SSL Sertifika Yenileme Hataları: Nedenleri, Önlenmesi ve Acil Çözümleri

SSL Sertifika Yenileme Neden Başarısız Olur?

SSL sertifika yenileme hataları, web sitesi sahiplerinin en stresli anlarından birini oluşturur. Sertifika süresi dolduğunda tarayıcılar sitenize erişimi engeller ve "Bağlantınız gizli değil" uyarısı tüm ziyaretçilerinize gösterilir. Bu makalede, yenileme sürecinde karşılaşılan yaygın hataları ve bunların çözümlerini ele alacağız.

2020'den bu yana SSL sertifika süresi maksimum 397 gün (yaklaşık 13 ay) ile sınırlıdır. Bu nedenle yenileme süreci her yıl tekrarlanan kritik bir görevdir. Apple'ın 2025 önerisiyle bu sürenin 2027'ye kadar kademeli olarak 47 güne düşmesi planlanmakta — yenileme otomasyonu artık lüks değil, zorunluluk.

1. DCV (Domain Control Validation) Hataları

Sorun

Sertifika yenilenirken alan adı doğrulaması (DCV) tekrar yapılmalıdır. E-posta, DNS veya HTTP doğrulama yöntemlerinden biri başarısız olursa sertifika düzenlenemez.

Yaygın DCV Hataları

• DNS TXT kaydı propagasyonu: Yeni DNS kaydı henüz tüm nameserver'lara yayılmamış (48 saate kadar sürebilir)
• HTTP doğrulama dosyası erişilemez: .well-known/pki-validation/ yolu firewall veya redirect kuralları tarafından engelleniyor
• E-posta doğrulama: admin@, webmaster@, postmaster@ adreslerine erişim yok veya e-posta spam filtresi tarafından engelleniyor
• CAA kaydı uyumsuzluğu: DNS'teki CAA kaydı sertifika otoritesine izin vermiyor
• DNSSEC doğrulama hatası: DNSSEC imzaları güncel değil ve DNS sorguları doğrulanamıyor

Çözüm

1. DNS yöntemi için: TXT kaydını ekleyin ve nslookup -q=TXT _dnsauth.domain.com ile yayılımı kontrol edin
2. HTTP yöntemi için: Doğrulama dosyasının direkt erişilebilir olduğunu test edin. Redirect'ler ve WAF kurallarını kontrol edin
3. CAA kontrolü: dig CAA domain.com ile mevcut kayıtları kontrol edin ve gerekiyorsa CA'nızı ekleyin
4. Mümkünse DNS CNAME doğrulamayı tercih edin — bir kere kurulup tüm yenilemelerde otomatik çalışır

2. CSR (Certificate Signing Request) Hataları

Sorun

Yenileme sırasında yeni bir CSR oluşturmak güvenlik açısından önerilir. Ancak CSR oluşturma sürecinde hatalar yapılabilir.

Yaygın CSR Hataları

• Alan adı uyumsuzluğu: CSR'daki Common Name (CN) ile sertifikanın kullanılacağı alan adı farklı
• Zayıf anahtar uzunluğu: 1024-bit RSA anahtarlar artık kabul edilmiyor; minimum 2048-bit gerekli
• Özel anahtar kaybı: CSR oluşturulduktan sonra özel anahtar dosyası kaybedilmiş veya silinmiş
• Yanlış algoritma: Bazı eski sistemler ECDSA'yı desteklemeyebilir

Çözüm

1. CSR oluştururken alan adınızı doğru ve eksiksiz girin
2. Minimum 2048-bit RSA veya 256-bit ECDSA anahtar kullanın
3. Özel anahtarı güvenli bir konumda yedekleyin
4. CSR'ı decode ederek bilgileri doğrulayın: openssl req -in csr.pem -noout -text

3. Sertifika Zinciri (Chain) Hataları

Sorun

Yeni sertifika kurulumunda ara sertifikaların (intermediate certificates) eksik veya yanlış sırayla yüklenmesi en yaygın post-yenileme sorunlarından biridir. Sertifika başarıyla yenilenmiş ama doğru kurulmamış olabilir.

Belirtiler

• Masaüstü tarayıcılarda çalışıyor ama mobil cihazlarda hata veriyor
• Chrome'da sorun yok ama Firefox'ta uyarı gösteriyor
• API istekleri curl ile başarısız oluyor: SSL certificate problem: unable to get local issuer certificate

Çözüm

1. Sertifika sağlayıcınızdan güncel CA Bundle dosyasını indirin
2. Sertifika zincirini doğru sırayla oluşturun:
   cat site.crt intermediate.crt > fullchain.crt
3. Online SSL Checker ile zinciri doğrulayın
4. Nginx: ssl_certificate fullchain.crt; | Apache: SSLCertificateChainFile intermediate.crt

4. Otomatik Yenileme Sorunları

Let's Encrypt / Certbot Hataları

• Port 80 kapalı: HTTP-01 challenge için port 80'in açık olması gerekir
• Rate limiting: Haftada 5 adet sertifika limiti (aynı domain seti için)
• Webroot erişim sorunu: Certbot'un .well-known/acme-challenge/ dizinine yazma yetkisi yok
• DNS API entegrasyonu bozuk: Cloudflare/Route53 API anahtarı geçersiz veya izinler değişmiş

Ticari Sertifika Otomatik Yenileme

• ACME protokolü: Sectigo, DigiCert gibi CA'lar ACME desteği sunuyor — Certbot ile ticari sertifikalar da otomatik yenilenebilir
• Panel entegrasyonları: cPanel, Plesk gibi hosting panelleri otomatik yenileme modülleri sunar
• API tabanlı yenileme: Sertifika sağlayıcınızın API'si ile kendi otomasyon scriptinizi yazabilirsiniz

5. Wildcard ve Multi-Domain Yenileme Özel Durumları

Wildcard SSL Yenileme

Wildcard sertifikaların yenilenmesinde mutlaka DNS-01 challenge kullanılmalıdır (HTTP doğrulama wildcard için geçerli değildir). DNS API entegrasyonu yoksa her yenilemede manuel TXT kaydı güncellenmesi gerekir.

Multi-Domain (SAN) SSL Yenileme

SAN sertifikalarında yenilemede tüm alan adlarının DCV doğrulamasını geçmesi gerekir. Bir alan adı bile doğrulanamıyorsa sertifika hiçbir alan adı için düzenlenmez. Artık kullanılmayan domain'leri yenileme öncesinde SAN listesinden çıkarın.

Yenileme Hatası Acil Müdahale Planı

1. Mevcut sertifika süresini kontrol edin: Tam olarak ne zaman doluyor?
2. Geçici çözüm: Süre dolmuşsa, hızlı bir DV SSL satın alın (dakikalar içinde düzenlenir)
3. Kök nedeni belirleyin: DCV, CSR, zincir veya sunucu yapılandırma sorunlarından hangisi?
4. Ana sertifikayı yenileyin: Sorunu çözdükten sonra asıl sertifikanızı yenileyin
5. Otomasyon kurun: Aynı sorunun tekrarlanmaması için otomatik yenileme ve süre uyarıları aktifleştirin

SSL Sertifika Süre Takip Kontrol Listesi

Sonuç

SSL sertifika yenileme hataları, proaktif yaklaşımla büyük ölçüde önlenebilir. Otomatik yenileme mekanizması kurmak, DCV yöntemini doğru seçmek ve sertifika zincirini eksiksiz yüklemek — bu üç adım yenileme sorunlarının %90'ını çözer. Sertifika süresinin 47 güne düşeceği yakın gelecekte, otomasyon artık tercih değil zorunluluk olacaktır.