SSL/TLS Sertifika Süreleri 199 Güne Düştü: Ne Değişiyor?

CA/Browser Forum, internet güvenliğinin geleceğini belirleyen tarihi bir oylama ile SSL/TLS sertifika geçerlilik süresini kademeli olarak kısaltma kararı aldı. 15 Mart 2026 itibarıyla maksimum sertifika ömrü 200 günden 199 güne düşüyor ve bu sadece başlangıç — 2029 yılında bu süre 47 güne kadar inecek.

Bu makale, değişikliğin tüm detaylarını, zaman çizelgesini, neden yapıldığını ve şimdiden nasıl hazırlanmanız gerektiğini kapsamlı şekilde açıklıyor.

CA/Browser Forum Nedir ve Bu Karar Neden Önemli?

CA/Browser Forum, dünya genelindeki sertifika otoriteleri (DigiCert, Sectigo, GlobalSign vb.) ile tarayıcı üreticilerinin (Google, Apple, Mozilla, Microsoft) oluşturduğu bir endüstri konsorsiyumudur. SSL/TLS sertifikalarının standartlarını, doğrulama politikalarını ve güvenlik kurallarını belirler.

Bu kuruluşun aldığı kararlar, internetteki milyarlarca HTTPS bağlantısını doğrudan etkiler. 4 Nisan 2025 tarihinde yapılan oylama ile SC-081 ballot (Sertifika Ömrü Azaltma) kabul edildi ve tarihsel bir dönüşüm başladı.

Sertifika Süresi Değişim Zaman Çizelgesi

Yeni düzenleme tek seferde değil, kademeli olarak uygulanacak:

Neden Sertifika Süreleri Kısalıyor?

Bu değişikliğin arkasında güçlü güvenlik gerekçeleri var:

1. Sertifika Bilgilerinin Güncelliği

SSL sertifikaları, domain sahipliği ve kuruluş bilgilerini içerir. Uzun geçerlilik süreleri, bu bilgilerin aylar hatta yıllar boyunca güncellenmemesi anlamına gelir. Domain el değiştirmiş, şirket kapanmış veya yetkili kişi değişmiş olabilir. Kısa süreler, bu bilgilerin sürekli doğrulanmasını sağlar.

2. Güvenlik Açığı Penceresi Daralıyor

Bir sertifika ele geçirildiğinde veya özel anahtar sızdırıldığında, sertifika iptal (revoke) edilene kadar risk devam eder. OCSP ve CRL mekanizmaları her zaman mükemmel çalışmaz. Kısa ömürlü sertifikalar, ele geçirme süresini doğal olarak sınırlar.

3. Kriptografik Çeviklik (Crypto Agility)

Yeni güvenlik açıkları keşfedildiğinde veya daha güçlü algoritmalar geliştirildiğinde, kısa süreli sertifikalar sayesinde geçiş çok daha hızlı olur. Hatırlayın: SHA-1'den SHA-256'ya geçiş yıllarca sürmüştü.

4. Post-Quantum Hazırlığı

Kuantum bilgisayarların mevcut şifrelemeyi kırabilme potansiyeli, kriptografik çevikliği kritik hale getiriyor. Kısa süreli sertifikalar, post-quantum algoritmalara geçişte esneklik sağlayacak.

5. Otomasyon Teşviki

Google ve Apple başta olmak üzere tarayıcı üreticileri, sertifika yönetiminin tamamen otomatize edilmesini hedefliyor. Let's Encrypt'in başarısı, otomatik sertifika yönetiminin mümkün ve verimli olduğunu kanıtladı.

Tarihsel Perspektif: Sertifika Süreleri Nasıl Değişti?

Sertifika geçerlilik süreleri yıllar içinde sürekli kısaldı:

• 2012 öncesi: 5-10 yıl (hatta süresiz sertifikalar vardı!)
• 2012-2015: Maksimum 5 yıl
• 2015-2018: Maksimum 3 yıl (39 ay)
• 2018-2020: Maksimum 2 yıl (825 gün)
• Eylül 2020: Maksimum 398 gün (~13 ay) — Apple öncülüğünde
• Mart 2026: Maksimum 200 gün (~6,5 ay)
• Mart 2027: Maksimum 100 gün (~3,3 ay)
• Mart 2029: Maksimum 47 gün (~1,5 ay)

Trend açık: Endüstri, sertifika sürelerini sıfıra yaklaştırıyor.

Bu Değişiklik Sizi Nasıl Etkiler?

Web Sitesi Sahipleri İçin

• Yılda en az 2 kez (2026), ilerleyen yıllarda 4-8 kez sertifika yenileme gerekecek
• Manuel yenileme süreçleri sürdürülebilir olmaktan çıkacak
• Sertifika süresi dolma kaynaklı site çökmeleri riski artacak
• ACME protokolü ve otomasyon araçlarına geçiş zorunlu hale gelecek

Sistem Yöneticileri İçin

• Otomasyon altyapısı kurulmalı (Certbot, acme.sh, cert-manager)
• Sertifika izleme ve alarm sistemleri olmazsa olmaz
• CI/CD pipeline'larına sertifika yenileme entegre edilmeli
• DNS-01 veya HTTP-01 challenge otomasyonu gerekecek

Kurumsal IT Ekipleri İçin

• Yüzlerce/binlerce sertifikayı manuel yönetmek imkansız hale gelecek
• Certificate Lifecycle Management (CLM) platformları zorunlu olacak
• DigiCert CertCentral, Sectigo Certificate Manager gibi araçlara yatırım gerekecek
• Vendor lock-in riski değerlendirilmeli

Şimdiden Nasıl Hazırlanmalısınız?

