SSL Sertifikası Çeşitleri Nelerdir? Kapsamlı Rehber 2026

Web sitenizin adres çubuğunda “Güvenli değil” uyarısı görünüyor ya da HTTPS yerine hâlâ HTTP kullanıyorsunuz. Ya da tam tersine, SSL sertifikasına sahipsiniz ama müşterileriniz için yeterli güveni sağlayıp sağlamadığını merak ediyorsunuz. Bu rehberde SSL’in ne olduğunu, hangi sertifika türlerinin mevcut olduğunu, aralarındaki farkları ve siteniz için hangisini seçmeniz gerektiğini açıklıyoruz.

SSL Nedir?

SSL (Secure Sockets Layer), internet üzerinden iletilen verilerin şifrelenmesini ve güvenliğini sağlayan bir protokoldür. Teknik olarak SSL’nin yerini günümüzde TLS (Transport Layer Security) almış olsa da yaygın kullanımda her ikisi de “SSL” olarak adlandırılmaya devam etmektedir.

SSL iki temel işlevi yerine getirir:

• Şifreleme (Gizlilik): Kullanıcının tarayıcısından web sunucusuna gönderilen veriler — şifreler, kredi kartı bilgileri, kişisel veriler — şifrelenerek iletilir. Araya giren bir saldırgan bu verileri okuyamaz veya değiştiremez.
• Kimlik doğrulama: Ziyaretçi gerçekten sizin sitenize bağlandığını doğrulayabilir; sahte bir siteye yönlendirilmediğinden emin olur.

SSL kurulduğunda tarayıcı adres çubuğunda URL http:// yerine https:// ile başlar ve bir kilit simgesi görünür. Google, HTTPS kullanmayan siteleri arama sonuçlarında geriye atarken modern tarayıcılar bu siteleri “Güvenli Değil” olarak işaretler.

SSL Sertifikası Çeşitleri

SSL sertifikaları doğrulama seviyesine göre üç ana gruba ayrılır. Doğrulama seviyesi yükseldikçe sertifikanın güven düzeyi artar, ancak başvuru süreci de uzar ve maliyet artar.

1. Domain Validated (DV) SSL — Alan Adı Doğrulamalı

DV SSL, yalnızca alan adı sahipliğini doğrulayan en temel sertifika türüdür. Sertifika otoritesi (CA) başvuru sahibinin o domain’i gerçekten kontrol edip etmediğini doğrular; şirket kimliği veya yasal varlık kontrolü yapılmaz.

Özellikleri:

• Dakikalar ile saatler içinde verilir — genellikle otomatik süreçle.
• Düşük maliyet; Let’s Encrypt gibi ücretsiz seçenekler mevcuttur.
• Tarayıcıda kilit simgesi ve HTTPS gösterir.
• Şirket adı veya kimlik bilgisi sertifikada yer almaz.

Kimler için uygundur: Kişisel blog, portfolyo siteleri, küçük işletme tanıtım siteleri, içerik siteleri. Ödeme veya hassas kişisel veri toplamayan her site için DV SSL yeterlidir.

2. Organization Validated (OV) SSL — Kurum Doğrulamalı

OV SSL, alan adı doğrulamasının ötesinde başvuran şirketin veya kurumun yasal varlığını da doğrulayan orta seviye sertifikadır. Sertifika otoritesi şirket tescil belgelerini ve iletişim bilgilerini manuel olarak inceler.

Özellikleri:

• 1-3 iş günü süren manuel doğrulama süreci gerektirir.
• Sertifika detaylarında şirket adı, ülke ve şehir bilgisi yer alır.
• DV SSL’e kıyasla daha yüksek maliyet.
• Teknik şifreleme gücü DV ile aynıdır; fark yalnızca doğrulama derinliğindedir.

Kimler için uygundur: Kurumsal şirketler, devlet kurumları, üniversiteler ve marka güvenilirliğinin ön planda olduğu B2B platformları. Ziyaretçilere “Bu site gerçek bir şirket tarafından işletiliyor” mesajı verir.

3. Extended Validation (EV) SSL — Genişletilmiş Doğrulama

EV SSL, en yüksek doğrulama seviyesine sahip sertifikadır. Sertifika otoritesi başvuran kuruluşun yasal varlığını, fiziksel adresini, faaliyet durumunu ve domain sahipliğini en kapsamlı biçimde doğrular.

Özellikleri:

• 3-7 iş günü süren kapsamlı doğrulama süreci.
• Eski tarayıcılarda adres çubuğunda yeşil alan ve şirket adı gösterimi (modern tarayıcılarda bu görsel özellik kaldırılmıştır; ancak sertifika detaylarında şirket bilgileri hâlâ görünür).
• En yüksek maliyet.
• Phishing sitelerinin EV SSL alması neredeyse imkânsızdır — en güçlü kimlik doğrulaması.

Kimler için uygundur: Bankalar, finans kuruluşları, büyük e-ticaret platformları, sigorta şirketleri — kullanıcıların en üst düzey güven beklentisiyle işlem yaptığı siteler.

