-ticaret	Adres, T.C., kart, sipariş geçmişi	Evet + PCI-DSS
Blog yorumları	E-posta, ad	Evet
Sadece okuma blog	Çerez/analytics → KVKK	Evet

Pratikte modern bir Türkçe site için HTTPS olmadan yasal uyum mümkün değildir.

Buyukweb Karar Matrisi: Hangi SSL Çözümü Sizin İçin?

Senaryo	Önerilen	Notlar
Kişisel blog, portföy, küçük vitrin	Buyukweb cPanel + Let's Encrypt AutoSSL	Ücretsiz, otomatik, sıfır manuel iş
KOBİ kurumsal site, e-ticaret başlangıç	Buyukweb cPanel + Let's Encrypt AutoSSL	Hız + dönüşüm avantajı için yeterli
Wildcard ihtiyacı (*.subdomain.ornek.com.tr)	cPanel AutoSSL + DNS-01 ya da ücretli wildcard	acme.sh DNS-01 ile ücretsiz çözüm de mümkün
Kurumsal marka algısı yüksek e-ticaret	OV sertifikası	Sertifika sahibi kuruluş bilgisi doğrulanmış olur
Banka, finans, üst düzey güven gereksinimi	EV sertifikası	Eski yeşil isim bar Chrome'da kalktı ama kurumsal sektör hala tercih ediyor
VDS sahibi, custom config isteyen	certbot manuel veya acme.sh	Tam kontrol, A+ rating yapılandırma

Çoğu site için Let's Encrypt AutoSSL yeterlidir. Buyukweb cPanel paketlerimizin tamamında ücretsiz olarak gelir, kurulumdan sonra unutulur — 90 günde bir otomatik yenilenir, eklediğiniz tüm domainlere otomatik bağlanır.

SSL Kurarken Yapılan 8 Yaygın Hata

Onlarca müşteri görüşmesinden çıkan tipik hata listesi:

1. SSL Kurdum Diye Test Etmedim

Sertifika dosyası yüklenmiş, AutoSSL aktif görünüyor — ama tarayıcıda hala kilit yok. Sebep çok: zincir intermediate eksik, mixed content, eski cache. Mutlaka ssllabs.com SSL Test'i çalıştırın.

2. Mixed Content Kontrol Etmedim

Sayfa HTTPS açılıyor ama tarayıcı uyarı veriyor: "Mixed Content". Tema CSS, hotlink görsel, embed YouTube eski link, Google Fonts eski sürüm — hepsi olası kaynak. Chrome DevTools Console'u açın, kırmızı satırları bulun, düzeltin.

3. HTTP → HTTPS 301 Redirect Eksik

Sertifika kuruldu ama http://ornek.com.tr adresine giden kullanıcı hala HTTP içerikte. Google iki versiyonu duplicate content olarak algılayabilir. 301 redirect olmazsa olmaz.

4. HSTS Preload Çok Erken / Çok Agresif

HSTS preload bir kez girdiğinizde iptal etmek aylar alır. Test ortamında kullanırken, demo sitelerinde, çok yeni HTTPS geçişte preload aktif etmeyin. Önce 6 ay HSTS'i max-age=2592000 (30 gün) ile test edin, sonra max-age=63072000 (2 yıl) + preload'a geçin.

5. Sertifika Süresinin Dolmasını Unuttum

Let's Encrypt 90 gün geçerli. cPanel AutoSSL otomatik yeniler, ama manuel kurulumda otomasyon eksikse sertifikalar bir gün biter. Tarayıcı ekranında "expired certificate" görünür → bounce patlar. Auto-renew cronjob mutlaka aktif olmalı.

6. Intermediate Sertifika Eksik (Cert Chain Broken)

Sertifika ana CA tarafından imzalanmaz, intermediate CA tarafından imzalanır; intermediate ise ana CA tarafından imzalanır. Sunucuda fullchain.pem yerine sadece cert.pem yüklerseniz mobil tarayıcılar zincirin kopukluğunu fark eder ve uyarı verir. SSL Labs testinde "Chain issues" çıkar. Her zaman fullchain.pem kullanın.

7. www / non-www SAN Unutuldu

Sertifika sadece ornek.com.tr için üretildi, www.ornek.com.tr için üretilmedi. Kullanıcı www.ornek.com.tr adresine girince "certificate does not match" uyarısı. SAN (Subject Alternative Name) alanına her iki domain eklenmeli; cPanel AutoSSL bunu default yapar.

