Let's Encrypt Nedir? Ücretsiz SSL, ACME Protokolü ve Ekosistem Rehberi
Let's Encrypt nedir, nasıl çalışır? ACME protokolü, DV/OV/EV farkları, 90 günlük yenileme mantığı, wildcard DNS-01 challenge, certbot vs acme.sh ve sertifika şeffaflık logları — kapsamlı kavramsal rehber.
Let's Encrypt Nedir? Ücretsiz SSL Sertifikası, ACME Protokolü ve Ekosistem Rehberi (2026)
Tarayıcı adres çubuğunda "Bu site güvenli değil" uyarısı görünce ziyaretçinin çoğu geri düğmesine basar. Peki bu uyarıya yol açan nedir ve neden bazı sertifikalar ücretsiz, bazıları yüzlerce dolara satılıyor? Cevap Let's Encrypt'in 2016'dan bu yana kurduğu sistemde yatıyor: kimin kim olduğunu otomatik doğrulayan, kriptografik olarak imzalayan, 90 günde bir yenileyen ve bunu sıfır ücretle yapan bir sertifika otoritesi. Bu yazıda kavramsal soruları yanıtlıyoruz — Let's Encrypt nedir, ACME protokolü nasıl çalışır, DV/OV/EV ne anlama gelir, neden 90 gün, wildcard sertifika nasıl alınır, sertifika şeffaflık logları ne işe yarar. Kurulum adımları için (cPanel AutoSSL, Force HTTPS, HSTS) cPanel SSL Sertifikası Kurulum Rehberi yazısına bakabilirsiniz.
Buyukweb perspektifi: Tüm cPanel hosting paketlerimizde Let's Encrypt AutoSSL sıfır kurulumla otomatik çalışır — sertifika siteniz oluşturulduğu an kurulur, 60 gün geçince otomatik yenilenir. VDS müşterileri için certbot veya acme.sh ile manuel kurulum tüm seçenekler açıktır. "Let's Encrypt ücretli sertifikadan güvensiz mi?" sorusunun yanıtı bu rehberin tam ortasında.
SSL ve TLS: İki İsim, Bir Protokol
"SSL sertifikası" demek yerleşmiş bir alışkanlık; ama teknik olarak SSL (Secure Sockets Layer) 1990'larda devre dışı bırakıldı. Günümüzde gerçekte kullanılan protokol TLS (Transport Layer Security). TLS 1.0 ve 1.1 2021'de RFC 8996 ile resmen kullanım dışı; TLS 1.2 minimum standart, TLS 1.3 modern tercih. Tüm Buyukweb sunucu altyapısında TLS 1.2 ve TLS 1.3 destekleniyor; eski sürümler kapalı.
Sertifika ise X.509 standardı ile tanımlanmış bir kimlik belgesi: içinde alan adı (SAN), son geçerlilik tarihi, CA'nın dijital imzası ve public key bulunur. Tarayıcı bağlandığında TLS handshake sırasında sertifikayı güven deposundaki CA'lara karşı doğrular — CA imzası geçersiz, alan adı uyuşmuyor veya süresi dolmuşsa bağlantı kesilir ve "güvenli değil" uyarısı gösterilir.
Let's Encrypt Nedir? ISRG ve Finansman Modeli
Let's Encrypt, Internet Security Research Group (ISRG) tarafından yönetilen, kâr amacı gütmeyen bir Sertifika Otoritesidir (CA). 2016'da genel kullanıma açıldı ve bugün dünya genelinde 500 milyonu aşkın aktif sertifika verdi.
Neden ücretsiz? ISRG, Mozilla, Cisco, Electronic Frontier Foundation, Akamai ve yüzlerce teknoloji şirketinin bağışları ile finanse ediliyor. İş modeli şu düşünceye dayanıyor: SSL sertifikasının arkasındaki asıl maliyet CA yazılımının bakımı ve güvenlik denetimi; elle doğrulama süreçleri ise yapay bir maliyet. ACME protokolü bu elle doğrulama adımını otomatize ederek operasyon maliyetini neredeyse sıfıra indirdi.