1. Sertifika Envanterinizi Çıkarın

Kuruluşunuzdaki tüm SSL/TLS sertifikalarını listeleyin. Hangi sunucularda, hangi domainlerde, hangi CA'lardan sertifika kullanıyorsunuz? Bu envanter, otomasyon planınızın temelini oluşturacak.

2. ACME Protokolü Desteğini Kontrol Edin

ACME (Automatic Certificate Management Environment), otomatik sertifika alma ve yenileme protokolüdür. Kullandığınız CA'nın ACME desteklediğinden emin olun. DigiCert, Sectigo ve GlobalSign gibi büyük CA'lar ACME destekliyor.

3. Otomasyon Araçlarını Kurun

Sunucu ve platformunuza uygun araçları şimdiden test edin:

• Linux: Certbot, acme.sh, dehydrated
• Kubernetes: cert-manager
• Windows/IIS: win-acme (WACS)
• Cloud: AWS ACM, Azure Key Vault, Google Cloud Certificate Manager

4. Monitoring ve Alarm Kurun

Sertifika süresi dolmadan en az 30 gün önce alarm verecek izleme sistemleri kurun. Nagios, Zabbix, Prometheus veya DataSSL SSL Checker gibi araçları kullanabilirsiniz.

5. Multi-Year Planları Değerlendirin

Multi-year SSL sertifika planları hâlâ geçerli ve avantajlı! Çok yıllık plan satın aldığınızda fiyat kilitlenir, ancak sertifika kısa sürede yeniden düzenlenir (reissue). DataSSL üzerinden 2 veya 3 yıllık planlar alarak hem maliyet avantajı sağlayabilir hem de otomasyon sürenizi planlayabilirsiniz.

CA'lar (Sertifika Otoriteleri) Ne Diyor?

Apple (Destekliyor)

Bu değişikliğin asıl mimarı Apple'dır. Apple, orijinal teklifinde sertifika ömrünü 45 güne kadar düşürmeyi önermiş, uzlaşı sonucunda kademeli plan kabul edilmiştir.

Google (Güçlü Destek)

Google, sertifika sürelerinin kısaltılmasını yıllardır savunuyor. Chrome'un "Moving Forward, Together" girişiminde 90 günlük sertifika ömrünü hedef olarak belirlemişti.

DigiCert, Sectigo, GlobalSign

Büyük ticari CA'lar bu değişikliğe uyum sağlamak için ACME altyapılarını güçlendiriyor ve müşterilerine otomasyon araçları sunuyor. Multi-year plan modeli devam edecek.

Let's Encrypt

Let's Encrypt zaten 90 günlük sertifikalar veriyor ve tam otomasyonla çalışıyor. Bu değişiklik onların yaklaşımını doğruluyor.

Domain Validation (DCV) Süresinin 10 Güne Düşmesi Ne Anlama Geliyor?

2029 yılında sadece sertifika ömrü değil, Domain Control Validation (DCV) geçerlilik süresi de 10 güne düşecek. Bu şu anlama geliyor:

• Domain sahipliği doğrulaması çok daha sık yapılacak
• DNS veya HTTP challenge otomasyonu zorunlu hale gelecek
• Manuel e-posta doğrulaması pratik olarak ortadan kalkacak
• DNS operasyonlarının API üzerinden yönetilmesi gerekecek

Sık Sorulan Sorular (SSS)

Mevcut sertifikam etkilenir mi?

Hayır. 15 Mart 2026'dan önce düzenlenmiş sertifikalar, mevcut geçerlilik süreleri boyunca kullanılabilir. Değişiklik sadece yeni düzenlenen sertifikaları etkiler.

Multi-year planlar geçersiz mi oluyor?

Hayır! Multi-year (çok yıllık) planlar hâlâ geçerlidir. Fiyat kilitleme ve otomasyon avantajları devam eder. Sertifika, belirlenen sürelerde otomatik olarak reissue (yeniden düzenleme) edilir.

Ücretsiz SSL (Let's Encrypt) yeterli mi?

Kısa sertifika ömrü açısından Let's Encrypt zaten hazırdır, ancak kurumsal ihtiyaçlar (OV/EV doğrulama, garanti, destek, wildcard kolaylığı) için ticari SSL sertifikaları gerekli olmaya devam edecek.

Sertifika süreleri neden 199 gün, yuvarlak bir sayı değil?

200 günlük süre, 6 aylık bir periyoda karşılık gelir ve otomasyon döngüleri için optimize edilmiştir. 2027'de 100 gün (~3 ay), 2029'da 47 gün (~45 gün + tampon) olarak belirlenmiştir.

Sonuç: Otomasyon Artık Lüks Değil, Zorunluluk

SSL/TLS sertifika sürelerinin kısalması, internet güvenliğini güçlendiren olumlu bir gelişmedir. Ancak bu değişiklik, sertifika yönetiminde paradigma değişikliği anlamına gelmektedir:

• Manuel yenileme dönemi bitiyor — Otomasyon şart
• Monitoring kritik — Süre dolan sertifika = çöken site
• Planlama zamanı şimdi — 2026 değişikliği kapıda

DataSSL olarak, müşterilerimize bu geçiş sürecinde tam destek sunuyoruz. Multi-year sertifika planlarımız, otomatik yenileme hatırlatmalarımız ve 7/24 teknik desteğimizle SSL sertifika yönetiminizi sorunsuz hale getiriyoruz.