8. Internal Linkler Hala HTTP

WP search-replace yapıldı ama bir tema functions.php dosyasında veya bir eklentide hardcoded http://... URL kaldı. Sayfa içinde HTTPS ama bir form action veya AJAX endpoint HTTP'ye gidiyor. WP CLI search-replace + Better Search Replace + grep ile dosya sistemi tarama kombinasyonu önerilir.

Sık Sorulan Sorular (SSS)

"Ücretsiz Let's Encrypt sertifikası gerçekten güvenli mi? Ücretli sertifika daha mı iyi?"

Şifreleme açısından eşittir. Let's Encrypt sertifikası, ücretli bir DV sertifikası ile aynı kripto gücüne sahiptir — TLS 1.2/1.3, ECDHE, AES-GCM aynı. Fark şu: ücretli sertifikalar uzun süreli (1 yıl) çıkar, ek olarak OV/EV doğrulama seviyesi içerebilir (kurumsal bilgi sertifikada görünür), garanti (sigorta) gelir (sertifika sebebiyle ihlal olursa belirli miktar tazminat). Çoğu kişisel ve KOBİ sitesi için Let's Encrypt yeterlidir; kurumsal marka algısı için OV/EV ücretli sertifika tercih edilebilir. Buyukweb cPanel paketlerinde Let's Encrypt AutoSSL ücretsiz olarak gelir.

"Kurumsal site için ücretli sertifika almalı mıyım?"

Karar matrisi:

• Sadece marka algısı isteyen kurumsal site → DV (Let's Encrypt) yeterli; ek harcama gerekmez
• OV — kuruluş adı sertifikada görünmesi gereken kurumsal site → ücretli OV sertifikası (yıllık 200-1.500 TL aralığı)
• EV — banka, finans, hükümet seviyesi güven gereksinimi → ücretli EV (yıllık 1.000-5.000 TL aralığı)

Çoğu KOBİ için DV (Let's Encrypt) yeterlidir. Detay için SSL Sertifika Türleri rehberi.

"SSL kurdum ama tarayıcıda yeşil kilit görünmüyor, niye?"

İki olasılık:

1. Tarayıcı evrimi — Chrome 90+ ile birlikte "yeşil" kilit kaldırıldı, artık gri/siyah kilit standart. Yeşil kilit eskiden EV sertifikalı sitelerde gösterilen marka adı bar idi; bu da kaldırıldı (Chrome 77+). Yani kilit gri olması normal, yeşil olmaması sorun değil.
2. Mixed Content — kilit yerine uyarı üçgeni görünüyorsa, sayfanızda HTTP kaynak var demektir. Chrome DevTools Console'u açın, "Mixed Content" uyarılarını bulup düzeltin.

"Sitem HTTPS ama Chrome 'Not Secure' diyor — nasıl olur?"

Olası sebepler:

• Sertifika expired — yenilenmemiş, süresi dolmuş
• Sertifika domain ile uyumsuz — sertifika example.com için ama site ornek.com.tr
• Sertifika SAN eksik — www alt domain için sertifika yok
• Self-signed sertifika — gerçek CA tarafından imzalı değil (test ortamı sertifikası gibi)
• Mixed Content active — sayfada HTTP'den yüklenen script/iframe → Chrome güveni geri alır

cPanel AutoSSL ile bu hataların hiçbiri olmaması gerekir; 0850 302 60 70 destek hattımızdan kontrol edebiliriz.

"Buyukweb cPanel paketinde ücretsiz SSL otomatik kuruldu mu kontrol nasıl?"

cPanel'e giriş yapın → SSL/TLS Status menüsü. Tüm domainleriniz yeşil tik (AutoSSL aktif, sertifika güncel) gösteriyorsa hazır. Eğer kırmızı uyarı veya "AutoSSL pending" görünüyorsa sayfanın üst kısmından "Run AutoSSL" butonuna basın; 5-10 dakika içinde sertifika üretilip yüklenir. Sorun devam ederse 0850 302 60 70 destek hattından destek talep edebilirsiniz.

"Tüm sayfalarımı HTTPS'e geçirdim ama Google sıralamada düşüş yaşadım, neden?"