Sonuç: Şifreleme gücü açısından Let's Encrypt ile ücretli CA arasında hiçbir fark yok. İkisi de aynı TLS 1.2/1.3 üzerinde çalışır, aynı RSA 2048-4096 veya ECDSA P-256/P-384 anahtarları kullanır. Fark sadece doğrulama seviyesi (DV vs OV vs EV) ve buna bağlı kurumsal süreçler.
ACME Protokolü: Otomasyonun Temeli
Let's Encrypt'i özel kılan şey sertifika alım sürecini sıfırdan otomatize eden ACME (Automatic Certificate Management Environment) protokolü. RFC 8555 ile standardize edildi; şu an ACME v2 aktif (v1 Haziran 2021'de kapatıldı).
ACME'nin çalışma mantığı üç adıma indirgenebilir:
1. Hesap Kaydı
ACME istemcisi (certbot, acme.sh vb.) Let's Encrypt sunucusuna bir kez kayıt olur. İstemci bir RSA veya ECDSA anahtar çifti oluşturur; public key Let's Encrypt'e gönderilir, private key yerel kalır.
2. Domain Sahipliği Kanıtı (Challenge)
Let's Encrypt "Bu domain gerçekten senin mi?" diye sormak için challenge (doğrulama meydan okuması) gönderir. İki temel challenge tipi:
HTTP-01 challenge:
LE → İstemci: "http://siteniz.com/.well-known/acme-challenge/TOKEN adresine bu değeri koy"
İstemci → Web sunucu: Dosyayı geçici olarak oluştur
LE → Kontrol: O URL'ye GET isteği yap, değer doğru mu?
Başarılı → Domain sahipliği kanıtlandı
DNS-01 challenge:
LE → İstemci: "DNS'te _acme-challenge.siteniz.com TXT kaydına bu değeri yaz"
İstemci → DNS API: TXT kaydı ekle
LE → DNS sorgula: Değer doğru mu?
Başarılı → Domain sahipliği kanıtlandı (wildcard için zorunlu)
HTTP-01 ile port 80'den erişim gereklidir. DNS-01'in avantajı: port açık olmak zorunda değil, güvenlik duvarı arkasındaki sunucularda çalışır ve wildcard sertifika için tek geçerli yöntem.
3. Sertifika İmzalama (İssuance)
Challenge başarılı olunca istemci bir CSR (Certificate Signing Request) gönderir. Let's Encrypt bu CSR'ı kendi ara CA private key'i ile imzalar ve X.509 sertifikayı döndürür.
# Certbot ile bir sertifika alma — kavramsal akış
certbot certonly --webroot -w /var/www/html -d siteniz.com -d www.siteniz.com
# acme.sh alternatifi (ECDSA P-256)
~/.acme.sh/acme.sh --issue -d siteniz.com --webroot /var/www/html --keylength ec-256
DV, OV, EV: Üç Doğrulama Seviyesi
Sertifika satıcıları üç doğrulama seviyesi sunar. Let's Encrypt yalnızca DV sertifika verir. Bu bir eksiklik değil, bilinçli bir tercih: OV ve EV için gereken organizasyon doğrulaması elle yapılır ve otomatize edilemez.
| Doğrulama | Kontrol Edilen | Süre | Kimler İçin |
|---|---|---|---|
| DV (Domain Validation) | Domain sahibi olduğunuz | Saniyeler–dakikalar | Blog, kurumsal vitrin, e-ticaret büyük çoğunluğu |
| OV (Organization Validation) | Şirketin yasal varlığı + adres | 1–5 iş günü | Kurumsal B2B, finansal danışmanlık, devlet sektörü |
| EV (Extended Validation) | Yasal varlık + fiziksel adres + telefon + yönetici yetkisi | 1–3 hafta | Banka, fintech, sağlık kurumu, kamu |
Önemli not (2026): Chrome, 2019'da (sürüm 77) EV sertifikasının yeşil "şirket adı" görsel ayrımını kaldırdı. Günümüzde tarayıcı UX açısından DV ve EV arasında gözle görülür bir fark yoktur. EV satın alma kararı kurumsal compliance veya güvenlik kanıt zinciri gereksinimi ile anlamlıdır.
