Web Sitemde SSL Var Ama Neden Tarayıcılar 'Güvenli Değil' Diyor? Sertifika Detaylarında Bir Şey Mi Eksik?

Selamlar, bu durum gerçekten can sıkıcı olabiliyor. Bazen sertifika doğru yüklense bile, tarayıcıların o sertifikayı 'güvenilir' olarak algılaması için ek şartlar gerekebiliyor. Mesela, sertifikanın hangi kurum tarafından verildiği, yani Otorite (CA) bilgisi çok önemli. Eğer bu bilgi eksik veya güncel değilse, tarayıcılar şüpheyle yaklaşabiliyor. Bir de bazen sertifikanın kendisinde değil de, sunucunun ssl/TLS protokol ayarlarında sorun olabiliyor. Eski protokoller (TLS 1.0, 1.1 gibi) artık birçok tarayıcı tarafından güvenli kabul edilmiyor ve bu da 'Güvenli Değil' uyarısına yol açabiliyor. Bir de şu var, eğer sitenizde HTTPS olmayan kaynaklar (resim, script vb.) varsa, yani karma içerik sorunu varsa, bu da adres çubuğunda uyarıya neden olabilir ama sizin dediğiniz gibi 'Güvenli Değil' uyarısı daha çok sertifika kaynaklı oluyor genelde. Bir de sertifikanın Common Name (CN) veya Subject Alternative Name (SAN) alanlarında yazdığı alan adıyla sitenize eriştiğiniz alan adının tam olarak eşleştiğinden emin olun. Bazen www'li ve www'siz versiyonlar arasında tutarsızlık olabiliyor. Geçenlerde bir arkadaşım da benzer bir sorun yaşadı, meğer sertifikası sadece ana domaini kapsıyormuş, www'li alt alan adını kapsamadığı için mobil cihazlarda sorun veriyormuş. Yani işin özü, sertifikanın hem doğruluğu hem de sunucunuzun bu sertifikayı doğru şekilde sunduğundan emin olmanız lazım. Bir de tarayıcıların önbelleğini temizleyip öyle tekrar kontrol etmeyi denediniz mi? Bazen tarayıcılar eski bilgileri hafızasında tutabiliyor da. Umarım sorununuz kısa sürede çözülür :)

Tarayıcıların 'Güvenli Değil' uyarısı genellikle ssl sertifikasının güvenilirliği veya sunucu yapılandırması ile ilgilidir. Bu tür bir sorunun temel nedenleri arasında şunlar bulunabilir: Ara sertifika Zinciri Eksikliği (Intermediate Certificate Chain): Sunucu, kök sertifikaya kadar uzanan tam sertifika zincirini tarayıcıya sunmalıdır. Eğer ara sertifikalar eksikse veya yanlış yapılandırılmışsa, tarayıcılar sertifikayı güvenilir olarak doğrulayamaz. Bu, özellikle belirli tarayıcı sürümleri veya işletim sistemlerinde sorunlara yol açabilir. Sertifika Alan Adı Tutarsızlığı: Sertifikanın Common Name (CN) veya Subject Alternative Name (SAN) alanlarında belirtilen alan adları ile siteye erişim için kullanılan alan adlarının tam olarak eşleşmesi gerekir. Örneğin, sertifika sadece 'example.com' içinse, 'www.example.com' adresine erişimde uyarı alınabilir. Geçersiz veya Eski Sürüm Protokoller: Sunucunun TLS 1.2 veya TLS 1.3 gibi güncel ve güvenli protokolleri desteklemesi, eski ve güvensiz protokolleri (SSLv2, SSLv3, TLS 1.0, TLS 1.1) ise devre dışı bırakması esastır. Tarayıcılar güvenlik endişeleri nedeniyle eski protokolleri desteklemeyebilir. Sertifika İptali (CRL/OCSP): Tarayıcılar, sertifikanın iptal edilip edilmediğini kontrol etmek için Sertifika İptali Listelerini (CRL) veya Çevrimiçi Sertifika Durum Protokolü (OCSP) sunucularını sorgular. Bu sorgulamalar başarısız olursa veya sertifika iptal edilmişse uyarı alınabilir. Sertifika SHA-1 Dışında Bir İmza Algoritması Kullanıyor Olması: Modern tarayıcılar, güvenlik zafiyetleri nedeniyle SHA-1 tabanlı imzaları desteklememektedir. Sertifika SHA-256 gibi daha güçlü bir algoritma ile imzalanmış olmalıdır. Pro İpucu: SSL Labs gibi online araçlar, sunucunuzun SSL/TLS yapılandırmasını detaylı olarak analiz ederek olası sorunları ve iyileştirme önerilerini sunar. Bu aracı kullanarak sertifika zincirinizin bütünlüğünü, protokol sürümlerini ve anahtar uzunluklarını kontrol edebilirsiniz.

Valla bu işler bazen tam bir muamma! Sanki sihirli bir değnek dokunuyor da her şey altüst oluyor. Senin durumunda, sertifika geçerli görünüyor ama tarayıcılar 'kardeşim ben bunu tanımıyorum' diyor. Bu da sanki birine 'seni tanıyorum' dersin ama karşıdaki 'yok abi tanımıyorum ben seni' der gibi bir şey. Şimdi bunun birkaç sebebi olabilir. Birincisi, senin sertifikanın bir de 'anne babası' var, yani ara sertifikalar. Bu ara sertifikalar olmasa, ana sertifika ne kadar sağlam olursa olsun, kök otoriteye kadar giden bir zincir oluşmaz ve tarayıcılar 'bu kimden geldi belli değil' der. İkincisi, bazen sertifika kendi kendine 'ben buradayım' demiyor, sunucu onu doğru şekilde 'tanıtmıyor'. Hani bir davete gidersin de kapıdaki görevli seni içeri almaz ya, öyle bir durum. Sunucunun ssl/TLS ayarları çok önemli. Eğer sunucu eski kafalı kalmışsa ve yeni nesil tarayıcıların sevmediği protokolleri kullanıyorsa, vay haline! Bir de sertifikada yazan isimle, sen siteye girerken yazdığın isim aynı mı? Mesela sertifika 'site.com' için verilmişse, sen 'www.site.com' yazınca tarayıcı 'Aaa, bu benim tanıdığım değil' diyebilir. Mobil cihazlar bu konuda daha hassas olabiliyor, haklısın. Sanki onlar her şeyi daha ince eleyip sık dokuyor. Bir de bazen sertifika yenileme işlemi tam oturmuyor, yani eski sertifikanın bilgileri havada kalıyor, yenisi tam oturuyor ama tarayıcılar eskiyi arıyor falan böyle karmaşık durumlar olabiliyor. En güzeli, sertifika yönetimi panelinden sertifikanın detaylarını bir kere daha didiklemek, SAN alanlarını, CN'i falan kontrol etmek. Bir de tarayıcıların 'Geliştirici Araçları' (Developer Tools) kısmından ağ (network) sekmesine bakıp sertifika detaylarını inceleyebilirsin, orada daha teknik bilgiler bulabilirsin. Hadi bakalım, işin içinden çıkacaksın sen bu işin :D