Geçiş döneminde geçici bir kararsızlık yaşanması beklenir. Google iki versiyonu (HTTP ve HTTPS) tekrar değerlendirir ve doğru kanonik versiyona geçer; bu süreç 2-8 hafta alabilir. Kontrol listesi:

1. 301 redirect HTTP → HTTPS her sayfa için aktif mi?
2. Google Search Console'a HTTPS property eklendi mi?
3. Sitemap.xml HTTPS URL'leri içeriyor mu?
4. Canonical tag'ler HTTPS'i gösteriyor mu?
5. Internal linkler HTTPS mi (WP CLI search-replace yapıldı mı)?

Bu maddeler tamamsa 4-6 hafta sonra sıralama eski seviyeye dönmeli ve hatta HTTPS ranking avantajı ile yukarıya çıkmalıdır.

"HTTP/2 ve HTTP/3 farkı ne kadar somut?"

Sektör ölçümleri:

• HTTP/1.1 → HTTP/2: orta sayfa %20-40 daha hızlı LCP
• HTTP/2 → HTTP/3: özellikle mobil ağda (3G/4G) %10-30 daha hızlı
• Toplam HTTP/1.1 → HTTP/3: %30-60 hızlanma mobilde

Bu fark Core Web Vitals LCP metriğinizi dramatik etkiler. Modern web hızı için HTTP/2/3 zorunlu, HTTP/2/3 için HTTPS zorunlu, yani HTTPS hız demektir.

"Subdomain'lerim için ayrı sertifika mı almalıyım?"

İki seçenek:

1. Multi-domain (SAN) sertifika — Her subdomain için ayrı domain eklenir, tek sertifikada SAN olarak listelenir (örn. ornek.com.tr + www.ornek.com.tr + blog.ornek.com.tr + shop.ornek.com.tr). cPanel AutoSSL bunu default yapar.
2. Wildcard sertifika — *.ornek.com.tr tek sertifika tüm subdomainleri kapsar. DNS-01 challenge gerekir. Wildcard rehberi.

10'dan az subdomain için SAN yeterli; 10+ veya dinamik subdomain üretiyorsanız wildcard pratik.

Sonuç ve Sonraki Adımlar

2026 itibariyle SSL sertifikası opsiyonel değildir. Modern web altyapısı, tarayıcılar, SEO algoritmaları, ödeme regülasyonları, veri koruma kanunları ve son kullanıcı beklentisi hepsi HTTPS'i temel zorunluluk olarak konumlandırmıştır. Özet kararlar:

1. Buyukweb cPanel müşterisiyseniz — Let's Encrypt AutoSSL otomatik aktif; kontrol edin, başka iş yok
2. VDS sahibi iseniz — certbot veya acme.sh ile 5-10 dakikada kurun; cronjob ile auto-renew
3. WordPress sitesi ise — sertifika sonrası SiteURL HTTPS'e, WP CLI search-replace, .htaccess 301 redirect, HSTS header
4. E-ticaret ise — PCI-DSS açısından TLS 1.2+, A+ rating, mixed content sıfır
5. KVKK uyumu — form alan her site için TLS aktarım şifreleme zorunlu
6. SEO — HTTP/2/3, Core Web Vitals, ranking sinyali için HTTPS şart
7. Modern API'ler — Service Worker, PWA, push, camera, payment için HTTPS zorunlu

A+ rating hedefi için ssllabs.com/ssltest çalıştırın, eksikleri düzeltin. Mixed content kontrolü için Chrome DevTools Console temiz olmalı. HSTS preload uzun vadeli HTTPS-only kararı veriyorsanız aktif edin.

---

İlgili Büyükweb Hizmetleri

• SSL Sertifika Türleri: DV, OV, EV — Sertifika türleri detaylı karşılaştırma + X.509 + TLS handshake
• Ücretsiz SSL: Let's Encrypt — Let's Encrypt ACME v2 protokol, DNS-01, Certificate Transparency
• cPanel SSL Kurulumu — AutoSSL + Cloudflare Origin + HSTS pratik
• Wildcard SSL Sertifikası — *.ornek.com.tr tek sertifika ile tüm subdomainler
• Apache SSL/TLS Yapılandırma — mod_ssl + cipher suite + A+ rating
• cPanel Web Hosting — Ücretsiz Let's Encrypt AutoSSL dahil paketler
• VDS Sunucu — certbot ile tam kontrol SSL yönetimi

SSL kurulumu, sertifika sorunu, HTTPS geçişi veya kurumsal OV/EV sertifika yönlendirmesi için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz. Bursa Tier 3 veri merkezimizden tüm cPanel paketlerinde ücretsiz Let's Encrypt AutoSSL, TLS 1.2 + 1.3 ve günlük yedekleme dahil.