Let's Encrypt ne sağlamaz? Kod imzalama sertifikaları (EXE, DLL imzalama), S/MIME (e-posta şifreleme/imzalama), OV/EV düzeyinde organizasyon doğrulaması. Bu senaryolar ticari CA'lardan ücretli sertifika gerektirir.
Neden 90 Gün? Kısa Ömür Avantaj mı?
Let's Encrypt sertifikaları 90 gün geçerlidir; ticari CA'lar 1–2 yıl. Birçok kullanıcı bunu dezavantaj sanır. Aksine, kısa ömür güvenlik pratiğidir:
- Ele geçirilmiş bir private key maksimum 90 gün zararlı olabilir
- Otomasyonu teşvik eder (elle yenileme yapmak zorunda kalmadan)
- Revokasyon mekanizmasının (CRL, OCSP) yetersizliğini telafi eder
Let's Encrypt 60. günde yenileme başlatır; 30 günlük tampon, başarısız denemeler için düzeltme fırsatı tanır. Buyukweb cPanel müşterilerinde AutoSSL bu süreci tamamen otomatik yönetir. VDS'de certbot paketi kendi crontab kaydını kurar; acme.sh da kurulum sırasında zamanlanmış görevi otomatik ekler.
ACME İstemcileri: certbot, acme.sh, Certify the Web ve Diğerleri
ACME protokolü standart bir RFC olduğu için pek çok istemci yazıldı. Hangisini kullanacağınız platforma göre değişir:
| İstemci | Platform | Notlar |
|---|---|---|
| certbot | Linux (deb/rpm), macOS | EFF geliştiriyor; Let's Encrypt'in "resmi" önerilen istemcisi; Apache/Nginx plugin'leri var |
| acme.sh | Linux/macOS shell scripti | Bağımlılıksız, 150+ DNS API desteği, ECDSA P-256 kolay |
| lego | Go binary, cross-platform | Go ekosistemi için; Docker ortamlarında popüler |
| Certify the Web | Windows GUI | Windows Server + IIS için pratik; ACME v2 destekli GUI |
| win-acme (WACS) | Windows CLI | Windows Server CLI; IIS binding otomasyonu |
| Traefik | Docker/Kubernetes ingress | Built-in ACME istemcisi; Let's Encrypt entegrasyonu native |
Buyukweb VDS müşterileri için certbot veya acme.sh önerilir. Certbot, Ubuntu/Debian'da snap paketi olarak kurulur; certbot --nginx veya certbot --apache komutu hem sertifika alır hem de web sunucu yapılandırmasını otomatik günceller. Adım adım kurulum detayları için cPanel SSL Kurulum Rehberi yazısına bakabilirsiniz.
Wildcard Sertifika ve DNS-01 Challenge
*.siteniz.com şeklindeki wildcard sertifika tüm tek-seviyeli subdomain'leri kapsar: api.siteniz.com, admin.siteniz.com, shop.siteniz.com — hepsi tek sertifika. Wildcard için ACME yalnızca DNS-01 challenge kabul eder; HTTP-01 veya TLS-ALPN-01 geçerli değil.