Kapsam Bazlı SSL Türleri

Doğrulama seviyesinin yanı sıra SSL sertifikaları kapsam açısından da farklılaşır:

Single Domain SSL

Yalnızca tek bir domain’i kapsar. sirketim.com için alınan sertifika blog.sirketim.com alt domain’ini kapsamaz. Tek domainli siteler için en ekonomik seçenektir.

Wildcard SSL

Bir domain’in tüm alt domainlerini (*.sirketim.com) tek sertifikayla kapsar. blog.sirketim.com, shop.sirketim.com, mail.sirketim.com hepsi bu sertifika kapsamına girer. Çok sayıda alt domain kullanan siteler için tek tek sertifika almaya kıyasla çok daha ekonomik ve yönetilebilir bir seçenektir.

Multi-Domain (SAN) SSL

Birden fazla farklı domain’i tek sertifikayla kapsar. sirketim.com, sirketim.net ve baskasirket.com gibi birbirinden farklı alan adları tek sertifikayla güvence altına alınabilir. Birden fazla domain yöneten ajanslar ve şirketler için idealdir.

En Yaygın Kullanılan SSL Sertifikaları

Let’s Encrypt (Ücretsiz DV)

Açık kaynaklı, ücretsiz ve otomatik bir sertifika otoritesidir. HTTPS’i internet genelinde yaygınlaştırmak amacıyla Mozilla, Cisco ve EFF tarafından kurulmuştur. 90 günlük geçerlilik süresiyle otomatik yenileme sistemi sayesinde hiç müdahale gerekmeden çalışır.

• Maliyet: Tamamen ücretsiz
• Doğrulama türü: DV
• Verilme süresi: Dakikalar içinde otomatik
• Kimler için: Kişisel siteler, bloglar, küçük işletmeler — güvenli bağlantı gerektiren her site

ASO Web, tüm hosting paketlerinde Let’s Encrypt SSL’i otomatik olarak kurar ve 90 günde bir yeniler. Sizin herhangi bir işlem yapmanıza gerek yoktur.

RapidSSL DV

DigiCert bünyesindeki RapidSSL, uygun fiyatlı ve hızlı verilen DV sertifikalar sunar. Tek domain için temel şifreleme ihtiyacını karşılar. Let’s Encrypt’e ücretli bir alternatif arayanlar için popüler bir seçenektir.

• Doğrulama türü: DV
• Kapsam: Tek domain
• Verilme süresi: Dakikalar içinde

RapidSSL Wildcard

RapidSSL’in alt domain kapsayan versiyonudur. *.sirketim.com formatında tüm alt domainleri korur. Birden fazla alt domain kullananlar için single domain sertifikasına kıyasla çok daha ekonomiktir.

• Doğrulama türü: DV
• Kapsam: Sınırsız alt domain (wildcard)

Positive SSL (DV) — Sectigo

Sectigo (eski adıyla Comodo) tarafından sunulan, piyasanın en tanınan ve geniş uyumluluğa sahip DV sertifikalarından biridir. Uygun fiyatı ve %99,9 tarayıcı uyumuyla kurumsal olmayan siteler için popüler tercih olmaya devam etmektedir.

• Doğrulama türü: DV
• Kapsam: Tek domain
• Öne çıkan özellik: Geniş tarayıcı uyumluluğu, güvenilir marka

PositiveSSL Wildcard (DV)

Positive SSL’in wildcard versiyonudur. Alt domainleri olan e-ticaret siteleri, SaaS uygulamaları ve kurumsal web projeleri için idealdir.

• Doğrulama türü: DV
• Kapsam: Ana domain + sınırsız alt domain

InstantSSL (OV) — Sectigo

Sectigo’nun OV seviyesindeki sertifikasıdır. Şirket kimliğini doğrulayan bu sertifika, kurumsal güvenilirliği ön plana çıkarmak isteyen işletmeler için tercih edilir. Ziyaretçiler sertifika detaylarında şirket adını görebilir.

• Doğrulama türü: OV
• Kapsam: Tek domain
• Verilme süresi: 1-3 iş günü

InstantSSL Pro (OV)

InstantSSL’in gelişmiş versiyonudur. OV doğrulamasına ek olarak daha kapsamlı garanti tutarı ve ek özellikler sunar. Büyük kurumsal siteler ve güven odaklı B2B platformları için uygundur.

• Doğrulama türü: OV
• Öne çıkan özellik: Yüksek garanti tutarı, kurumsal kimlik doğrulaması

Comodo EV SSL (Sectigo EV)

En yüksek doğrulama seviyesine sahip EV sertifikasıdır. Finans, sigorta ve büyük e-ticaret siteleri için sektör standardıdır. Kapsamlı şirket doğrulaması ve en yüksek garanti tutarıyla maksimum güven sinyali verir.