# acme.sh — DNS API ile wildcard (Cloudflare örneği)
export CF_Token="cloudflare-api-token"
~/.acme.sh/acme.sh --issue --dns dns_cf -d siteniz.com -d '*.siteniz.com' --keylength ec-256
# certbot — DNS API yoksa manuel (otomatik yenileme çalışmaz)
sudo certbot certonly --manual --preferred-challenges dns -d siteniz.com -d '*.siteniz.com'
Otomatik yenileme için DNS API entegrasyonu zorunlu; --manual modda yenileme elle yapılmalıdır. acme.sh 150'yi aşkın DNS sağlayıcısını destekler.
Anahtar Algoritmaları: RSA ve ECDSA
Let's Encrypt hem RSA hem ECDSA sertifikaları destekler:
RSA 2048-bit: Evrensel uyumluluk, eski TLS istemcileri dahil. Certbot default.
RSA 4096-bit: Daha güçlü ama handshake biraz daha yavaş; çoğu site için overkill.
ECDSA P-256: Daha kısa key, daha hızlı handshake, RSA 3072 ile eşdeğer güç. Modern tercih.
ECDSA P-384: Çok yüksek güvenlik; performans P-256'dan biraz düşük.
acme.sh ile --keylength ec-256 parametresi ECDSA P-256 sertifika alır. Buyukweb cPanel AutoSSL RSA 2048 kullanır — evrensel uyumluluk için. VDS'de kendi stack'inizi yönetiyorsanız ECDSA P-256 tercih edebilirsiniz.
Sertifika Şeffaflık Logları (Certificate Transparency)
2018'den itibaren her CA tarafından verilen sertifika, bağımsız operatörlerin tuttuğu CT (Certificate Transparency) loglarına yazılmak zorunda (RFC 9162). Sistem sayesinde yetkisiz sertifika çıkarımı (CA ihlali veya kötü niyet) hızla fark edilir. Domain sahipleri crt.sh/?q=siteniz.com adresinde kendi domain'leri için verilmiş tüm sertifikaları görebilir — sertifika envanteri ve shadow IT tespitinde kullanışlı. Let's Encrypt her sertifikayı CT loglarına gönderiyor; bu davranış değiştirilemez, sertifikalarınız kamuya açık.
OCSP Stapling: Revokasyon ve Performans
Sertifika ele geçirildiğinde ne olur? CA onu iptal eder (revoke). İptal bilgisi iki mekanizmayla dağıtılır: CRL (Certificate Revocation List) ve OCSP (Online Certificate Status Protocol). Tarayıcı her bağlantıda OCSP isteği yaparsa gizlilik sızıntısı ve gecikme olur.
OCSP Stapling bu sorunu çözer: web sunucu CA'dan OCSP yanıtını periyodik olarak alır ve TLS handshake sırasında istemciye "staple" ederek iletir — tarayıcı ayrıca CA'ya bağlanmak zorunda kalmaz, hem gizlilik hem performans kazanımı sağlanır.
# Nginx OCSP Stapling — /etc/nginx/nginx.conf server bloğu
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/siteniz.com/chain.pem;
resolver 1.1.1.1 8.8.8.8 valid=300s;
Yaygın Yanlışlar ve Nasıl Düzeltilir
Yanlış 1: "Mixed Content" — HTTP kaynak HTTPS sayfada
HTTPS sitenizde http:// ile başlayan resim, script veya stylesheet varsa tarayıcı "mixed content" uyarısı gösterir (veya kaynağı tamamen bloke eder). SSL kurulumu tek başına yetmez; tüm kaynak referanslarının HTTPS kullanması gerekir.
Tespit: Chrome DevTools > Console sekmesinde "Mixed Content" mesajları
Tespit: https://www.whynopadlock.com/ ile otomatik tarama
WordPress için: Better Search Replace veya WP-CLI ile DB'de tüm http://siteniz.com referansları https://siteniz.com ile değiştirin.
Yanlış 2: HSTS'i geri döndürülemez sanmak
HSTS header'ı (Strict-Transport-Security) tarayıcıya "bu siteye bir daha HTTP ile bağlanma" talimatı verir ve max-age boyunca cache'de kalır. preload direktifi sizi Chrome'ın HSTS preload listesine ekler; bu listeden çıkmak aylar sürer. Başlamak için max-age=300 (5 dakika) yeterli; her şeyin düzgün çalıştığına emin olduktan sonra max-age=31536000 (1 yıl) yapın. HSTS'in HTTP→HTTPS yönlendirmesi ile farkı: HSTS tarayıcı tarafında çalışır, HTTP isteği sunucuya hiç gitmez.
Yanlış 3: Geliştirmede canlı sertifika kullanmak
Let's Encrypt aynı registered domain için haftada 50 sertifika sınırı koyar. Test ve geliştirme ortamında bunu hızla tüketmek mümkün. Çözüm: --staging flag'i ile Let's Encrypt Staging CA'sını kullanın — rate limit yok, sertifikalar tarayıcıda "geçersiz" görünür ama işlevsel test için yeterli. Standart prodüksiyon kurulumunda cPanel AutoSSL rate limit sorunuyla karşılaşmazsınız.
Yanlış 4: "Kilit simgesi olan site güvenlidir"
DV sadece domain sahipliğini doğrular; içerik veya niyet denetimi yapmaz. Phishing siteleri de DV sertifikası alabilir. Kilit simgesi "bağlantı şifreli" anlamına gelir, "site güvenilir" değil. İçerik güvenilirliği domain reputation servisleri ve OV/EV sertifika kapsamındaki organizasyon doğrulamasıyla sağlanır.
Let's Encrypt'e Alternatif Açık Ekosistem ACME CA'ları
Let's Encrypt tek ücretsiz ACME CA değil. ZeroSSL 90 günlük DV sertifika ve ACME v2 desteği sunar; certbot veya acme.sh ile tek server URL değişikliğiyle çalışır. Buypass Go SSL ise 180 günlük sertifika verir — yenileme sıklığını azaltmak isteyenler için tercih edilebilir. İkisi de aynı ACME protokolünü kullandığından mevcut istemci altyapısıyla entegrasyonu kolaydır.
Hangi Senaryoda Let's Encrypt Yetersiz Kalır?
Dürüst bir değerlendirme: bazı kullanım durumlarında Let's Encrypt doğru seçenek değildir.
| Senaryo | Neden Yetersiz | Doğru Seçenek |
|---|---|---|
| Banka / fintech / sağlık kurumu | Compliance, yasal denetim, EV standardı | Ücretli EV sertifikası |
| Windows uygulama imzalama (.exe, .msi) | Let's Encrypt kod imzalama sertifikası vermiyor | Code Signing sertifikası (ücretli CA) |
| E-posta S/MIME şifreleme / imzalama | Let's Encrypt e-posta sertifikası vermiyor | S/MIME sertifikası (ücretli CA) |
| Çok uzun geçerlilik (otomasyon mümkün değil) | 90 gün yenileme gerekiyor | 1–2 yıllık ücretli DV/OV |
| OV/EV gerektiren kurumsal tedarikçi/müşteri şartnamesi | DV organizasyon kimliği doğrulamıyor | OV veya EV sertifikası |
Standart web hosting, e-ticaret, kurumsal vitrin, API, blog — bunların tamamı için Let's Encrypt DV sertifikası tam ve yeterli bir seçimdir.
Sıkça Sorulan Sorular
ACME v1 ile v2 arasındaki fark nedir?
ACME v1 yalnızca HTTP-01 challenge ve tekil domain destekliyordu; wildcard sertifika alınamıyordu. ACME v2 (RFC 8555) DNS-01 ve TLS-ALPN-01 challenge ekledi, wildcard sertifika mümkün oldu. Let's Encrypt ACME v1 uç noktasını Haziran 2021'de kapattı; tüm güncel istemciler ACME v2 kullanıyor.
90 günlük sertifika süresini 1 yıla uzatabilir miyim?