• Doğrulama türü: EV
• Kapsam: Tek domain
• Verilme süresi: 3-7 iş günü
• Kimler için: Bankalar, finans kuruluşları, büyük e-ticaret platformları

SSL Firmaları

Dünyada tanınan başlıca sertifika otoriteleri (CA) şunlardır:

• DigiCert: Kurumsal piyasanın en büyük oyuncusu. RapidSSL ve GeoTrust markalarını da bünyesinde barındırır.
• Sectigo (eski Comodo CA): Hacim açısından dünyanın en büyük sertifika otoritesi. Comodo, Positive SSL ve InstantSSL markaları altında geniş ürün yelpazesi sunar.
• GlobalSign: Kurumsal ve kurumlar arası sertifikalar konusunda uzmanlaşmış, güçlü bir CA.
• Let’s Encrypt: Açık kaynaklı, ücretsiz ve otomatik DV sertifikalar sunan kar amacı gütmeyen otorite.
• Entrust: Devlet kurumları ve büyük finans kuruluşlarının tercih ettiği kurumsal odaklı CA.

Sertifika Doğrulama Yöntemleri

SSL sertifikası başvurusunda domain sahipliği veya şirket kimliği üç farklı yöntemle doğrulanabilir:

DV Sertifikalarda Doğrulama Yöntemleri

DV sertifikalar yalnızca domain sahipliğini doğrular. Üç yöntem kullanılır:

• E-posta doğrulama: Domain’e ait belirli e-posta adreslerine (admin@, webmaster@, hostmaster@ gibi) doğrulama kodu gönderilir. Kodu onayladığınızda sertifika verilir.
• DNS doğrulama (CNAME veya TXT kaydı): Sertifika otoritesi size bir DNS kaydı değeri verir. Bu değeri domain’inizin DNS ayarlarına eklersiniz. CA kaydı doğruladığında sertifika aktif hale gelir. En yaygın ve güvenilir yöntemdir; Let’s Encrypt bu yöntemi kullanır.
• HTTP dosya doğrulama: Sertifika otoritesi belirli bir URL’de belirli bir dosyanın bulunmasını ister. Dosyayı web sunucunuza yüklersiniz; CA dosyayı bulduğunda doğrulama tamamlanır.

OV Sertifikalarda Doğrulama Yöntemleri

OV sertifikalarda domain doğrulamasına ek olarak şirket kimliği doğrulanır:

• Yasal belge kontrolü: Ticaret sicil belgesi, vergi levhası veya şirket tescil belgesi istenir.
• Telefon doğrulaması: CA, bağımsız kaynaklardan (sarı sayfalar, resmi şirket rehberleri) doğruladığı telefon numarası üzerinden şirketle iletişime geçer.
• Adres doğrulaması: Şirketin fiziksel adresinin gerçekliği kontrol edilir.

EV Sertifikalarda Doğrulama Yöntemleri

EV sertifikalarda CA, CAB Forum’un belirlediği katı standartlar çerçevesinde kapsamlı doğrulama yapar:

• Yasal varlık doğrulaması: Şirketin yasal olarak kurulmuş, aktif ve kayıtlı olduğu tescil belgesiyle kanıtlanır.
• Faaliyet doğrulaması: Şirketin gerçekten faaliyette olduğu belgelenir.
• Fiziksel varlık doğrulaması: Şirketin gerçek bir fiziksel adresinin olduğu doğrulanır.
• Yetkili imzacı doğrulaması: Başvuruyu yapan kişinin şirketi temsil etme yetkisine sahip olduğu kontrol edilir.
• Telefon doğrulaması: Bağımsız kaynaklardan doğrulanmış telefon numarası üzerinden iletişim kurulur.

CSR Kodu Nedir?

CSR (Certificate Signing Request — Sertifika İmzalama İsteği), SSL sertifikası başvurusunda sertifika otoritesine iletilen şifreli bir veri bloğudur. Web sunucunuz tarafından oluşturulan bu kod şu bilgileri içerir: domain adı, şirket adı, şehir, ülke ve başvurucunun genel anahtarı (public key).

CSR oluşturulduğunda aynı zamanda bir özel anahtar (private key) da üretilir. Bu özel anahtar sunucunuzda güvenle saklanmalıdır; sertifika CA tarafından imzalandıktan sonra özel anahtarla birlikte kurulur ve HTTPS bağlantısı aktif hale gelir.

Paylaşımlı hosting kullananlar için CSR genellikle hosting paneli üzerinden otomatik oluşturulur; manuel bir işlem gerekmez.

Siteniz için Hangi SSL Türünü Seçmelisiniz?

Let’s Encrypt Yeterli mi? Ücretli SSL Ne Zaman Gerekli?

Bu sorunun doğru cevabı sitenizin amacına göre değişir.

Let’s Encrypt yeterlidir eğer:

• Siteniz bilgi, tanıtım veya içerik odaklıysa
• Kullanıcılardan hassas finansal veri toplamıyorsanız
• Küçük veya orta ölçekli bir işletme yürütüyorsanız
• Bütçe kısıtlaması varsa

Ücretli veya kurumsal SSL düşünmelisiniz eğer:

• Sertifikada şirket adının görünmesi marka güveni açısından önemliyse (OV)
• Banka, finans veya büyük e-ticaret gibi yüksek güven gerektiren bir sektördeyseniz (EV)
• Çok sayıda alt domain kullanıyorsanız ve tek sertifikayla yönetmek istiyorsanız (Wildcard)
• Uzun geçerlilik süresi ve garantili teknik destek gerektiriyorsanız