Hayır. Let's Encrypt maksimum 90 günlük sertifika veriyor ve bu politikayı değiştirme planı yok. Uzun geçerlilik istiyorsanız ticari CA'lardan 1–2 yıllık sertifika almanız gerekir.
Wildcard sertifikayı DNS-01 olmadan alabilir miyim?
Hayır. ACME standardı (*.siteniz.com) wildcard sertifikalar için yalnızca DNS-01 challenge destekliyor. HTTP-01 ile wildcard mümkün değil.
Sertifika yenileme başarısız olursa ne olur?
Let's Encrypt sertifikası 90 günde sona eridğinde son 30 gün içinde yenileme denenmelidir. Certbot ve acme.sh bunu crontab ile otomatik yapıyor; başarısız olursa log bırakıyor. Buyukweb cPanel'de yenileme başarısız olursa sistem yöneticisi mail alır; 0850 302 60 70 desteğe ulaşabilirsiniz.
Let's Encrypt'in Certificate Transparency loglarına sertifikamın gitmesini engelleyebilir miyim?
Hayır. Let's Encrypt tüm sertifika istemlerini CT loglarına gönderiyor; bu RFC 9162 gereği ve değiştirilemez. Sertifikalarınız crt.sh üzerinde kamuya açık görünür.
cPanel'de AutoSSL neden Let's Encrypt kullanıyor?
cPanel, sürüm 60'tan itibaren Let's Encrypt'i AutoSSL provider olarak destekliyor. Sebebi açık: müşteri tarafında sıfır kurulum maliyeti, 90 günde bir otomatik yenileme, DV sertifika için tam yeterlilik. Buyukweb cPanel hosting paketlerinde AutoSSL Let's Encrypt standart geliyor; hiçbir pakette ek kurulum veya ek ücret yok.
Certbot ile acme.sh arasındaki temel fark nedir?
Certbot Python tabanlı, EFF tarafından geliştiriliyor; Apache ve Nginx plugin'leri var, kurulum snap paketi ile kolay. acme.sh saf shell scripti, bağımlılıksız, 150+ DNS API desteğiyle DNS-01 wildcard otomasyonunda daha esnek. Her ikisi de ACME v2, Let's Encrypt, ZeroSSL ile çalışır.
Sonuç
Let's Encrypt, sertifika alım sürecini ACME protokolüyle otomatize ederek SSL'i maliyetsiz ve evrensel erişilebilir kıldı. DV doğrulaması standart web kullanımlarının büyük çoğunluğu için fazlasıyla yeterli; 90 günlük kısa ömür bir sorun değil, otomasyon zorunluluğuyla gelen güvenlik avantajı. Wildcard ihtiyacı varsa DNS-01 challenge ile çözülüyor. Kurumsal compliance, kod imzalama veya S/MIME gibi senaryolarda ticari CA gerekir — bunları gizlemeden söylüyoruz.
Buyukweb cPanel paketlerinde Let's Encrypt zaten yerinde: sertifika otomatik kuruluyor, otomatik yenileniyor, hiçbir ek işlem gerektirmiyor. VDS ortamında kendi ACME stack'inizi kurmak istiyorsanız certbot veya acme.sh ile tam esnekliğe sahipsiniz. Teknik destek için 0850 302 60 70 numaralı hattımız 7/24 açık.
Kurulum adımlarına geçmek istiyorsanız: cPanel'de SSL Sertifikası Kurulumu (AutoSSL, Force HTTPS, HSTS)
İlgili Büyükweb Hizmetleri
- cPanel Web Hosting — AutoSSL Let's Encrypt standart, ₺350/yıldan başlıyor
- VDS Sunucu — root yetki, certbot/acme.sh tam kontrol
- Plesk Web Hosting — Plesk + Let's Encrypt entegrasyonu
- Tüm Paketler
Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.
Web Hosting Rehberi İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler:
